在群集中僅有兩種見證資源(物理磁盤和文件共享)經(jīng)過配置后能幫助達成共識。

　　見證磁盤是群集服務(wù)可將其聯(lián)機的一塊存儲區(qū)。該磁盤與群集“網(wǎng)絡(luò)名稱”及相關(guān) IP 地址資源一同位于“群集核心資源組”中。配置了見證磁盤后，該磁盤上將出現(xiàn)一個 Cluster 文件夾并放置一個完整的群集配置副本(群集配置單元或副本)。

　　FSW 是一個網(wǎng)絡(luò)共享，在理想情況下位于不屬于群集的網(wǎng)絡(luò)服務(wù)器上。為 FSW 建立 SMB 連接，由 FSW 維護見證日志文件(它包含了群集配置的版本信息)的副本。

　　一個群集中僅可配置一種見證資源。在群集實現(xiàn)仲裁時需要該資源提供一張額外的投票。換句話說，如果群集僅差一張選票(即一個節(jié)點)即可達成共識，那見證資源將聯(lián)機以便實現(xiàn)仲裁。如果群集還差多張選票才可實現(xiàn)仲裁，則見證資源不會聯(lián)機，且群集將繼續(xù)保持休眠狀態(tài)并等候其他群集結(jié)點的加入。

　　增強了安全功能

　　故障轉(zhuǎn)移群集包含多個新的安全增強功能。其中最重要的也許是不再需要群集服務(wù)帳戶 (CSA)。在之前版本的 Microsoft 群集服務(wù)中，在配置過程中需要用到域用戶帳戶。該帳戶的目的是用于啟動群集服務(wù)，因此需將它添加到每個群集節(jié)點上的本地管理員組中，并且向其提供必要的本地用戶權(quán)限以便群集服務(wù)能正常運行。作為域用戶帳戶，CSA 需要遵守許多可應(yīng)用到群集節(jié)點的域級別策略。這些策略可能會導致群集服務(wù)失敗，對高可用性產(chǎn)生負面影響。

　　現(xiàn)在，群集服務(wù)是以一個本地系統(tǒng)帳戶的名義運行，該帳戶對本地群集節(jié)點具備一組特定權(quán)限，能夠正常運行。群集的安全上下文已轉(zhuǎn)換成“群集名稱對象”(CNO)，該對象是首次創(chuàng)建群集時在 Active Directory® 的“計算機”容器中默認創(chuàng)建的計算機對象。一旦成功創(chuàng)建群集且 Active Directory 中存在 CNO，就不再需要用于安裝和配置群集的用戶帳戶。

　　在 Active Directory 的“計算機”容器中創(chuàng)建的其他計算機對象與“故障轉(zhuǎn)移群集”相關(guān)聯(lián)。這些對象稱為“虛擬計算機對象”(VCO)，等同于在群集中作為客戶端訪問點 (CAP) 的一部分創(chuàng)建的群集“網(wǎng)絡(luò)名稱”資源。CNO 負責創(chuàng)建群集中的所有 VCO，它會被添加到 Active Directory 中對象的系統(tǒng)訪問控制列表 (SACL) 中(請參閱圖 5)。

　　圖 5 Active Directory 中 VCO 的安全性

　　CNO 還負責同步它創(chuàng)建的所有 VCO 的域密碼。將根據(jù)配置的密碼輪換域策略完成此過程。此外，由于 CNO 負責創(chuàng)建與群集中的 VCO 相關(guān)聯(lián)的所有計算機對象，因此 CNO(計算機帳戶)必須具有域級別權(quán)限以便能夠在創(chuàng)建 VCO 的容器(默認情況下為“計算機”容器)中創(chuàng)建計算機對象。

　　另一項更改是 Kerberos 現(xiàn)在已成為默認的身份驗證方法。由于 Active Directory 中存在計算機帳戶，因而使得此項增強的安全功能成為可能。但是，如果某個應(yīng)用程序雖然無法使用 Kerberos 來執(zhí)行身份驗證卻需要訪問群集資源，則群集可以使用 NT LAN Manager (NTLM) 身份驗證。

　　直接處理群集過程的群集節(jié)點間的通信也更加安全。所有群集內(nèi)部的通信都會默認進行簽名?？赏ㄟ^使用 cluster.exe 通用語言接口 (CLI) 來更改此群集屬性，這樣可加密節(jié)點之間的所有通信以提供更高級別的安全性。

最新評論