Předkonfigurujte cluster souborového serveru Windows nebo zařízení NAS pro Windows Azure Pack: Weby
Aktualizováno: 11. srpna 2015
Platí pro: Windows Azure Pack
Tato kapitola ukazuje, jak nakonfigurovat vlastní souborový server nebo cluster souborového serveru pro použití s Windows Azure Pack: weby.
Pozadí
Pokud během instalace zvolíte možnost Samostatný Windows Souborový server, nevyžaduje se příprava souborového serveru a je pro vás automatizovaná. I když je ale samostatná možnost užitečná pro instalace "testování konceptu", produkční prostředí obvykle vyžaduje robustnější řešení, jako je cluster souborového serveru Windows nebo zařízení připojené Storage k síti třetí strany (NAS). Windows Azure Pack: Webové weby nepoužívají oprávnění ke sdílené složce na webu, která umožňují pracovat s heterogenními implementacemi úložiště souborů, jako jsou zařízení NAS.
Upozornění
Windows Azure Pack: Weby spoléhají na souborový server Resource Manager (FSRM), který nepodporuje souborové servery se škálováním na více systémů.
Poznámka
Od verze 6 aktualizace Windows Azure Pack: Weby už nevyžaduje sdílenou složku certifikátů a přidružené uživatele. Nebudete je muset poskytnout v nových instalacích. V upgradovaných instalacích zůstanou přihlašovací údaje a sdílená složka, ale nebudou použity.
Pět hlavních kroků
Před konfigurací vlastního souborového serveru Windows, clusteru souborových serverů Windows nebo zařízení NAS třetích stran zahrnuje následující pět hlavních kroků. Implementace těchto kroků se liší v závislosti na tom, jestli pracujete v doméně služby Active Directory nebo v prostředí pracovní skupiny. Zobrazí se postup pro obě prostředí.
Poznámka
I když je tento dokument nad rámec tohoto dokumentu, který poskytuje pokyny ke konfiguraci pro zařízení NAS třetích stran, měli byste obecně postupovat podle postupů uvedených zde a provádět úpravy podle potřeby bez Windows clusteru souborů nebo zařízení NAS.
1. Zřízení skupin a účtů
2. Povolení vzdálené správy Windows (WinRM)
3. Zřízení sdílené složky obsahu
4. Přidejte skupinu FileShareOwners do místní skupiny Administrators, abyste povolili WinRM.
5. Konfigurace řízení přístupu ke sdíleným složkám
1. Zřízení skupin a účtů
Zřizování skupin a účtů ve službě Active Directory
Vytvořte následující globální skupiny zabezpečení služby Active Directory:
FileShareOwners
FileShareUsers
Vytvořte následující účty Služby Active Directory jako účty služeb. Účty, které se mají vytvořit, jsou
FileShareOwner
FileShareUser
Poznámka
Osvědčeným postupem zabezpečení by uživatelé pro tyto účty (a pro všechny webové role) měli být odlišní od sebe a měli silná uživatelská jména a hesla. Další informace najdete v tématu Windows Azure Pack: Vylepšení zabezpečení webů.
Hesla FileShareOwner a FileShareUser musí být nastavena s následujícími podmínkami:
Povolení hesla nikdy nevyprší
Povolit uživatele nemůže změnit heslo
Zakázat uživatele musí změnit heslo při příštím přihlášení.
Přidejte účty do členství ve skupinách následujícím způsobem:
Přidání SouboruShareOwner do skupiny FileShareOwners
Přidání FileShareUser do skupiny FileShareUsers
Zřízení skupin a účtů v pracovní skupině
V pracovní skupině spusťte příkazy net a WMIC pro zřizování skupin a účtů.
Spuštěním následujících příkazů vytvořte účty FileShareOwner a FileShareUser. Nahraďte <heslo> vlastními hodnotami.
net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noNastavte hesla pro účty, které jste právě vytvořili, aby nikdy nevypršili spuštěním následujících příkazů WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEVytvořte místní skupiny FileShareUsers a FileShareOwners a přidejte do nich účty v prvním kroku.
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
2. Povolení vzdálené správy Windows (WinRM)
V roli souborového serveru nebo na každém uzlu clusteru Windows souborového serveru, pokud používáte cluster, spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy a nakonfigurujte prostředí WinRM:
powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}
netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all
Upozornění
Výše uvedené příkazy nespustíte z dávkového souboru. Pokud to uděláte, dávkový soubor se předčasně ukončí po dokončení skriptu winrm.cmd.
Volitelně můžete povolit uživatelské rozhraní souborového serveru Resource Manager (FSRM) na Windows bez serveru.
Pokud nenainstalujete jádro serveru pro Windows Server, můžete volitelně povolit uživatelské rozhraní pro souborový server Resource Manager (FSRM).
Poznámka
Uživatelské rozhraní FSRM se nevyžaduje. Nelze ho nainstalovat na jádro serveru pro Windows.
Pokud chcete povolit uživatelské rozhraní FSRM, spusťte na příkazovém řádku se zvýšenými oprávněními následující příkaz:
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all
3. Zřízení sdílené složky obsahu
Sdílená složka obsahu obsahuje obsah webu tenanta.
Postup zřízení sdílené složky obsahu na jednom souborovém serveru je stejný pro prostředí služby Active Directory i Pracovní skupina, ale liší se pro cluster s podporou převzetí služeb při selhání ve službě Active Directory.
Zřízení sdílené složky obsahu na jednom souborovém serveru (AD nebo Pracovní skupina)
Na jednom souborovém serveru spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy. Nahraďte hodnotu <C:\WebSites odpovídajícími cestami> ve vašem prostředí.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Zřízení sdílené složky obsahu v clusteru s podporou převzetí služeb při selhání (Active Directory)
V clusteru s podporou převzetí služeb při selhání vytvořte následující clusterované prostředky UNC:
- Webové stránky
4. Přidejte skupinu FileShareOwners do místní skupiny Administrators, abyste povolili WinRM.
Aby Windows Vzdálená správa fungovala správně, musíte skupinu FileShareOwners přidat do místní skupiny Administrators.
Active Directory
Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru nebo na každém uzlu clusteru s podporou převzetí služeb při selhání souborového serveru spusťte následující příkazy. <Hodnotu domény> nahraďte názvem domény, který použijete.
set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add
Pracovní skupina
Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru spusťte následující příkaz.
net localgroup Administrators FileShareOwners /add
5. Konfigurace řízení přístupu ke sdíleným složkám
Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru nebo na uzlu clusteru s podporou převzetí služeb při selhání souborového serveru, který je aktuálním vlastníkem prostředku clusteru, spusťte následující příkazy. Hodnoty v kurzívě nahraďte hodnotami specifickými pro vaše prostředí.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Pracovní skupina
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)