Vorkonfigurieren eines Windows-Dateiserverclusters oder NAS-Geräts für das Windows Azure Pack: Websites

  • Artikel

 

Aktualisiert: 11. August 2015

Gilt für: Windows Azure Pack

Das Kapitel zeigt, wie Sie einen eigenen Dateiserver oder Dateiservercluster zur Verwendung mit Windows Azure Pack konfigurieren: Websites installieren und ausführen können.

Hintergrund

Bei Verwendung einer eigenständigen Windows-Dateiserveroption während der Installation muss kein Dateiserver vorbereitet werden, da die Vorbereitung automatisch erfolgt. Auch wenn die eigenständige Option für "Machbarkeitsstudien"-Installationen nützlich ist, benötigt eine Produktionsumgebung normalerweise eine robustere Lösung, wie etwa ein Windows-Dateiservercluster oder ein NAS-Drittanbieter-Gerät (Network Attached Storage). Windows Azure Pack: Websites benötigt keine Pro-Website-Dateifreigabeberechtigungen, die ermöglichen, mit heterogenen Dateispeicherungsimplementierungen wie NAS-Geräten zu arbeiten.

Warnung

Windows Azure Pack: Websites basiert auf File Server Resource Manager (FSRM), der keine Dateiserver für horizontales Skalieren unterstützt.

Hinweis

Ab Update 6 sind für Microsoft Azure Pack: Websites keine Zertifikatfreigabe und keine zugeordneten Benutzer mehr erforderlich. Sie müssen sie in neuen Installationen nicht mehr bereitstellen. In aktualisierten Installationen bleiben die Anmeldeinformationen und die Freigabe erhalten, werden jedoch nicht verwendet.

Fünf wichtige Schritte

Um Ihren eigenen Windows-Dateiserver, Windows-Dateiservercluster oder ein Drittanbieter-NAS-Gerät vorzukonfigurieren, müssen Sie die folgenden fünf wichtigen Schritte durchführen. Die Implementierung dieser Schritte hängt davon ab, ob Sie in einer Active Directory-Domäne oder in einer Arbeitsgruppenumgebung arbeiten. Es werden die Schritte für beide Umgebungen dargestellt.

Hinweis

Obwohl es nicht Gegenstand dieses Dokuments ist, die Konfigurationsanweisungen für NAS-Geräte von Drittanbietern bereitzustellen, sollten Sie generell den Prozeduren folgen, die hier dargestellt werden, und entsprechende Anpassungen für Ihr Nicht-Windows-Dateicluster oder NAS-Gerät vornehmen.

1. Bereitstellen von Gruppen und Konten

2. Aktivieren der Windows-Remoteverwaltung (WinRM)

3. Bereitstellen der Inhaltsfreigabe

4. Hinzufügen der FileShareOwners-Gruppe zur lokalen Administratorgruppe, um WinRM zu aktivieren

5. Konfigurieren der Zugriffssteuerung zu den Freigaben

   

1. Bereitstellen von Gruppen und Konten

Stellen Sie Gruppen und Konten in Active Directory bereit

  1. Erstellen Sie die folgenden globalen Active Directory-Sicherheitsgruppen:

    1. FileShareOwners

    2. FileShareUsers

  2. Erstellen Sie die folgenden Active Directory-Konten als Dienstkonten. Die zu erstellenden Konten sind

    1. FileShareOwner

    2. FileShareUser

      Hinweis

      Aus Sicherheitsgründen wird empfohlen, die Benutzer für diese Konten (und für alle Webrollen) voneinander zu trennen und sichere Benutzernamen und Kennwörter zu erzwingen. Weitere Informationen finden Sie unter Windows Azure Pack: Web Sites Security Enhancements.

    3. Die Kennwörter "FileShareOwner" und "FileShareUser" müssen mit den folgenden Bedingungen festgelegt werden:

      • Aktivieren Sie Kennwort läuft nie ab

      • Aktivieren Sie Benutzer kann Kennwort nicht ändern

      • Deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern

  3. Fügen Sie die Konten wie folgt Gruppen als Mitglieder hinzu:

    1. Fügen Sie FileShareOwner der FileShareOwners-Gruppe hinzu

    2. Fügen Sie FileShareUser der FileShareUsers-Gruppe hinzu

Stellen Sie Gruppen und Konten in einer Arbeitsgruppe bereit

Führen Sie in einer Arbeitsgruppe Net- und WMIC-Befehle aus, um Gruppen und Konten bereitzustellen.

  1. Führen Sie die folgenden Befehle aus, um die Konten FileShareOwner und FileShareUser zu erstellen. Ersetzen Sie <das Kennwort> durch Ihre eigenen Werte.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. Legen Sie fest, dass die Kennwörter für die Konten, die gerade erstellt wurden, nie ablaufen sollen, indem Sie die folgenden WMIC-Befehle ausführen:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. Erstellen Sie die lokalen Gruppen FileShareUsers und FileShareOwners, und fügen Sie die Konten im ersten Schritt hinzu.

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

2. Aktivieren der Windows-Remoteverwaltung (WinRM)

Führen Sie auf der Dateiserverrolle oder auf jedem Knoten des Windows-Dateiserverclusters (wenn Sie einen Cluster verwenden) die folgenden Befehle an der Eingabeaufforderung mit erweiterten Berechtigungen aus, um WinRM zu konfigurieren:

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

Warnung

Führen Sie die oben aufgeführten Befehle nicht über eine Batchdatei aus. Wenn Sie dies tun, wird die Batchdatei nach Abschluss des Skripts "winrm.cmd" vorzeitig beendet.

Aktivieren Sie alternativ die Benutzeroberfläche des Ressourcen-Managers für Dateiserver (FSRM) auf Windows-Kernsystemen, die keine Server sind.

Wenn Sie nicht auf Server Core für Windows Serverinstallieren, können Sie optional die Benutzeroberfläche des Ressourcen-Managers für Dateiserver (File Server Resource Manager, FSRM) aktivieren.

Hinweis

Die FSRM-Benutzeroberfläche ist nicht erforderlich. Es kann nicht auf Server Core für Windows installiert werden.

Um die FSRM-Benutzeroberfläche zu aktivieren, führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten aus:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3. Bereitstellen der Inhaltsfreigabe

Die Inhaltsfreigabe enthält Inhalte von Mandantenwebsites.

Das Verfahren zum Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver ist für Active Directory- und Arbeitsgruppenumgebungen identisch, es unterscheidet sich jedoch für einen Failovercluster in Active Directory.

Bereitstellen der Inhaltsfreigabe auf einem einzelnen Dateiserver (AD oder Arbeitsgruppe)

Führen Sie auf einem einzelnen Dateiserver die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. Ersetzen Sie den Wert für <C:\WebSites> durch die entsprechenden Pfade in Ihrer Umgebung.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Bereitstellen der Inhaltsfreigabe auf einem Failovercluster (Active Directory)

Erstellen Sie im Failovercluster die folgenden UNC-Clusterressourcen:

  1. WebSites

4. Hinzufügen der FileShareOwners-Gruppe zur lokalen Administratorgruppe, um WinRM zu aktivieren

Damit die Windows-Remoteverwaltung ordnungsgemäß funktioniert, müssen Sie die Gruppe FileShareOwners der lokalen Administratorgruppe hinzufügen.

Active Directory

Führen Sie die folgenden Befehle an der Eingabeaufforderung mit erweiterten Berechtigungen auf dem Dateiserver oder auf einem Dateiserver-Failoverclusterknoten aus. Ersetzen Sie den Wert für <DOMÄNE> durch den Domänennamen, den Sie verwenden.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Arbeitsgruppe

Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erweiterten Berechtigungen auf dem Dateiserver aus.

net localgroup Administrators FileShareOwners /add

5. Konfigurieren der Zugriffssteuerung zu den Freigaben

Führen Sie die folgenden Befehle an der Eingabeaufforderung mit erweiterten Berechtigungen auf dem Dateiserver oder auf dem Dateiserver-Failoverclusterknoten aus, welcher der aktuelle Clusterressourcenbesitzer ist. Ersetzen Sie die kursiven Werte durch die Werte für Ihre Umgebung.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Arbeitsgruppe

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Weitere Informationen

Bereitstellen von Windows Azure Pack: Websites