Kvórumtanúsító üzembe helyezése

Ez a cikk háromféle kvórumtanúst ismertet, amelyek a környezet adott igényeihez és topológiájához telepíthetők. Ezeknek a tanúsító típusoknak a megismerésével a fürtkonfigurációt a hálózati környezet sajátos kialakítási és rugalmassági igényeinek leginkább megfelelőre szabhatja.

Minden kvórum tanúsító típus saját követelményekkel és szempontokkal rendelkezik. Az útmutató az egyes tanúsítótípusok konkrét előfeltételeit és konfigurációs lépéseit ismerteti, így kiválaszthatja és megvalósíthatja a környezet igényeinek leginkább megfelelő megoldást. Javasoljuk, hogy mindig konfiguráljon egy tanúsítót, ha Windows Server 2012 R2-t vagy újabb verziót használ. A Windows Server későbbi verzióiban lévő fürtök automatikusan kezelik a tanú szavazatot, és csomópontjaik a Dinamikus Kvórummal szavaznak.

Prerequisites

A felhőbeli tanúsító konfigurálásához a következőkre van szükség:

• A Failover Cluster funkciót telepíteni és konfigurálni kell az eszközön. További információkért lásd: Szerepkörök, szerepkör-szolgáltatások vagy funkciók telepítése vagy eltávolítása.

• Aktív előfizetéssel rendelkező Azure-fiókkal kell rendelkeznie.

• Általános célú Azure Standard V2-tárfiókot kell rendelkeznie, mivel csak ez a tárfióktípus támogatott. Ebben a tárfiókban egy felhőbeli tanúsító létrehozza a msft-cloud-witness tárolót a szavazási döntőbírósághoz szükséges blobfájl tárolásához. Ezt a fiókot és az msft-cloud-witness tárolót használhatja, amelyet a felhőtanúsító automatikusan hoz létre, hogy több különböző fürtben konfiguráljon egy felhőbeli tanúsítót.

  • Az Azure Storage-fiók létrehozásakor, ha a felhőtanúsítót konfiguráló fürt helyszíni vagy ugyanazon Azure-régión és rendelkezésre állási zónán belül található az Azure-ban, válassza Helyileg redundáns tárolás (LRS) a Replikáció mező konfigurálásakor. Ha a fürt ugyanabban az Azure-régióban található, de különböző rendelkezésre állási zónákban van, válassza a Zónaredundáns tárolást (ZRS).

  • Azure Storage-fiók létrehozásakor az Azure automatikusan létrehozott elsődleges és másodlagos hozzáférési kulcsokkal társítja. Amikor első alkalommal állít be felhőbeli tanúsítót, javasoljuk, hogy használja az elsődleges hozzáférési kulcsot. Ezután használhatja az elsődleges vagy a másodlagos hozzáférési kulcsot.

• Győződjön meg arról, hogy a hibatűrő fürt és az Azure Storage-fiókszolgáltatás közötti összes tűzfal engedélyezi a forgalmat a 443-as porton keresztül, amelyet HTTPS-portként is ismernek. A felhőbeli tanúsító a HTTPS REST felületet használja az Azure Storage szolgáltatáshoz. Ezért a feladatátvevő fürt összes csomópontján nyitva kell lennie a 443-as portnak ahhoz, hogy egy felhőbeli tanúsító a kívánt módon működjön.

A következő támogatott forgatókönyvek egyikét is használnia kell:

• Vészhelyreállítás elosztott, többhelyes fürtök esetén.

• Megosztott tárhely nélküli feladatátvevő fürtök, mint például az SQL Always On.

• Azok a feladatátvevő fürtök, amelyek vendég operációs rendszerben futnak, és amelyeket a Microsoft Azure Virtual Machine szerepkörben vagy bármely más nyilvános felhőben üzemeltetnek.

• Virtuális gépekből álló feladatátvevő fürtök, amelyeket vendég operációs rendszeren belül futó magánfelhőkben üzemeltetnek.

• Megosztott tárolóval vagy anélkül rendelkező tárolófürtök, például skálázott fájlkiszolgáló-fürtök.

• Kis fiókirodai fürtök, amelyek akár két csomópontból álló fürtök lehetnek.

A lemeztanúsuló konfigurálásához a következőkre van szükség:

• A Failover Cluster funkciót telepíteni és konfigurálni kell az eszközön. További információkért lásd: Szerepkörök, szerepkör-szolgáltatások vagy funkciók telepítése vagy eltávolítása.

• Megosztott tárterület: A tanúsító számára használt lemeznek olyan megosztott lemeznek kell lennie, amely a fürt összes csomópontja számára elérhető, amelyet általában egy tárolóhálózat (SAN) vagy más megosztott tárolási technológia biztosít.

• Lemezkonfiguráció:

  • A lemez tanúsítóját nem szabad meghajtóbetűjelként hozzárendelni, és semmilyen más célra, például felhasználói adatok vagy alkalmazások üzemeltetésére használni.
  • Alaplemezként van konfigurálva, nem dinamikus lemezként.
  • NTFS vagy ReFS formátumban a Windows Server 2012-hez és újabb verziókhoz.
  • A lemez minimális méretének 512 MB-nál nagyobbnak kell lennie.

A fájlmegosztási tanúsító konfigurálásához a következőkre van szükség:

• A Failover Cluster funkciót telepíteni és konfigurálni kell az eszközön. További információkért lásd: Szerepkörök, szerepkör-szolgáltatások vagy funkciók telepítése vagy eltávolítása.

• Teljes hozzáféréssel rendelkezik a feladatátvevő fürtön.

• Rendszergazdai hitelesítő adatok a fájlmegosztás konfigurálásához a bizonyító eszközön.

• Az SMB 2 vagy újabb verzióját támogató fájlmegosztási tanúsító üzemeltetésére szolgáló eszköz.

• Ha tartományhoz nem csatlakozott eszközt használ a fájlmegosztáshoz, a fürtnek Windows Server 2019 vagy újabb rendszert kell futtatnia.

• A fájlmegosztást egyetlen fürt számára kell fenntartani, és nem használható felhasználói vagy alkalmazásadatok tárolására.

• A fájlmegosztási tanúsítót üzemeltető eszköznek legalább 5 MB szabad területtel kell rendelkeznie.

• A fájlmegosztásnak fizikailag külön kell lennie a fürtcsomópontoktól vagy a fürtwebhelyektől. Fontolja meg például a hálózat, a teljesítmény, az állvány és a helyiségek elkülönítését, ha szükséges. Ez az elkülönítés növeli annak az esélyét, hogy a fürtcsomópontok vagy helyek működőképesek maradjanak, ha megszakad a közöttük lévő hálózati kommunikáció.

Warning

A feladatátvételi fürtszolgáltatás nem támogatja az Elosztott Fájlrendszer (DFS) vagy a replikált tárolási technológiák használatát. A DFS okozhat partíciós hibát a térben vagy időben, ahol a fürtcsomópontok egymástól függetlenül futnak, és ez adatvesztést okozhat.

Fájlmegosztás létrehozása

A fájlmegosztási tanúsító egy tartományhoz csatlakoztatott Windows-eszközön vagy nem tartományhoz csatlakoztatott eszközön, például hálózati csatlakoztatott tároló (NAS) eszközökön, munkacsoporthoz csatlakoztatott Windows-eszközökön vagy helyi USB-tárolóval rendelkező útválasztókon üzemeltethető. A fájlmegosztás magas rendelkezésre állásának biztosításához külön feladatátvevő fürtöt is használhat. Egyetlen fájlkiszolgáló több fájlmegosztással is konfigurálható úgy, hogy több fürt tanúi legyenek.

Mielőtt konfigurálhat egy fájlmegosztási tanúsítót, először létre kell hoznia egy fájlmegosztást. Az alábbi lépések lehetővé teszik fájlmegosztás konfigurálását tartományhoz csatlakoztatott Windows-eszközökhöz és nem tartományhoz csatlakoztatott eszközökhöz is. Válassza ki a forgatókönyv megfelelő lapját.

tartományhoz csatlakoztatott Windows-eszköz

A fájlmegosztás tanúsítójának tartományhoz csatlakoztatott Windows-eszközön való konfigurálásához kövesse az alábbi lépéseket:

Important

Az SMB-fájlmegosztást egy olyan Windows-kiszolgálón kell üzemeltetni, amely ugyanahhoz az Active Directory-erdőhöz csatlakozik, mint a fürt.

1. Kattintson a jobb gombbal a Start gombra, és válassza a Számítógép-kezelés lehetőséget.

2. A Számítógép-kezelés konzolon bontsa ki a Rendszereszközök > megosztott mappákat.

3. Kattintson a jobb gombbal a Megosztások elemre, és válassza az Új megosztás lehetőséget.

4. A Megosztott mappa létrehozása varázslóbanválassza a Következő lehetőséget a kezdéshez.

5. Adja meg a megosztani kívánt mappa elérési útját, vagy a Tallózás gombra kattintva keresse meg a mappát, majd válassza a Tovább gombot.

6. Adja meg a megosztás nevét, majd válassza a Módosítás lehetőséget az offline beállítások konfigurálásához. A megosztás leírásának megadása nem kötelező.

7. Válassza A megosztott mappából nem érhetők el fájlok vagy programok offline. Kattintson az OK gombra, majd a Tovább gombra.

8. A Megosztott mappa engedélyeiterületen válassza Engedélyek testreszabásalehetőséget, majd válassza Egyénilehetőséget.

9. Válassza a Mindenki lehetőséget, majd az Eltávolítás lehetőséget.

10. Válassza a Hozzáadás lehetőséget, adja meg a nevet, vagy keresse meg a fürt vagy a CNO-t tartalmazó megfelelő Active Directory-csoport fürtnévobjektumát (CNO). Ezután válassza OKlehetőséget.

11. Válassza ki a Módosítás és az Olvasás engedélyeket is.

12. Válassza a Biztonság lapot, majd a Speciális lehetőséget.

13. A Speciális biztonsági beállítások képernyő Engedélyek lapján válassza hozzáadása lehetőséget.

14. Az Alapszintű engedélyek területen válassza a Módosítás, az Olvasás és végrehajtás, a Mappatartalom listázása és az Olvasás lehetőséget. Ezután válassza OKlehetőséget.

15. Erősítse meg és konfigurálja az egyéb mappaengedélyeket, hogy megfeleljenek a szervezet követelményeinek. Válassza az OK gombot minden párbeszédpanelen, amíg vissza nem tér a Megosztott mappa engedélyei képernyőre .

16. Válassza a Befejezés lehetőséget a megosztás létrehozásához.

tartományhoz nem csatlakoztatott eszköz

Ha nem tartományhoz csatlakoztatott eszközön szeretné konfigurálni a fájlmegosztási tanúsítót, kövesse az alábbi lépéseket:

Important

Ha nem Windows rendszerű eszközt használ, tekintse meg a szállító dokumentációját, hogy miként hozhat létre helyi fiókokat, és hogyan konfigurálhat SMB-megosztást az eszközön. Ezek a lépések általánosítva vannak.

1. Jelentkezzen be az eszközére rendszergazdaként.

2. Hozzon létre egy helyi fiókot a készüléken, amelyet a fürt használhat a fájlmegosztás hitelesítésére. A hitelesítő adatokat biztonságos helyen tárolja.

3. Hozzon létre egy SMB-fájlmegosztást az SMB 2 vagy újabb protokollt használó eszközön.

4. Frissítse a megosztási engedélyeket, hogy az összes felhasználót és csoportot eltávolítsa az új helyi fiók és a szervezet követelményeinek való megfeleléshez szükséges engedélyek kivételével. Az új helyi fióknak módosítási és olvasási engedélyekkel kell rendelkeznie.

5. Szükség esetén módosítsa a fájlrendszer engedélyeit. Adja meg az új helyi fióknak a fájlrendszerre vonatkozó módosítási, olvasási és végrehajtási, mappatartalmak listázási és olvasási engedélyeit. A helyi fióknak írási hozzáféréssel kell rendelkeznie.

6. Erősítse meg és konfigurálja az egyéb mappaengedélyeket, hogy megfeleljenek a szervezet követelményeinek.

7. Végezze el a fájlmegosztás létrehozásának további lépéseit.

Felhőbeli tanúsító konfigurálása

A felhő-tanúsítványt a Feladatátvételi fürtkezelő, a PowerShell és a Windows felügyeleti központ használatával konfigurálhatja.

Átvételfürt-kezelő

1. A Kiszolgálókezelőben válassza az Eszközök, majd a Feladatátvevőfürt-kezelő lehetőséget.

2. A bal oldali panelon, a Failover Cluster Manageralatt válassza ki azt a fürtöt, amelyet konfigurálni szeretne.

3. A jobb oldali panel Műveletek csoportjában válassza a További műveletek lehetőséget, majd a Fürt kvórumbeállításainak konfigurálása lehetőséget.

4. A Fürtkvórum konfigurálása varázslóalatt válassza Továbblehetőséget.

5. A Kvórumkonfiguráció opció kiválasztásalehetőségnél válassza a Kvórum tanú kiválasztásalehetőséget, majd válassza a Továbblehetőséget.

6. A Kvórumtanúsító kiválasztása, válassza a Felhőtanúsító konfigurálása, majd válassza a Következőlehetőséget.

7. A Felhőbeli tanúsítókonfigurálása területen adja meg a következő adatokat, majd válassza Következő:

   • Az Azure Storage-fiók neve.

   • A tárfiókhoz társított hozzáférési kulcs.

     • Ha első alkalommal hoz létre felhőbeli tanúsítót, használja az elsődleges hozzáférési kulcsot.

     • Ha az elsődleges hozzáférési kulcsot forgatja, használja inkább a másodlagos hozzáférési kulcsot.

     Note

     A hozzáférési kulcsok közvetlen tárolása helyett a feladatátvevő fürt egy megosztott hozzáférési aláírás (SAS) jogkivonatot generál a biztonságos tároláshoz. A jogkivonat csak addig marad érvényes, amíg a társított hozzáférési kulcs érvényes. Elsődleges hozzáférési kulcs elforgatásakor a kulcs újragenerálása előtt frissítse az összes, az adott tárfiókot használó fürt felhőbeli tanúsítványait a másodlagos kulcs alkalmazásával.

   • Az Azure-szolgáltatásvégpont

     Egy másik meglévő kiszolgáló nevét is beírhatja az Azure-szolgáltatásvégpont mezőbe, ha egy másik Azure-szolgáltatásvégpontot szeretne használni a felhőbeli tanúsítójához, például az Azure China-hoz.

8. A Megerősítés csoportban tekintse át a kvórumbeállításokat, majd válassza a Tovább gombot.

9. Az Összefoglalás területen tekintse át a tanúsító konfigurációját, majd válassza a Befejezés lehetőséget.

   A további konfigurációs részletekért válassza a Jelentés megtekintése lehetőséget.

Miután létrehozták a felhő tanút, megtalálható, ha a Feladatátvevő fürtkezelő középső paneljára navigálunk a Fürt alap erőforrásaialatt.

PowerShell

Nyisson meg egy emelt szintű PowerShell-ablakot, és hajtsa végre a következő lépéseket:

1. Futtassa a következő parancsot egy felhőbeli tanúsító beállításához:

   Set-ClusterQuorum -CloudWitness -AccountName <StorageAccountName> -AccessKey <StorageAccountAccessKey>
   

   Ha módosítania kell a végpontot, futtassa a következő parancsot:

   Set-ClusterQuorum -CloudWitness -AccountName <StorageAccountName> -AccessKey <StorageAccountAccessKey> -Endpoint <servername>
   

2. Futtassa a következő parancsot a telepítési folyamat sikerességének ellenőrzéséhez:

   Get-ClusterQuorum
   

Windows Felügyeleti központ

1. A Windows Admin Centerbennavigáljon a Fürtkezelőhöz.

2. Válassza ki annak a fürtnek a nevét, amelyhez felhőbeli tanúsítót szeretne létrehozni.

3. Lépjen aKonfigurációbeállítások>fürt>tanúsító>lapra.

4. A Tanúsító típusa legördülő menüben válassza a Cloud Witness lehetőséget.

5. Adja meg az Azure Storage-fiók nevét és fiókkulcsát a megfelelő mezőkbe.

   Ha szeretné, módosíthatja a végpontot az alapértelmezett értékről úgy, hogy beírja egy meglévő kiszolgáló nevét a Végpont mezőbe.

6. Válassza az Mentésgombot.

7. A tanúsító erőforrás állapotának ellenőrzésével ellenőrizheti, hogy a konfiguráció sikeres volt-e. Ha az állapot online állapotú, az azt jelenti, hogy a felhőbeli tanúsító konfigurálva van és használatra kész.

Lemeztanú konfigurálása

Átvételfürt-kezelő

A Failover Cluster Manager használatával a következő lépések végrehajtásával konfigurálhat egy lemeztanút:

1. A Kiszolgálókezelőben válassza az Eszközök, majd a Feladatátvevőfürt-kezelő lehetőséget.

2. A bal oldali panelon, a Failover Cluster Manageralatt válassza ki azt a fürtöt, amelyet konfigurálni szeretne.

3. A jobb oldali panel Műveletek csoportjában válassza a További műveletek lehetőséget, majd a Fürt kvórumbeállításainak konfigurálása lehetőséget.

4. A Fürtkvórum konfigurálása varázslóalatt válassza Továbblehetőséget.

5. A Kvórumkonfiguráció opció kiválasztásalehetőségnél válassza a Kvórum tanú kiválasztásalehetőséget, majd válassza a Továbblehetőséget.

6. A Kvórum tanúsítókiválasztása csoportban válassza a Lemeztanúsulókonfigurálása lehetőséget, majd válassza a Következőlehetőséget.

7. A Storage-tanúsítókonfigurálása csoportban válassza ki a lemezt, amelyet lemeztanúsítóként szeretne kijelölni, majd válassza a Továbblehetőséget.

8. A Megerősítés csoportban tekintse át a kvórumbeállításokat, majd válassza a Tovább gombot.

9. Az Összefoglalás területen tekintse át a tanúsító konfigurációját, majd válassza a Befejezés lehetőséget.

PowerShell

Nyisson meg egy emelt szintű PowerShell-ablakot, és hajtsa végre a következő lépéseket:

1. Futtassa a következő parancsot az összes rendelkezésre álló, lemez tanúsítóként használható lemez listázásához:

   Get-ClusterAvailableDisk
   

2. Futtassa a következő parancsot a lemez tanúsítójaként használni kívánt lemez kiválasztásához:

   Set-ClusterQuorum -DiskWitness <Cluster Disk Number>
   

   Például:

   Set-ClusterQuorum -DiskWitness Cluster Disk 1
   

Fájlmegosztási tanúsító konfigurálása

Átvételfürt-kezelő

A feladatátvevőfürt-kezelővel konfigurálhat egy fájlmegosztási tanúsítót egy tartományhoz csatlakoztatott Windows-eszközön az alábbi lépések végrehajtásával:

1. A Kiszolgálókezelőben válassza az Eszközök, majd a Feladatátvevőfürt-kezelő lehetőséget.

2. A bal oldali panelon, a Failover Cluster Manageralatt válassza ki azt a fürtöt, amelyet konfigurálni szeretne.

3. A jobb oldali panel Műveletek csoportjában válassza a További műveletek lehetőséget, majd a Fürt kvórumbeállításainak konfigurálása lehetőséget.

4. A Fürtkvórum konfigurálása varázslóalatt válassza Továbblehetőséget.

5. A Kvórumkonfiguráció opció kiválasztásalehetőségnél válassza a Kvórum tanú kiválasztásalehetőséget, majd válassza a Továbblehetőséget.

6. A Kvórum tanúsítókiválasztása területen válassza a Fájlmegosztási tanúsítókonfigurálása, majd a Következőlehetőséget.

7. A Fájlmegosztás tanúkonfigurálása csoportban írja be a fájl elérési útját, vagy válassza a Tallózáslehetőséget, majd válassza az ismételt Tallózás lehetőséget, és keresse meg a tanú erőforrásként való használathoz kívánt fájlmegosztást. Ezután válassza a Tovább lehetőséget.

8. A Megerősítés csoportban tekintse át a konfigurációt, és válassza a Tovább gombot.

9. A varázsló futtatása után megjelenik az Összegzés lap. Ha meg szeretné tekinteni a varázsló által végrehajtott tevékenységekről szóló jelentést, válassza a Jelentés megtekintése lehetőséget. A konfiguráció befejezéséhez válassza a Befejezés lehetőséget.

Note

A fürt kvórumának konfigurálása után javasoljuk, hogy futtassa a Kvórumkonfiguráció ellenőrzése nevű tesztet az új kvórumbeállítások ellenőrzésére.

PowerShell

Nem tartományhoz csatlakoztatott fájlmegosztási tanúsító csak a PowerShellből konfigurálható. Nyisson meg egy emelt szintű PowerShell-ablakot, és hajtsa végre a következő lépéseket:

1. A következő parancs futtatásával konfigurálja a fürt kvórumát úgy, hogy fájlmegosztási tanút használjon. A rendszer kéri, hogy adja meg a fájlmegosztási tanúsító helyi hitelesítő adatait. Cserélje le <ClusterName> a fürt nevére, \\FileShareWitnessServer\WitnessShare pedig a fájlmegosztási tanúsító elérési útjára.

   Set-ClusterQuorum -Cluster <ClusterName> -FileShareWitness \\FileShareWitnessServer\WitnessShare -Credential (Get-Credential)
   

2. A fürt kvórumbeállításainak ellenőrzésére futtassa a következő parancsot:

   Get-ClusterQuorum -Cluster <ClusterName> | Format-List *
   

3. A fürt kvórumának konfigurálása után futtassa a következő parancsot a kvórumkonfigurációs beállítások érvényesítéséhez:

   Test-Cluster
   

Proxyval kapcsolatos szempontok felhőbeli tanúsítóval

A felhőbeli tanúsító a HTTPS-t, az alapértelmezett 443-at használja az Azure Blob szolgáltatással való kimenő kommunikáció kialakításához. Az Azure végpontként .core.windows.net használ. Győződjön meg arról, hogy ez a végpont szerepel a fürt és az Azure Storage között használt tűzfal-engedélyezési listákban. Ha proxyra van szükség az Azure Storage eléréséhez, konfigurálja a Windows HTTP-szolgáltatásokat (WinHTTP) a szükséges proxybeállításokkal. A fürtből álló hibakezelő rendszer a WinHTTP-t használja a HTTPS kommunikációhoz.

Az netsh paranccsal konfigurálhat egy alapértelmezett proxykiszolgálót egy emelt szintű PowerShell-ablak megnyitásával és a következő parancs futtatásával:

netsh winhttp set proxy proxy-server="<ProxyServerName>:<port>" bypass-list="<HostsList>"

Például:

netsh winhttp set proxy proxy-server="192.168.10.80:8080" bypass-list="<local>; *.contoso.com"

Note

A parancs futtatása megváltoztatja a WinHTTP alapértelmezett proxykonfigurációját. Minden alkalmazás, beleértve a WinHTTP-t használó Windows-szolgáltatásokat is.

Lásd még

• Újdonságok a Windows Server feladatátvételi fürtözésében

• A Netsh parancs szintaxisa, környezete és formázása

• Megosztott fürtkötetek használata feladatátvevő fürtben