Opis modelu zabezpieczeń klastra pracy awaryjnej w systemie Windows Server 2008


Streszczenie


W tym artykule opisano zmiany w systemie Windows Server 2008 w nowym modelu zabezpieczeń dla usługi klastrowania pracy awaryjnej firmy Microsoft.

Więcej informacji


Starsze wersje Technologia klastrowania firmy Microsoft

We wcześniejszych wersjach programu Microsoft technologii klastrowania usługa klastrowania działa w kontekście konta użytkownika domeny, który jest modyfikowany podczas procesu konfigurowania klastra. W związku z tym usługa klastrowania ma wymagane prawa na węźle klastra lokalnego do poprawnego działania.

Domyślnie cała komunikacja z klastrem za pomocą uwierzytelniania NT LAN Manager (NTLM), a konto usługi klastrowania jest kontekst zabezpieczeń. W dodatku Service Pack 3 dla systemu Windows 2000 i nowszych uwierzytelniania protokołu Kerberos w wersji 5 jest dostępna. Uwierzytelnianie Kerberos wymaga ręcznej konfiguracji przy użyciu interfejsu wiersza polecenia Cluster.exe (CLI).

W klastrach opartych na systemie Windows Server 2003 można włączyć uwierzytelnianie Kerberos w Administratorze klastrów dla zasobu Nazwa sieciowa klastra. Ponieważ konto usługi klastrowania jest konto użytkownika domeny, konto usługi klastrowania jest ograniczony przez wszystkich zasad grupy, które wpływają na użytkowników i grup. Na przykład zasady te grupy obejmują, ale nie może być ograniczona do zasad wygasania hasła, praw użytkowników, przypisań, członkostwa grup lokalnych i domeny i tak dalej.

Microsoft klastrowanie technologii systemu Windows Server 2008

W klastrach pracy awaryjnej systemu Windows Server 2008 usługa klastrowania nie jest już działa w kontekście konta użytkownika domeny. Zamiast tego usługa klastrowania działa w kontekście konta system lokalny, które ma ograniczone uprawnienia do węzła klastra. Domyślnie używane jest uwierzytelnianie Kerberos. Jeśli aplikacja nie obsługuje uwierzytelnianie Kerberos, uwierzytelnianie NTLM jest używany.

Podczas instalacji funkcji klastra pracy awaryjnej, konto użytkownika domeny jest tylko wymaganych do wykonywania następujących zadań:
  • Po uruchomieniu procesu sprawdzania poprawności klastra pracy awaryjnej.
  • Podczas tworzenia klastra.
Aby wykonać poszczególne z tych zadań, musi mieć następujące dostępu i praw:
  • Prawa administratora lokalnego na każdym węźle w klastrze
  • Prawa do tworzenia obiektów komputerów w domenie
Po utworzeniu klastra konto użytkownika domeny nie jest już wymagany, aby klaster mógł działać właściwie. Jednak konto użytkownika domeny jest wymagane do administrowania klastrem. Do administrowania klastrem, to konto użytkownika domeny, musi być członkiem grupy Administratorzy lokalni na każdym węźle klastra. W trakcie procesu tworzenia klastra obiekt komputera jest tworzony w Usługi domenowe w usłudze Active Directory (AD DS). Domyślną lokalizacją tego obiektu komputera jest kontenerze Komputery.

Obiekt komputera, który reprezentuje nazwę klastra staje się nowy kontekst zabezpieczeń dla tego klastra. Ten obiekt komputera jest znany jako obiektu nazwę klastra (CNO). Obiekt nazwy Klastra jest używany dla całej komunikacji z klastrem. Domyślnie wszystkie komunikaty protokołu Kerberos. Jednak komunikatów może również używać uwierzytelniania NTLM, jeśli jest to konieczne.

Uwaga Konta komputerów, które odpowiadają zasoby Nazwa sieciowa klastra można wstępnie przygotowanego w AD DS. Konta komputerów mogą wstępnie przygotowanego w pojemnikach inne niż kontenerze Komputery. Jeśli chcesz ustawić konto komputera wstępnie przygotowanych na obiekt nazwy Klastra, należy wyłączyć to konto komputera, przed utworzeniem klastra. Jeżeli nie można wyłączyć to konto komputera, procesu tworzenia klastra nie powiedzie się.

Obiekt nazwy Klastra tworzy wszystkie inne zasoby Nazwa sieciowa, które są tworzone w klastrze pracy awaryjnej jako część z punktu dostępu klienta (CAP). Te zasoby Nazwa sieciowa są znane jako obiekty komputerów wirtualnych (VCOs). Informacje CNO listy kontroli dostępu (ACL) jest dodawany do każdego VCO, który jest tworzony w AD DS. Ponadto obiekt nazwy Klastra jest odpowiedzialny za synchronizowanie haseł domeny dla każdego VCO on utworzony. Obiekt nazwy Klastra synchronizuje hasła domeny co 7 dni.