Préconfigurer un cluster de serveurs de fichiers Windows ou un périphérique NAS pour Microsoft Azure Pack : Sites web

  • Article

 

Mise à jour : 11 août 2015

S’applique à : Windows Azure Pack

Ce chapitre explique comment configurer votre propre serveur de fichiers ou cluster de serveurs de fichiers pour Microsoft Azure Pack : Sites web.

Arrière-plan

Si vous choisissez d'utiliser un serveur de fichiers Windows autonome pendant l'installation, la préparation du serveur de fichiers n'est pas obligatoire et est automatisée. Cependant, bien que l'option de serveur autonome soit utile pour les installations « preuve de concept », un environnement de production nécessite généralement une solution plus fiable, comme un cluster de serveurs de fichiers Windows ou un périphérique de stockage NAS tiers. Microsoft Azure Pack : Sites web ne repose pas sur des autorisations de partage de fichiers par site web, ce qui lui permet de fonctionner avec des implémentations de stockage de fichiers hétérogènes, comme les périphériques NAS.

Avertissement

Microsoft Azure Pack : Sites web repose sur les Outils de gestion de ressources pour serveur de fichiers (FSRM), qui ne prend pas en charge les serveurs de fichiers avec montée en puissance parallèle.

Notes

À compter de la mise à jour version 6, Microsoft Azure Pack : Sites web n'utilise plus le partage de certificats et les utilisateurs associés. Vous ne serez pas invité à les fournir dans les nouvelles installations. Dans les installations mises à niveau, les informations d'identification et le partage sont conservés, mais ne sont pas utilisés.

Cinq étapes principales

La préconfiguration de votre serveur, ou cluster de serveurs de fichiers Windows, ou périphérique NAS tiers, comprend les cinq étapes clé suivantes. La procédure varie selon que vous utilisez un domaine Active Directory ou un environnement de groupe de travail. Les étapes correspondantes à ces deux environnements sont présentées.

Notes

Même si ce document n'aborde pas la configuration des périphériques NAS tiers, vous pouvez suivre les procédures présentées ici en y apportant les modifications requises par votre cluster de fichiers non Windows ou périphérique NAS.

1. Configuration des groupes et des comptes

2. Activer la gestion à distance de Windows (WinRM)

3. Configurer le partage de contenu

4. Ajouter un groupe FileShareOwners au groupe Administrateurs local pour activer WinRM

5. Configurer un contrôle d'accès sur les partages

   

1. Configuration des groupes et des comptes

Configuration des groupes et des comptes dans Active Directory

  1. Créez les groupes de sécurité globaux Active Directory suivants :

    1. FileShareOwners

    2. FileShareUsers

  2. Créez les comptes Active Directory suivants en tant que comptes de service. Les comptes à créer sont

    1. FileShareOwner

    2. FileShareUser

      Notes

      En ce qui concerne les meilleures pratiques en termes de sécurité, les utilisateurs de ces comptes (et pour tous les rôles Web) doivent être distincts les uns des autres et détenir des noms d’utilisateur et des mots de passe sécurisés. Pour plus d'informations, voir Windows Azure Pack: Web Sites Security Enhancements.

    3. Les mots de passe FileShareOwner et FileShareUser doivent être définis avec les conditions suivantes :

      • Activez Le mot de passe n'expire jamais.

      • Activez L'utilisateur ne peut pas changer le mot de passe.

      • Désactivez L'utilisateur doit changer le mot de passe à la prochaine ouverture de session.

  3. Ajoutez les comptes aux appartenances aux groupes comme suit :

    1. Ajoutez FileShareOwner au groupe FileShareOwners.

    2. Ajoutez FileShareUser au groupe FileShareUsers.

Configurer des groupes et des comptes dans un groupe de travail

Sur un groupe de travail, exécutez des commandes net et WMIC pour approvisionner des groupes et des comptes.

  1. Exécutez les commandes suivantes pour créer les comptes FileShareOwner et FileShareUser. Remplacez <le mot de passe> par vos propres valeurs.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. Définissez les mots de passe des comptes que vous venez de créer de sorte qu'ils n'expirent jamais, en exécutant les commandes WMIC suivantes :

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. Créez les groupes locaux FileShareUsers et FileShareOwners, puis ajoutez les comptes à leur première étape.

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

2. Activer la gestion à distance de Windows (WinRM)

Sur le rôle Serveur de fichiers, ou sur chaque nœud du cluster de serveurs de fichiers Windows, si vous utilisez un cluster, exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges pour configurer WinRM :

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

Avertissement

N'exécutez pas les commandes ci-dessus à partir d'un fichier de commandes. Sinon, le fichier de commandes s'arrête prématurément une fois le script winrm.cmd terminé.

Activer éventuellement l'interface utilisateur des Outils de gestion de ressources pour serveur de fichiers (FSRM) sur une version Windows de base non serveur

Si vous n'effectuez pas l'installation sur Server Core pour Windows Server, vous pouvez éventuellement activer l'interface utilisateur des Outils de gestion de ressources pour serveur de fichiers (FSRM).

Notes

L'interface utilisateur de FSRM n'est pas requise. Elle ne peut pas être installée sur Server Core pour Windows.

Pour activer l'interface utilisateur de FSRM, exécutez la commande suivante à partir d'une invite de commandes avec élévation de privilèges :

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3. Configurer le partage de contenu

Le partage de contenu inclut le contenu du site web du client.

La procédure d’approvisionnement de partage de contenu sur un seul serveur de fichiers est identique pour les environnements Active Directory et Groupe de travail, mais diffère pour un cluster de basculement dans Active Directory.

Approvisionner le partage de contenu sur un seul serveur de fichiers (AD ou Groupe de travail)

Exécutez les commandes suivantes dans une invite de commandes avec élévation de privilèges sur un serveur de fichiers unique. Remplacez la valeur de <C:\WebSites> par les chemins d’accès correspondants dans votre environnement.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configurer le partage de contenu sur un cluster de basculement (Active Directory)

Sur un cluster de basculement, créez les ressources en cluster UNC suivantes :

  1. Sites web

4. Ajouter un groupe FileShareOwners au groupe Administrateurs local pour activer WinRM

Pour le bon fonctionnement de Windows Remote Management, vous devez ajouter le groupe FileShareOwners au groupe Administrateurs local.

Active Directory

Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges sur le serveur de fichiers, ou sur chaque nœud de cluster de basculement de serveurs de fichiers. Remplacez la valeur du <domaine> par le nom de domaine que vous utiliserez.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Groupe de travail

Exécutez la commande suivante à partir d'une invite de commandes avec élévation de privilèges sur le serveur de fichiers.

net localgroup Administrators FileShareOwners /add

5. Configurer un contrôle d'accès sur les partages

Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges sur le serveur de fichiers, ou sur le nœud de cluster de basculement de serveurs de fichiers qui est actuellement le propriétaire de la ressource de cluster. Remplacez les valeurs en italiques par les valeurs spécifiques de votre environnement.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Groupe de travail

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Voir aussi

Déployer Windows Azure Pack : Sites web