Предварительная настройка кластера файлового сервера Windows или устройства NAS для Windows Azure Pack. Веб-сайты
Обновлено: 11 августа 2015 г.
Область применения: Windows Пакет Azure
В этой главе показано, как настроить собственный файловый сервер или кластер файлового сервера для использования с Windows Azure Pack: веб-сайты.
Фон
При выборе автономного файлового сервера Windows во время установки подготовка файлового сервера не требуется, она выполняется автоматически. Хотя автономный вариант полезен для установки прототипа, рабочей среде обычно требуется более надежное решение — кластер файлового сервера Windows или устройства хранения NAS сторонних производителей. Зависимости службы веб-сайтов веб-сайтов не зависит от разрешений доступа к файлам для каждого отдельного веб-сайта, что позволяет работать с разнородными реализациями хранилищ, такими как устройства NAS.
Предупреждение
Зависимости службы веб-сайтов веб-сайты зависят от диспетчера ресурсов файлового сервера (FSRM), который не поддерживает масштабируемые файловые серверы.
Примечание
Выпуск обновления 6, пакет Microsoft Azure: веб-сайтам больше не требуется общий доступ к сертификатам и связанные пользователи. Вам не нужно будет указывать их в новых установках. В обновленных установках учетные данные и общий доступ останутся, но не будут использоваться.
Пять основных шагов
Предварительная конфигурация собственного файлового сервера Windows, кластера файлового сервера Windows или устройства NAS стороннего производителя включают следующие пять основных шагов. Реализация этих шагов зависит от того, работаете вы в домене Active Directory или в рабочей среде группы. Представлены шаги для обеих сред.
Примечание
Хотя инструкции по конфигурации для устройств NAS сторонних производителей выходят за рамки настоящего документа, в целом необходимо следовать процедурам, представленными здесь, внося поправки для отличных от Windows файловых кластеров или устройств NAS.
1. Провизионирование групп и учетных записей
2. Включение удаленного управления Windows (WinRM)
3. Подготовка общего ресурса контента
4. Добавьте группу FileShareOwners в группу локальных администраторов, чтобы включить WinRM
5. Настройка управления доступом к общим папкам
1. Провизионирование групп и учетных записей
Провизионируйте группы и учетные записи в Active Directory
Создайте следующие группы глобальной безопасности Active Directory:
FileShareOwners
FileShareUsers
Создайте следующие учетные записи Active Directory в качестве учетных записей службы. Учетные записи, которые требуется создать
FileShareOwner
FileShareUser
Примечание
С точки зрения безопасности пользователи этих учетных записей (и всех веб-ролей) должны отличаться друг от друга и иметь надежные имена пользователей и пароли. Дополнительные сведения см. в статье Windows Azure Pack: Web Sites Security Enhancements.
Пароли FileShareOwner и FileShareUser должны быть заданы следующими условиями:
Включить параметр Срок действия пароля неограничен
Включить параметр Запретить смену пароля пользователем
Отключить параметр Потребовать смену пароля при следующем входе в систему.
Добавьте учетные записи в группы следующим образом:
Добавьте FileShareOwner в группу FileShareOwners
Добавьте FileShareUser в группу FileShareUsers
Провизионируйте группы и учетные записи в рабочей группе
В рабочей группе выполните команды net и WMIC для подготовки групп и учетных записей.
Выполните следующие команды, чтобы создать учетные записи FileShareOwner и FileShareUser. Замените <пароль> собственными значениями.
net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Установите бесконечный срок действия паролей для созданных учетных записей, выполнив следующие команды WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Создайте локальные группы FileShareUsers и FileShareOwners и добавьте учетные записи на первом шаге.
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
2. Включение удаленного управления Windows (WinRM)
В роли файлового сервера (или на каждом узле кластера файлового сервера Windows, если используется кластер) выполните следующие команды в командной строке с повышенными привилегиями, чтобы настроить WinRM:
powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}
netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all
Предупреждение
Не выполняйте вышеуказанные команды из пакетного файла. Если так сделать, то пакетный файл будет завершен раньше завершения сценария winrm.cmd.
При необходимости включите пользовательский интерфейс диспетчера ресурсов файлового сервера (FSRM) в версии Windows, отличной от Server Core
Если не производится установка в Server Core для Windows Server, при необходимости можно включить пользовательский интерфейс для диспетчера ресурсов файлового сервера (FSRM).
Примечание
Пользовательский интерфейс FSRM не требуется. Его нельзя установить на Server Core для Windows.
Для включения пользовательского интерфейса FSRM на одиночном файловом сервере выполните следующую команду в командной строке с повышенными привилегиями.
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all
3. Подготовка общего ресурса контента
Общий ресурс контента содержит контент веб-сайта клиента.
Процедура подготовки общей папки содержимого на одном файловом сервере одинакова для сред Active Directory и рабочей группы, но отличается для отказоустойчивого кластера в Active Directory.
Подготовка общей папки содержимого на одном файловом сервере (AD или рабочей группы)
На одном файловом сервере выполните следующие команды в командной строке с повышенными привилегиями. Замените значение <C:\WebSites> соответствующими путями в вашей среде.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Подготовка общего ресурса контента в отказоустойчивом кластере (Active Directory)
В отказоустойчивом кластере создайте следующие кластеризованные ресурсы UNC:
- WebSites
4. Добавьте группу FileShareOwners в группу локальных администраторов, чтобы включить WinRM
Для правильной работы службы удаленного управления Windows необходимо добавить группу FileShareOwners в группу локальных администраторов.
Active Directory
Выполните следующие команды в командной строке с повышенными привилегиями на файловом сервере или на каждом из узлов отказоустойчивого кластера файлового сервера. Замените значение <домена> именем домена, которое будет использоваться.
set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add
Рабочая группа
Выполните следующую команду в командной строке с повышенными привилегиями на файловом сервере.
net localgroup Administrators FileShareOwners /add
5. Настройка управления доступом к общим папкам
Выполните следующие команды в командной строке с повышенными привилегиями на файловом сервере или на узле отказоустойчивого кластера файлового сервера, который является текущим владельцем ресурса кластера. Замените значения, выделенные курсивом, значениями для конкретной среды.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Рабочая группа
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)