Windows Server 2003 de bir Cluster Resource un Smart Card Reader kullanabilmesi
Windows Server 2003 de bir cluster resource u Smart Card Reader kullanamamakta.
Bunu isterseniz küçük bir ortamda deneyebilirsiniz:
1) Windows Server 2003 Enterprise Edition i smart card reader i olan bir donanima kurun ve bir domain e ekleyin. Uygun DC yok ise dcpromo yapin.
2) Local quorum lu bir cluster olusturun. Bu bizim tek node lu cluster imiz olacak.
3) Simdi cluster grubu içinde bir generic application resource u olusturun:
Comand line: cmd /k certutil.exe scinfo
Current Directory: C:\WINDOWS\System32
“Allow application to interact with desktop” u checkleyin.
4) Resource u online a çekin. Cmd açilacak ve gördügünüz mesaj buna benzeyecek:
The Microsoft Smart Card Resource Manager is not running.
SCardAccessStartedEvent: Service is in an unknown state.
CertUtil: -SCInfo command FAILED: 0x80070006 (WIN32: 6)
CertUtil: The handle is invalid.
5) Isterseniz simdi de direk start, run, cmd den certutil.exe in scinfo komutunu çalistirin. Farki görebileceksiniz. Iki cmd pencereleri yan yana ayni sistemde ayni komutu çalistiriyor ve sadece birinde basarili.
Bu sadece Windows Server 2003 için geçerli.
Windows Server 2008 / R2 de bir cluster resource u SmartCard Resource Manager a ulasabilir. Bu Windows 2000 Server için de mümkün.
Bu davranis by design. Windows Server 2003 de hiçbir servis (bizim örnekte yazilim cluster servisi üzerinden çalisiyor) direk Microsoft Smart Card Resource Manager a erisemez. Bunun nedeni de güvenliktir: Örnegin bir Administrator smart kartini bir sunucuda unutabilir. Eger zararli bir yazilim kendisini servis olarak çalistiriyorsa belki bu kart a erisip güvenlik seviyesini artirabilir.
Genel olarak Microsoft, Microsoft Smart Card Resource Manager i Cluster servisi ile beraber kullanilmasini desteklemiyor.
Eger cluster da çalisan yaziliminiz için smart card vazgeçilmez ise, mesela resource u çalistiran node a RDP ile baglanip smart card i session da beraberinizde götürebilirsiniz. O zaman cluster üzerinden de SmartCard Resource Manager a ulasabilirsiniz, yani yukaridaki senaryo çalisir hale gelir. Elbette move/failover dan sonra tekrar öbür node a baglanmaniz gerekir ve bu da cluster mantigi ile uyusmamakta.
Basar Güner