預先設定 Windows Azure Pack: Web Sites 的 Web Sites

  • 發行項

 

更新日期:2015 年 8 月 11 日

適用于:Windows Azure Pack

這一章會為您示範如何設定自己的檔案伺服器或檔案伺服器叢集以供 Windows Azure Pack: Web Sites 使用。

背景

如果您在安裝期間選擇獨立 Windows 檔案伺服器選項,就會自動備妥檔案伺服器,不必另外準備。 不過,雖然獨立選項對於「概念證明」安裝很有用,但是生產環境通常需要更強固的解決方案,例如 Windows 檔案伺服器叢集或協力廠商的網路連接儲存裝置 (NAS)。 安裝 Windows Azure Pack:Web Sites 因為不使用每個網站的檔案共用權限,所以可與異質的檔案存放區 (例如 NAS 裝置) 搭配運作。

警告

安裝 Windows Azure Pack:Web Sites 必須仰賴檔案伺服器資源管理員 (FSRM),但 FSRM 並不支援向外延展檔案伺服器。

注意

自 Update 6 起,Windows Azure Pack: Web Sites 已不再需要憑證共用及相關聯的使用者。 在新的安裝中,您將無須再提供這兩者。 在升級後的安裝中,仍會需要認證與共用,但也不再使用。

五個主要步驟

預先設定自己的 Windows 檔案伺服器、Windows 檔案伺服器叢集或協力廠商 NAS 裝置將牽涉到以下五個主要步驟。 這些步驟的實作將會因您在 Active Directory 網域還是工作群組環境工作而異。 我們會示範這兩種環境的步驟。

注意

雖然提供協力廠商 NAS 裝置的組態設定指示超出本文的範圍,但是您通常應該依照這裡所呈現的程序進行,並根據您的非 Windows 檔案叢集或 NAS 裝置需求進行調整。

1.佈建群組和帳戶

2.啟用 Windows 遠端管理 (WinRM)

3.佈建內容共用

4.將 FileShareOwners 群組加入至本機 Administrators 群組來啟用 WinRM

5.設定對共用的存取控制

   

1.佈建群組和帳戶

在 Active Directory 中佈建群組和帳戶

  1. 建立下列 Active Directory 全域安全性群組:

    1. FileShareOwners

    2. FileShareUsers

  2. 建立以下 Active Directory 帳戶當做服務帳戶。 要建立的帳戶為

    1. FileShareOwner

    2. FileShareUser

      注意

      基於安全性最佳作法,這些帳戶 (以及所有 Web 角色) 的使用者,應該彼此相異並擁有強式使用者名稱和密碼。 如需詳細資訊,請參閱 Windows Azure Pack: Web Sites Security Enhancements

    3. FileShareOwner 和 FileShareUser 密碼必須設定下列條件:

      • 啟用 [密碼永久有效]

      • 啟用 [使用者不得變更密碼]

      • 停用 [使用者必須在下次登入時變更密碼]

  3. 將帳戶新增至群組成員資格,如下所示:

    1. FileShareOwner 加入至 FileShareOwners 群組

    2. FileShareUser 加入至 FileShareUsers 群組

在工作群組中佈建群組和帳戶

在工作組上,執行 net 和 WMIC 命令來布建群組和帳戶。

  1. 執行下列命令來建立 FileShareOwner 與 FileShareUser 帳戶。 以您自己的值取代< 密碼 >

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. 執行以下 WMIC 命令,針對剛才建立的帳戶設定其密碼永不過期:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. 建立本機群組 FileShareUsersFileShareOwners,並在第一個步驟中新增帳戶。

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

2.啟用 Windows 遠端管理 (WinRM)

在檔案伺服器角色或 Windows 檔案伺服器叢集的每個節點上 (若是使用叢集),使用提升權限的命令提示字元執行下列命令,以設定 WinRM:

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

警告

請勿透過批次檔執行上述命令。 否則,批次檔將會在 winrm.cmd 指令碼完成後提前結束。

選擇啟用非伺服器核心 Windows 的檔案伺服器資源管理員 (FSRM) 使用者介面

若您不是安裝在 Server Core for Windows Server上,可以選擇啟用檔案伺服器資源管理員 (FSRM) 的使用者介面。

注意

FSRM 使用者介面並非必要。 其無法在安裝在 Server Core for Windows 上。

若要啟用 FSRM 使用者介面,請使用提升權限的命令提示字元執行下列命令:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3.佈建內容共用

內容共用包含租用戶網站內容。

在單一檔案伺服器上佈建內容共用的程序與在 Active Directory 和工作群組環境中均相同,但是對於 Active Directory 中的容錯移轉叢集則不同。

在單一檔案伺服器上 (AD 或工作群組) 佈建內容共用

在單一檔案伺服器上,請在提升權限的命令提示字元中執行下列命令。 以您環境中的對應路徑取代C:\WebSites > 的值 <

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

在容錯移轉叢集上佈建內容共用 (Active Directory)

在容錯移轉叢集上,建立以下 UNC 叢集資源:

  1. WebSites

4.將 FileShareOwners 群組加入至本機 Administrators 群組來啟用 WinRM

為了讓「Windows 遠端管理」正常運作,您必須將 FileShareOwners 群組新增至本機 Administrators 群組。

Active Directory

在檔案伺服器或每個檔案伺服器容錯移轉叢集節點上,以提高權限的命令提示字元執行下列命令。 將DOMAIN > 的值 <取代為您將使用的功能變數名稱。

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

工作群組

在檔案伺服器上,以提高權限的命令提示字元執行下列命令。

net localgroup Administrators FileShareOwners /add

5.設定對共用的存取控制

在檔案伺服器或檔案伺服器容錯移轉叢集節點上 (目前的叢集資源擁有者),以提高權限的命令提示字元執行下列命令。 以環境特有的值取代斜體的值。

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

工作群組

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

另請參閱

安裝 Windows Azure Pack:Web Sites