Freigeben über

Verwalten der Sicherheit

  • Artikel

In diesem Abschnitt werden häufige Aufgaben bei der Verwaltung der Sicherheit für einen Cachecluster beschrieben. Weitere Informationen zur Cacheclustersicherheit finden Sie unter Sicherheitsmodell.

Sicherheitsoptionen für den Cachecluster

Standardmäßig werden für die zwischen Cacheclients und dem Cachecluster gesendeten Daten sowohl Verschlüsselung als auch Signierung verwendet. Mithilfe des Windows PowerShell-Befehls Set-CacheClusterSecurity können die Sicherheitseinstellungen für den Cachecluster geändert werden. In der folgenden Tabelle werden die zwei Parameter für Set-CacheClusterSecurity beschrieben: SecurityMode und ProtectionLevel.

Parameter Werte Beschreibung

SecurityMode

None, Transport

Die Einstellung Transport aktiviert die Sicherheit, während die Sicherheit mit der Einstellung None deaktiviert wird.

ProtectionLevel

None, Sign, EncryptAndSign

Gibt den Typ der Sicherheit an, die auf Cacheclusterdaten angewendet wird.

Der folgende Befehl veranschaulicht das Deaktivieren der Sicherheit auf dem Cachecluster. Der Cachecluster muss beendet sein, damit die Sicherheitseinstellungen erfolgreich geändert werden können.

Set-CacheClusterSecurity -SecurityMode None -ProtectionLevel None

Anwendungen, die den Cachecluster verwenden, können darüber hinaus ihre Sicherheitsanforderungen an den Cacheclient konfigurieren. Vergewissern Sie sich, dass die Sicherheitsanforderungen der Clientanwendungen mit den neuen Sicherheitseinstellungen des Cacheclusters kompatibel sind, bevor Sie die standardmäßigen Sicherheitseinstellungen ändern. Weitere Informationen finden Sie unter Sicherheitsmodell.

Erteilen und Sperren von Windows-Konten

Wenn der Sicherheitsmodus auf Transport festgelegt ist, müssen alle Clients des Cacheclusters der Liste der zulässigen Clientkonten explizit hinzugefügt werden. Der Windows PowerShell-Befehl Grant-CacheAllowedClientAccount erteilt Windows-Konten Zugriff auf den Cachecluster. Im folgenden Beispiel wird der Liste der zulässigen Konten ein Domänenkonto (DOMAINNAME\username) hinzugefügt.

Grant-CacheAllowedClientAccount -Account "DOMAINNAME\username"

Beachten Sie, dass bei Ausführung der Clientanwendung als integriertes Computerkonto, etwa als NT-AUTORITÄT\Netzwerkdienst, dem Computer Zugriff auf den Cachecluster erteilt werden kann. Verwenden Sie hierzu das Computerkonto. Dies ist der Domänenname und der Computername mit einem angefügten Dollarzeichen. Im folgenden Beispiel wird dem Cachecluster Zugriff auf einen Computer mit dem Namen Server1 in einer Domäne mit dem Namen DOMAIN1 erteilt.

Grant-CacheAllowedClientAccount -Account "DOMAIN1\Server1$"

Für ASP.NET-Webanwendungen, die AppFabric-Cache verwenden, müssen Sie der vom Anwendungspool verwendeten Identität Zugriff erteilen. In vielen Fällen handelt es sich dabei um ein integriertes Computerkonto, und Sie können den Zugriff auf das Computerkonto wie im vorherigen Beispiel gezeigt erteilen. Wenn Sie jedoch einen Testcomputer verwenden, der zugleich den Webserver und den Cachecluster darstellt, müssen Sie den Zugriff direkt dem integrierten Computerkonto erteilen. Im folgenden Beispiel wird dem Cachecluster direkt Zugriff auf das Konto NT-AUTORITÄT\Netzwerkdienst erteilt.

Grant-CacheAllowedClientAccount -Account "NT Authority\Network Service"

Verwenden Sie den Befehl Get-CacheAllowedClientAccounts, um die zugelassenen Konten aufzulisten.

Get-CacheAllowedClientAccounts

Verwenden Sie den Befehl Revoke-CacheAllowedClientAccount, um den Clusterzugriff auf ein Konto zu sperren.

Revoke-CacheAllowedClientAccount -Account "DOMAINNAME\username"

Siehe auch

Konzepte

Häufige Aufgaben der Cacheclusterverwaltung (Windows Server AppFabric-Cache)

  2012-03-05