Description du modèle de sécurité de cluster de basculement dans Windows Server 2008


Résumé


Cet article décrit les modifications apportées dans Windows Server 2008 avec le nouveau modèle de sécurité pour le service de cluster de basculement Microsoft.

Plus d'informations


Versions antérieures de la technologie de clustering de Microsoft

Dans les versions antérieures de la technologie de clustering de Microsoft, le service de cluster s’exécute dans le contexte d’un compte d’utilisateur de domaine qui est modifié au cours du processus de configuration du cluster. Par conséquent, le service de cluster possède tous les droits requis sur le noeud de cluster local de fonctionner correctement.

Par défaut, toutes les communications avec le cluster utilisent l’authentification NT LAN Manager (NTLM) et le contexte de sécurité est le compte de service de cluster. Dans Windows 2000 Service Pack 3 et versions ultérieures, l’authentification du protocole Kerberos version 5 est disponible. L’authentification Kerberos requiert une configuration manuelle à l’aide de l’Interface de ligne de commande Cluster.exe (CLI).

Dans les clusters basés sur Windows Server 2003, l’authentification Kerberos peut être activée dans l’interface de l’administrateur de Cluster pour un ressource de nom de réseau du cluster. Étant donné que le compte de service de cluster est un compte d’utilisateur de domaine, le compte de service de cluster est limité par toutes les stratégies de groupe qui affectent les utilisateurs et les groupes. Par exemple, ces stratégies incluent, mais ne peuvent pas être limités à, stratégies d’expiration de mot de passe, des droits d’utilisateur les affectations, les groupes locaux et de domaine et ainsi de suite.

Microsoft clustering technologies dans Windows Server 2008

Dans les Clusters de basculement Windows Server 2008, le service de cluster ne s’exécute plus dans le contexte d’un compte d’utilisateur de domaine. Au lieu de cela, le service de cluster s’exécute dans le contexte d’un compte système local qui a limité les droits sur le nœud du cluster. Par défaut, l’authentification Kerberos est utilisée. Si l’application ne prend pas en charge l’authentification Kerberos, l’authentification NTLM est utilisée.

Lors de l’installation de la fonctionnalité de Cluster de basculement, un compte d’utilisateur de domaine est uniquement requis pour les tâches suivantes :
  • Lorsque vous exécutez le processus de Validation de Cluster de basculement.
  • Lorsque vous créez le cluster.
Pour effectuer chacune de ces tâches, vous devez disposer de l’accès et les droits suivants :
  • Accès d’administrateur local sur chaque nœud du cluster
  • Pour créer des objets ordinateur dans le domaine des droits
Après la création d’un cluster, le compte d’utilisateur de domaine n’est plus obligatoire pour le cluster de fonctionner correctement. Toutefois, le compte d’utilisateur de domaine est requis pour administrer le cluster. Pour administrer le cluster, ce compte d’utilisateur de domaine doit être membre du groupe Administrateurs Local sur chaque nœud du cluster. Au cours du processus de créer un Cluster, un objet ordinateur est créé dans les Services de domaine Active Directory (AD DS). L’emplacement par défaut de cet objet ordinateur est le conteneur ordinateurs.

L’objet ordinateur qui représente le nom du cluster devienne le nouveau contexte de sécurité pour ce cluster. Cet objet ordinateur est connu en tant que l’objet nom de Cluster (CNO). Le CNO est utilisé pour toutes les communications avec le cluster. Par défaut, toutes les communications utilisent l’authentification Kerberos. Toutefois, les communications peuvent également utiliser l’authentification NTLM s’il est nécessaire.

Remarque Les comptes d’ordinateurs qui correspondent aux ressources de nom de réseau du cluster peuvent être présélectionnées dans AD DS. Les comptes d’ordinateur peuvent être présélectionnées dans des conteneurs que le conteneur ordinateurs. Si vous souhaitez définir un compte d’ordinateur prédéfini pour être le CNO, vous devez désactiver ce compte d’ordinateur avant de créer le cluster. Si vous ne désactivez pas ce compte d’ordinateur, le processus de création de Cluster échoue.

Le CNO crée toutes les autres ressources de nom de réseau qui sont créés dans un Cluster de basculement dans le cadre d’un Point d’accès Client (CAP). Ces ressources de nom de réseau sont appelés objets d’ordinateurs virtuels (VCO). Les informations de liste de contrôle d’accès CNO (ACL) sont ajoutées à chaque câble VCO est créé dans AD DS. En outre, le CNO est chargé de synchroniser le mot de passe de domaine pour chaque câble VCO qu’il a créé. Le CNO synchronise le mot de passe de domaine tous les 7 jours.