Windows Server 2008 フェールオーバー クラスターのセキュリティ モデルの説明

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:947049
概要
この資料では、新しいセキュリティ モデルに Microsoft のフェールオーバー クラスターのサービスを Windows Server 2008 で変更を. します。
詳細

以前のバージョンの Microsoft のクラスタ リング ・ テクノロジー

Microsoft クラスター テクノロジの以前のバージョンでは、クラスター構成の処理中に変更されたドメインのユーザー アカウントのコンテキストでクラスター サービスを実行します。したがって、クラスター サービスに必要なすべての権限が適切に機能するのには、ローカル クラスター ノードでいます。

既定では、NT LAN マネージャー (NTLM) 認証では、クラスターの間の通信を使用して、クラスター サービス アカウントのセキュリティ コンテキストのです。Windows 2000 Service Pack 3 以降では、Kerberos バージョン 5 プロトコル認証が利用可能です。Cluster.exe コマンドライン ・ インターフェイス (CLI) を使用して、Kerberos 認証の手動構成が必要です。

Windows Server 2003 ベースのクラスターでは、クラスター アドミニストレーター インターフェイスは、クラスター ネットワーク名リソースの Kerberos 認証を有効です。クラスター サービス アカウントをドメイン ユーザー アカウントであるため、クラスター サービス アカウントのユーザーおよびグループに影響を与えるすべてのグループ ポリシーで制限されています。たとえば、これらのグループ ポリシーがパスワード有効期限ポリシーには限定されません可能性があります、ユーザー権利の割り当て、ローカルおよびドメイン グループのメンバーシップという。

マイクロソフトのテクノロジでは、Windows Server 2008 クラスタ リング

Windows Server 2008 フェールオーバー クラスターで、クラスター サービスは、ドメイン ユーザー アカウントのコンテキストでを実行します。代わりに、クラスター ノードへの権限が制限されている、ローカル システム アカウントのコンテキストでクラスター サービスを実行します。既定では、Kerberos 認証を使用します。アプリケーションが Kerberos 認証をサポートしていない場合は、NTLM 認証が使用されます。

フェールオーバー クラスターの機能のインストール中に、ドメイン ユーザー アカウントには、次のタスクに必要な。
  • フェールオーバー クラスター検証プロセスを実行するとします。
  • クラスターを作成するとします。
これらの各タスクを完了するのには、次のアクセスと権限が必要です。
  • クラスター内の各ノードにローカル管理者へのアクセス
  • ドメイン内にコンピューター オブジェクトを作成するための権限
クラスターを作成した後は、ドメイン ユーザー アカウントが適切に機能するのには、クラスターに必要なありません。ただし、クラスターを管理するのには、ドメイン ユーザー アカウントが必要です。クラスターを管理するには、このドメインのユーザー アカウントはクラスターの各ノードのローカル管理者グループのメンバーでなければなりません。クラスターの作成時に、コンピューター オブジェクトが Active Directory ドメイン サービス (AD DS) で作成されます。このコンピューター オブジェクトの既定の場所です。

クラスターの名前を表すコンピューター オブジェクトは、このクラスターに新しいセキュリティ コンテキストになります。このコンピューター オブジェクトをクラスター名オブジェクト (CNO) として知られています。CNO は、クラスターのすべての通信に使用されます。既定では、すべての通信の Kerberos 認証を使用します。ただし、必要に応じて NTLM 認証も通信が使用できます。

メモ クラスター ネットワーク名リソースに対応するコンピューター アカウントを AD DS に展開できます。コンピューター アカウントはコンピューター コンテナー以外のコンテナーに展開できます。CNO をプレステージ コンピューター アカウントを設定する場合はクラスターを作成する前に、このコンピューター アカウントを無効にする必要があります。このコンピューター アカウントを無効にしない場合は、クラスターの作成プロセスは失敗します。

CNO は、フェールオーバー クラスターの一部は、クライアント アクセス ポイント (CAP) のとして作成他のすべてのネットワーク名リソースを作成します。これらのネットワーク名リソース仮想コンピューター オブジェクト (Vco) として知られています。CNO のアクセス制御リスト (ACL) 情報は、AD DS 内に作成された各 VCO に追加されます。また、CNO は、既定のドメイン ポリシーに基づくは作成各 VCO についてドメイン パスワードを同期するために必要です。

警告: この記事は自動翻訳されています

プロパティ

文書番号:947049 - 最終更新日: 08/10/2011 13:11:00 - リビジョン: 3.0

  • kbhowto kbinfo kbclustering kbexpertiseinter kbmt KB947049 KbMtja
フィードバック