Pré-configurar um cluster de servidores de arquivos Windows ou dispositivo NAS para o Microsoft Azure Pack: Sites
Atualizado em: 11 de agosto de 2015
Aplica-se a: Windows Azure Pack
Este capítulo mostra como configurar seu próprio Servidor de Arquivos ou Cluster de Servidor de Arquivos para usar com o Pacote do Windows Azure: Sites.
Tela de fundo
Se você escolher a opção Servidor de Arquivos Autônomo do Windows durante a instalação, a preparação do servidor de arquivos não será necessária e será automatizada. Entretanto, embora a opção autônoma seja útil para instalações de “prova de conceito”, um ambiente de produção normalmente requer uma solução mais robusta, como um cluster de servidores de arquivos do Windows ou um dispositivo NAS (Network Attached Storage) de terceiros. Microsoft Azure Pack: Os usos do site não depende de permissões de compartilhamento de arquivo por site, que o permite trabalhar com implantações de armazenamento de arquivo heterogêneas, como dispositivos NAS.
Aviso
Microsoft Azure Pack: O site se baseia no FSRM (Gerenciador de Recursos de Servidor de Arquivos), que não dá suporte a usuários do arquivo em expansão.
Observação
Desde a Versão de atualização 6, o Pacote do Microsoft Azure: Os Sites não exigem um Compartilhamento de certificado e usuários associados. Você não será solicitado a fornecê-los em novas instalações. Em instalações atualizadas, as credenciais e o compartilhamento permanecerão mas não serão utilizados.
Cinco etapas principais
A configuração prévia de seu próprio servidor de arquivos do Windows, cluster de servidores de arquivos do Windows ou dispositivo NAS de terceiros envolve as cinco etapas principais a seguir. A implementação dessas etapas varia dependendo se você estar trabalhando em um domínio do Active Directory ou em um ambiente de grupo de trabalho. As etapas para ambos os ambientes são apresentadas.
Observação
Embora esteja além do escopo deste documento fornecer instruções de configuração para dispositivos NAS de terceiros, em geral você deve seguir os procedimentos apresentados aqui, fazendo ajustes conforme exigido por seu cluster de arquivos que não seja do Windows ou pelo dispositivo NAS.
1. Provisionar grupos e contas
2. Habilitar o gerenciamento remoto do Windows (WinRM)
3. Provisionar o Compartilhamento de conteúdo
4. Adicionar grupo FileShareOwners ao grupo de administradores locais para habilitar WinRM
5. Configurar controle de acesso para os compartilhamentos
1. Provisionar grupos e contas
Provisionar grupos e contas no Active Directory
Crie os seguintes grupos de segurança global do Active Directory:
FileShareOwners
FileShareUsers
Crie as seguintes contas do Active Directory como contas de serviço. As contas a serem criadas são
FileShareOwner
FileShareUser
Observação
Como prática recomendada de segurança, os usuários dessas contas (e para todas as funções Web) devem ser diferentes entre si, e ter nomes de usuário e senhas fortes. Para obter mais informações, consulte Windows Azure Pack: Web Sites Security Enhancements.
As senhas FileShareOwner e FileShareUser devem ser definidas com as seguintes condições:
Habilitar A senha nunca expira
Habilitar O usuário não pode alterar a senha
Desabilitar O usuário deve alterar a senha no próximo logon
Adicionar as contas às associações de grupo, desta forma:
Adicionar FileShareOwner ao grupo FileShareOwners
Adicionar FileShareUser ao grupo FileShareUsers
Provisionar grupos e contas em um grupo de trabalho
Em um grupo de trabalho, execute a rede e comandos WMIC para provisionar grupos e contas.
Execute os seguintes comandos para criar as contas FileShareOwner e FileShareUser. Substitua <a senha> por seus próprios valores.
net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Defina as senhas das contas recém-criadas para nunca expirarem durante a execução dos seguintes comandos WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Crie os grupos locais FileShareUsers e FileShareOwnerse adicione a eles as contas na primeira etapa.
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
2. Habilitar o gerenciamento remoto do Windows (WinRM)
Na função Servidor de Arquivos, ou em cada nó do Cluster de Servidores de Arquivos do Windows, se você estiver usando um cluster, execute os seguintes comandos em um prompt de comandos com privilégios elevados para configurar WinRM:
powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}
netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all
Aviso
Não execute os comandos acima de um arquivo em lotes. Se você fizer isso, o arquivo de lote será encerrado prematuramente após a conclusão do script winrm.cmd.
Como opção, habilite a interface do usuário do FSRM (Gerenciador de Recursos de Servidor de Arquivos) no núcleo do servidor não Windows
Se você não estiver instalando no Server Core do Windows Server, opcionalmente, você pode habilitar a interface do usuário para o FSRM (Gerenciador de Recursos de Servidor de Arquivos).
Observação
A interface do usuário do FSRM não é necessária. Ela não pode ser instalada em Server Core para Windows.
Para habilitar a interface do usuário do FSRM, execute o seguinte comando em um prompt de comandos com privilégios elevados:
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all
3. Provisionar o Compartilhamento de conteúdo
O Compartilhamento de conteúdo armazena conteúdo do site de locatário.
O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Ative Directory e do Workgroup, mas diferente para um cluster de failover no Ative Directory.
Provisionar o compartilhamento de conteúdo em um único servidor de arquivos (AD ou Workgroup)
Em um único servidor de arquivos, execute os comandos a seguir em um prompt de comando elevado. Substitua o valor de <C:\WebSites> pelos caminhos correspondentes em seu ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Provisionar o compartilhamento de conteúdo em um cluster de failover (Ative Directory)
No cluster de failover, crie os seguintes recursos clusterizados UNC:
- WebSites
4. Adicionar grupo FileShareOwners ao grupo de administradores locais para habilitar WinRM
Para que o Gerenciamento Remoto do Windows funcione corretamente, você deve adicionar o grupo FileShareOwners ao grupo de administradores locais.
Active Directory
Execute os comandos a seguir em um prompt de comando elevado no Servidor de Arquivos, ou em cada nó de cluster de failover do Servidor de Arquivos. Substitua o valor de <DOMAIN> pelo nome de domínio que você usará.
set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add
Grupo de trabalho
Execute o comando a seguir em um prompt de comando elevado no Servidor de Arquivos.
net localgroup Administrators FileShareOwners /add
5. Configurar controle de acesso para os compartilhamentos
Execute os comandos a seguir em um prompt de comando elevado no Servidor de Arquivos, ou no nó de cluster de failover do Servidor de Arquivos, que é o proprietário atual do recurso de cluster. Substitua valores em itálico por valores específicos do seu ambiente.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grupo de trabalho
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)