Windows Server 2008故障转移群集简介

　　在群集中仅有两种见证资源(物理磁盘和文件共享)经过配置后能帮助达成共识。

　　见证磁盘是群集服务可将其联机的一块存储区。该磁盘与群集“网络名称”及相关 IP 地址资源一同位于“群集核心资源组”中。配置了见证磁盘后，该磁盘上将出现一个 Cluster 文件夹并放置一个完整的群集配置副本(群集配置单元或副本)。

　　FSW 是一个网络共享，在理想情况下位于不属于群集的网络服务器上。为 FSW 建立 SMB 连接，由 FSW 维护见证日志文件(它包含了群集配置的版本信息)的副本。

　　一个群集中仅可配置一种见证资源。在群集实现仲裁时需要该资源提供一张额外的投票。换句话说，如果群集仅差一张选票(即一个节点)即可达成共识，那见证资源将联机以便实现仲裁。如果群集还差多张选票才可实现仲裁，则见证资源不会联机，且群集将继续保持休眠状态并等候其他群集结点的加入。

　　增强了安全功能

　　故障转移群集包含多个新的安全增强功能。其中最重要的也许是不再需要群集服务帐户 (CSA)。在之前版本的 Microsoft 群集服务中，在配置过程中需要用到域用户帐户。该帐户的目的是用于启动群集服务，因此需将它添加到每个群集节点上的本地管理员组中，并且向其提供必要的本地用户权限以便群集服务能正常运行。作为域用户帐户，CSA 需要遵守许多可应用到群集节点的域级别策略。这些策略可能会导致群集服务失败，对高可用性产生负面影响。

　　现在，群集服务是以一个本地系统帐户的名义运行，该帐户对本地群集节点具备一组特定权限，能够正常运行。群集的安全上下文已转换成“群集名称对象”(CNO)，该对象是首次创建群集时在 Active Directory® 的“计算机”容器中默认创建的计算机对象。一旦成功创建群集且 Active Directory 中存在 CNO，就不再需要用于安装和配置群集的用户帐户。

　　在 Active Directory 的“计算机”容器中创建的其他计算机对象与“故障转移群集”相关联。这些对象称为“虚拟计算机对象”(VCO)，等同于在群集中作为客户端访问点 (CAP) 的一部分创建的群集“网络名称”资源。CNO 负责创建群集中的所有 VCO，它会被添加到 Active Directory 中对象的系统访问控制列表 (SACL) 中(请参阅图 5)。

　　图 5 Active Directory 中 VCO 的安全性

　　CNO 还负责同步它创建的所有 VCO 的域密码。将根据配置的密码轮换域策略完成此过程。此外，由于 CNO 负责创建与群集中的 VCO 相关联的所有计算机对象，因此 CNO(计算机帐户)必须具有域级别权限以便能够在创建 VCO 的容器(默认情况下为“计算机”容器)中创建计算机对象。

　　另一项更改是 Kerberos 现在已成为默认的身份验证方法。由于 Active Directory 中存在计算机帐户，因而使得此项增强的安全功能成为可能。但是，如果某个应用程序虽然无法使用 Kerberos 来执行身份验证却需要访问群集资源，则群集可以使用 NT LAN Manager (NTLM) 身份验证。

　　直接处理群集过程的群集节点间的通信也更加安全。所有群集内部的通信都会默认进行签名。可通过使用 cluster.exe 通用语言接口 (CLI) 来更改此群集属性，这样可加密节点之间的所有通信以提供更高级别的安全性。

最新评论