容錯移轉叢集安全性模型,在 Windows Server 2008 中的描述

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:947049
結論
本文將告訴您,Microsoft 容錯移轉叢集服務新的安全性模型在 Windows Server 2008 中的變更。
其他相關資訊

較早版本的 Microsoft 叢集技術

Microsoft 叢集技術舊版叢集服務會在網域使用者帳戶的叢集組態程序期間修改內容中執行。因此,叢集服務才能適當地在本機叢集節點上擁有所有必要的權限。

依預設值,與叢集的所有通訊都使用 NT LAN 管理員 」 (NTLM) 驗證,而安全性內容是叢集服務帳戶]。在 Windows 2000 Service Pack 3 或更新版本,Kerberos 版本 5 通訊協定驗證是可用的。Kerberos 驗證需要藉由使用 Cluster.exe 命令列介面 (CLI) 手動設定。

在 Windows Server 2003 叢集可以在叢集網路名稱資源在叢集系統管理員介面中啟用 Kerberos 驗證。因為叢集服務帳戶網域使用者帳戶叢集服務帳戶被受影響的使用者及群組的所有群組原則。比方說這些群組原則包括,但是可能不限於密碼到期原則,使用者權限的工作分派、 本機和網域群組成員資格等。

Microsoft 叢集技術在 Windows Server 2008 中

在 Windows Server 2008 容錯移轉叢集叢集服務無法再執行網域使用者帳戶的內容中。而是,叢集服務會在有限制權限,才能叢集節點的本機系統帳戶內容中執行。根據預設值,使用 Kerberos 驗證。如果應用程式不支援 Kerberos 驗證,使用 NTLM 驗證。

在安裝 「 容錯移轉叢集 」 功能時網域使用者帳戶只是所需的下列工作:
  • 當您執行容錯移轉叢集驗證程序。
  • 當您建立叢集。
若要完成這些工作的每個,您必須具有下列存取和權限:
  • 在叢集的每個節點的本機系統管理員存取
  • 在網域中建立電腦物件的權限
建立叢集之後已不再需要適當地運作叢集的網域使用者帳戶。不過,網域使用者帳戶,才能管理叢集。若要管理叢集,這個網域使用者帳戶必須是每個叢集節點上本機系統管理員群組的成員。在建立叢集程序期間會在 Active Directory 網域服務 (AD DS) 中建立電腦物件。這個電腦物件的預設位置是 [電腦] 容器。

電腦物件,代表叢集的名稱會變成新的安全性內容,此叢集。這個電腦物件即為叢集名稱物件 (CNO)。[CNO 用於與叢集的所有通訊。預設情況下,所有通訊都使用 Kerberos 驗證。不過,通訊也可以使用 NTLM 驗證如果需要。

附註對應到叢集網路名稱資源的電腦帳戶可以 pre-staged AD DS 中。電腦帳戶可以 pre-staged 容器以外的電腦] 容器中。如果想設定為 [CNO pre-staged 的電腦帳戶必須停用這個電腦帳戶建立叢集之前。如果您不要停用這個電腦帳戶,建立叢集程序會失敗。

[CNO 會建立所有其他一部分的用戶端存取點 (CAP) 建立於容錯移轉叢集的網路名稱資源。這些網路名稱資源稱為虛擬電腦物件 (VCOs)。CNO 存取控制清單 (ACL) 資訊會新增至每個 VCO 在 AD DS 中建立。此外,[CNO 會負責為它建立每個 VCO 同步網域密碼。 [CNO 同步處理網域密碼每隔 7 天。

警告:本文為自動翻譯

內容

文章識別碼:947049 - 最後檢閱時間:02/01/2008 17:15:40 - 修訂: 1.2

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbmt kbexpertiseinter kbhowto kbinfo KB947049 KbMtzh
意見反應