Configureer vooraf een Windows File Server-cluster of NAS-apparaat voor Windows Azure Pack: websites

Bijgewerkt: 11 augustus 2015

Van toepassing op: Windows Azure Pack

In dit hoofdstuk wordt beschreven hoe u uw eigen bestandsserver of bestandsservercluster configureert voor gebruik met Windows Azure Pack: websites.

Achtergrond

Als u tijdens de installatie de optie Zelfstandige Windows Bestandsserver kiest, is de voorbereiding van de bestandsserver niet vereist en is dit automatisch voor u. Hoewel de zelfstandige optie echter nuttig is voor 'proof of concept'-installaties, is voor een productieomgeving meestal een krachtigere oplossing vereist, zoals een Windows File Server-cluster of een NAS (Network Attached Storage Device) van derden. Windows Azure Pack: websites die worden gebruikt, zijn niet afhankelijk van machtigingen voor bestandsshares per website, waardoor het kan werken met heterogene implementaties voor bestandsopslag, zoals NAS-apparaten.

Vijf hoofdstappen

Voor het vooraf configureren van uw eigen Windows Bestandsserver, Windows Bestandsservercluster of NAS-apparaat van derden moet u de volgende vijf hoofdstappen uitvoeren. De implementatie van deze stappen is afhankelijk van of u in een Active Directory-domein of in een werkgroepomgeving werkt. Stappen voor beide omgevingen worden weergegeven.

1. Groepen en accounts inrichten

2. Schakel Windows Remote Management (WinRM) in

3. De inhoudsshare inrichten

4. Voeg de groep FileShareOwners toe aan de lokale groep Administrators om WinRM in te schakelen

5. Toegangsbeheer configureren voor de shares

1. Groepen en accounts inrichten

Groepen en accounts inrichten in Active Directory

1. Maak de volgende globale Active Directory-beveiligingsgroepen:

   1. FileShareOwners

   2. FileShareUsers

2. Maak de volgende Active Directory-accounts als serviceaccounts. De accounts die moeten worden gemaakt, zijn

   1. FileShareOwner

   2. FileShareUser

      Notitie

      Als best practice voor beveiliging moeten de gebruikers voor deze accounts (en voor alle webrollen) van elkaar verschillen en sterke gebruikersnamen en wachtwoorden hebben. Zie Windows Azure Pack: Verbeteringen aan de beveiliging van websites voor meer informatie.

   3. De wachtwoorden van FileShareOwner en FileShareUser moeten worden ingesteld met de volgende voorwaarden:

      • Wachtwoord nooit verlopen

      • Gebruiker kan wachtwoord niet wijzigen

      • Gebruiker moet wachtwoord wijzigen bij volgende aanmelding

3. Voeg de accounts als volgt toe aan de groepslidmaatschappen:

   1. FileShareOwner toevoegen aan de groep FileShareOwners

   2. FileShareUser toevoegen aan de groep FileShareUsers

Groepen en accounts inrichten in een werkgroep

Voer in een werkgroep net- en WMIC-opdrachten uit om groepen en accounts in te richten.

1. Voer de volgende opdrachten uit om de FileShareOwner- en FileShareUser-accounts te maken. Vervang <het wachtwoord> door uw eigen waarden.

   net user FileShareOwner <password> /add /expires:never /passwordchg:no
   net user FileShareUser <password> /add /expires:never /passwordchg:no
   

2. Stel de wachtwoorden in voor de accounts die zojuist zijn gemaakt om nooit te verlopen door de volgende WMIC-opdrachten uit te voeren:

   WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
   WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
   

3. Maak de lokale groepen FileShareUsers en FileShareOwners en voeg de accounts in de eerste stap eraan toe.

   net localgroup FileShareUsers /add
   net localgroup FileShareUsers FileShareUser /add
   net localgroup FileShareOwners /add
   net localgroup FileShareOwners FileShareOwner /add
   

2. Schakel Windows Remote Management (WinRM) in

Voer op de bestandsserverfunctie, of op elk knooppunt van het Windows Bestandsservercluster als u een cluster gebruikt, de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid om WinRM te configureren:

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

Schakel desgewenst de gebruikersinterface van bestandsserver Resource Manager (FSRM) in op niet-serverkern-Windows

Als u niet installeert op Server Core voor Windows Server, kunt u desgewenst de gebruikersinterface inschakelen voor de bestandsserver Resource Manager (FSRM).

Als u de FSRM-gebruikersinterface wilt inschakelen, voert u de volgende opdracht uit op een opdrachtprompt met verhoogde bevoegdheid:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3. De inhoudsshare inrichten

De inhoudsshare bevat inhoud van de tenantwebsite.

De procedure voor het inrichten van de inhoudsshare op één bestandsserver is hetzelfde voor zowel Active Directory- als Werkgroepomgevingen, maar anders voor een failovercluster in Active Directory.

De inhoudsshare inrichten op één bestandsserver (AD of Werkgroep)

Voer op één bestandsserver de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid. Vervang de waarde voor <C:\WebSites> door de bijbehorende paden in uw omgeving.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

De inhoudsshare inrichten op een failovercluster (Active Directory)

Maak in het failovercluster de volgende UNC-geclusterde resources:

1. Websites

4. Voeg de groep FileShareOwners toe aan de lokale groep Administrators om WinRM in te schakelen

Als u wilt dat Windows Extern beheer goed werkt, moet u de groep FileShareOwners toevoegen aan de lokale groep Administrators.

Active Directory

Voer de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op elk failoverclusterknooppunt van de bestandsserver. Vervang de waarde voor <DOMEIN> door de domeinnaam die u gaat gebruiken.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Werkgroep

Voer de volgende opdracht uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver.

net localgroup Administrators FileShareOwners /add

5. Toegangsbeheer configureren voor de shares

Voer de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op het failoverclusterknooppunt van de bestandsserver. Dit is de huidige eigenaar van de clusterresource. Vervang waarden cursief door waarden die specifiek zijn voor uw omgeving.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Werkgroep

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Zie ook

Windows Azure Pack implementeren: websites