Udostępnij za pośrednictwem

Wstępnie skonfiguruj klaster serwera plików Windows lub urządzenie NAS dla Windows Azure Pack: witryny sieci Web

  • Artykuł

 

Zaktualizowano: 11 sierpnia 2015 r.

Dotyczy: Windows Azure Pack

W tym rozdziale pokazano, jak skonfigurować własny serwer plików lub klaster serwera plików do użycia z Windows Azure Pack: witryny sieci Web.

Tło

Jeśli podczas instalacji wybierzesz opcję Autonomiczny serwer plików Windows, przygotowanie serwera plików nie jest wymagane i jest dla Ciebie zautomatyzowane. Jednak mimo że opcja Autonomiczna jest przydatna w przypadku instalacji "weryfikacji koncepcji", środowisko produkcyjne zwykle wymaga bardziej niezawodnego rozwiązania, takiego jak klaster serwera plików Windows lub urządzenie nas dołączone Storage do sieci innych firm. Windows Azure Pack: witryny sieci Web nie zależą od uprawnień udziału plików w poszczególnych witrynach sieci Web, co umożliwia pracę z heterogenicznymi implementacjami magazynu plików, takimi jak urządzenia NAS.

Ostrzeżenie

Windows Azure Pack: witryny sieci Web korzystają z serwera plików Resource Manager (FSRM), który nie obsługuje serwerów plików skalowanych w poziomie.

Uwaga

Od wersji 6 aktualizacji Windows Azure Pack: witryny sieci Web nie wymagają już udziału certyfikatów i skojarzonych użytkowników. Nie trzeba ich dostarczać w nowych instalacjach. W uaktualnionych instalacjach poświadczenia i udział pozostają, ale nie zostaną użyte.

Pięć głównych kroków

Wstępne skonfigurowanie własnego serwera plików Windows, klastra serwera plików Windows lub urządzenia NAS innej firmy obejmuje pięć głównych kroków. Implementacja tych kroków zależy od tego, czy pracujesz w domenie usługi Active Directory, czy w środowisku grupy roboczej. Przedstawiono kroki obu środowisk.

Uwaga

Chociaż ten dokument wykracza poza zakres tego dokumentu, aby udostępnić instrukcje konfiguracji dla urządzeń NAS innych firm, należy zazwyczaj postępować zgodnie z przedstawionymi tutaj procedurami, wprowadzając korekty zgodnie z wymaganiami klastra plików innych niż Windows lub urządzenia NAS.

1. Aprowizuj grupy i konta

2. Włączanie Windows zdalnego zarządzania (WinRM)

3. Aprowizuj udział zawartości

4. Dodaj grupę FileShareOwners do lokalnej grupy Administratorzy, aby włączyć usługę WinRM

5. Konfigurowanie kontroli dostępu do udziałów

   

1. Aprowizuj grupy i konta

Aprowizuj grupy i konta w usłudze Active Directory

  1. Utwórz następujące globalne grupy zabezpieczeń usługi Active Directory:

    1. Właściciele udziałów plików

    2. FileShareUsers

  2. Utwórz następujące konta usługi Active Directory jako konta usług. Konta do utworzenia są

    1. FileShareOwner

    2. FileShareUser

      Uwaga

      Najlepszym rozwiązaniem w zakresie zabezpieczeń jest to, że użytkownicy tych kont (i dla wszystkich ról sieci Web) powinni być różnieni od siebie i mieć silne nazwy użytkowników i hasła. Aby uzyskać więcej informacji, zobacz Windows Azure Pack: Ulepszenia zabezpieczeń witryn internetowych.

    3. Hasła FileShareOwner i FileShareUser muszą być ustawione z następującymi warunkami:

      • Włącz hasło nigdy nie wygasa

      • Włączanie użytkownika nie może zmienić hasła

      • Wyłączenie użytkownika musi zmienić hasło przy następnym logowaniu

  3. Dodaj konta do członkostwa w grupach w następujący sposób:

    1. Dodawanie elementu FileShareOwner do grupy FileShareOwners

    2. Dodawanie elementu FileShareUser do grupy FileShareUsers

Aprowizuj grupy i konta w grupie roboczej

W grupie roboczej uruchom polecenia net i WMIC , aby aprowizować grupy i konta.

  1. Uruchom następujące polecenia, aby utworzyć konta FileShareOwner i FileShareUser. Zastąp <hasło> własnymi wartościami.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. Ustaw hasła dla utworzonych kont, aby nigdy nie wygasały, uruchamiając następujące polecenia WMIC:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. Utwórz grupy lokalne FileShareUsers i FileShareOwners i dodaj konta w pierwszym kroku do nich.

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

2. Włączanie Windows zdalnego zarządzania (WinRM)

W roli Serwera plików lub w każdym węźle klastra serwera plików Windows, jeśli używasz klastra, uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień, aby skonfigurować usługę WinRM:

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

Ostrzeżenie

Nie uruchamiaj powyższych poleceń z pliku wsadowego. Jeśli to zrobisz, plik wsadowy zakończy się przedwcześnie po zakończeniu skryptu winrm.cmd.

Opcjonalnie włącz interfejs użytkownika serwera plików Resource Manager (FSRM) na Windows nienależących do serwera podstawowego

Jeśli nie instalujesz programu Server Core dla serwera Windows Server, opcjonalnie możesz włączyć interfejs użytkownika dla serwera plików Resource Manager (FSRM).

Uwaga

Interfejs użytkownika fsRM nie jest wymagany. Nie można go zainstalować na serwerze Server Core dla Windows.

Aby włączyć interfejs użytkownika fsRM, uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3. Aprowizuj udział zawartości

Udział zawartości zawiera zawartość witryny sieci Web dzierżawy.

Procedura aprowizowania udziału zawartości na jednym serwerze plików jest taka sama zarówno w środowiskach usługi Active Directory, jak i grupy roboczej, ale inna dla klastra trybu failover w usłudze Active Directory.

Aprowizuj udział zawartości na jednym serwerze plików (AD lub Workgroup)

Na jednym serwerze plików uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień. Zastąp wartość C <:\WebSites> odpowiednimi ścieżkami w danym środowisku.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Aprowizuj udział zawartości w klastrze trybu failover (Active Directory)

W klastrze trybu failover utwórz następujące zasoby klastrowane UNC:

  1. Stron internetowych

4. Dodaj grupę FileShareOwners do lokalnej grupy Administratorzy, aby włączyć usługę WinRM

Aby Windows zdalne zarządzanie działało prawidłowo, należy dodać grupę FileShareOwners do lokalnej grupy Administratorzy.

Active Directory

Wykonaj następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień na serwerze plików lub w każdym węźle klastra trybu failover serwera plików. Zastąp wartość <domain> nazwą domeny, której będziesz używać.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Grupa robocza

Wykonaj następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień na serwerze plików.

net localgroup Administrators FileShareOwners /add

5. Konfigurowanie kontroli dostępu do udziałów

Wykonaj następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień na serwerze plików lub w węźle Klastra trybu failover serwera plików, który jest bieżącym właścicielem zasobu klastra. Zastąp wartości w kursywach wartościami specyficznymi dla danego środowiska.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupa robocza

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Zobacz też

Wdrażanie Windows Azure Pack: witryny sieci Web