預先設定 Windows Azure Pack: Web Sites 的 Web Sites

 

適用於: Windows Azure Pack

本章示範如何設定自己的檔案伺服器或檔案伺服器叢集,與 Windows Azure Pack: Web Sites 一起運作。

背景

如果您在安裝期間選擇獨立 Windows 檔案伺服器選項,就會自動備妥檔案伺服器,不必另外準備。 不過,雖然獨立選項對於「概念證明」安裝很有用,但是生產環境通常需要更強固的解決方案,例如 Windows 檔案伺服器叢集或協力廠商的網路連接儲存裝置 (NAS)。 安裝 Windows Azure Pack:Web Sites 因為不使用每個網站的檔案共用權限,所以可與異質的檔案存放區 (例如 NAS 裝置) 搭配運作。

System_CAPS_warning警告

安裝 Windows Azure Pack:Web Sites 必須仰賴檔案伺服器資源管理員 (FSRM),但 FSRM 並不支援向外延展檔案伺服器。

System_CAPS_note注意事項

自 Update 6 起,Windows Azure Pack: Web Sites 已不再需要憑證共用及相關聯的使用者。 在新的安裝中,您將無須再提供這兩者。 在升級後的安裝中,仍會需要認證與共用,但也不再使用。

五個主要步驟

預先設定自己的 Windows 檔案伺服器、Windows 檔案伺服器叢集或協力廠商 NAS 裝置將牽涉到以下五個主要步驟。 這些步驟的實作將會因您在 Active Directory 網域還是工作群組環境工作而異。 我們會示範這兩種環境的步驟。

System_CAPS_note注意事項

雖然提供協力廠商 NAS 裝置的組態設定指示超出本文的範圍,但是您通常應該依照這裡所呈現的程序進行,並根據您的非 Windows 檔案叢集或 NAS 裝置需求進行調整。

1.佈建群組和帳戶

2.啟用 Windows 遠端管理 (WinRM)

3.佈建內容共用

4.將 FileShareOwners 群組加入至本機 Administrators 群組來啟用 WinRM

5.設定對共用的存取控制

   

  1. 建立以下 Active Directory 全域安全性群組:

    1. FileShareOwners

    2. FileShareUsers

  2. 建立以下 Active Directory 帳戶當做服務帳戶。 要建立的帳戶為

    1. FileShareOwner

    2. FileShareUser

      System_CAPS_note注意事項

      這些帳戶 (以及所有 Web 角色) 的使用者應該彼此相異,並擁有強式使用者名稱和密碼,這是安全性最佳作法。 如需詳細資訊,請參閱安裝 Windows Azure Pack:Web Sites 的安全性增強功能

    3. FileShareOwner 與 FileShareUser 密碼必須設定下列條件:

      • 啟用 [密碼永久有效]

      • 啟用 [使用者不得變更密碼]

      • 停用 [使用者必須在下次登入時變更密碼]

  3. 將帳戶加入至群組成員資格,如下所示:

    1. FileShareOwner 加入至 FileShareOwners 群組

    2. FileShareUser 加入至 FileShareUsers 群組

在工作群組中,執行 net 和 WMIC 命令來佈建群組和帳戶。

  1. 執行下列命令,以建立 FileShareOwner 與 FileShareUser 帳戶。 以您自己的值取代 <密碼>

    net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. 執行以下 WMIC 命令,針對剛才建立的帳戶設定其密碼永不過期:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. 建立本機群組 FileShareUsersFileShareOwners,然後在步驟 1 中將帳戶加入其中。

    net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
    

在檔案伺服器角色上,或在 Windows 檔案伺服器叢集的每個節點上 (若是使用叢集),使用提升權限的命令提示字元執行下列命令,以設定 WinRM:

powershell.exe Enable-PSRemoting –Force winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"} netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any %windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

System_CAPS_warning警告

請勿透過批次檔執行上述命令。 否則,批次檔將會在 winrm.cmd 指令碼完成後提前結束。

若您不是安裝在 Server Core for Windows Server 上,可以選擇啟用檔案伺服器資源管理員 (FSRM) 的使用者介面。

System_CAPS_note注意事項

FSRM 使用者介面並非必要。 其無法在安裝在 Server Core for Windows 上。

若要啟用 FSRM 使用者介面,請使用提升權限的命令提示字元執行下列命令:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

內容共用包含租用戶網站內容。

在單一檔案伺服器上佈建內容共用的程序,與在 Active Directory 及工作群組環境中的程序相同,但在 Active Directory 中的容錯移轉叢集則不同。

在單一檔案伺服器上,以提高權限的命令提示字元執行下列命令。 以您環境中的對應路徑,取代 <C:\WebSites> 的值。

set WEBSITES_SHARE=WebSites set WEBSITES_FOLDER=<C:\WebSites> md %WEBSITES_FOLDER% net share %WEBSITES_SHARE% /delete net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

在容錯移轉叢集上,建立以下 UNC 叢集資源:

  1. WebSites

為了使 Windows 遠端管理能正常運作,您必須將 FileShareOwners 群組加入至本機 Administrators 群組。

在檔案伺服器或每個檔案伺服器容錯移轉叢集節點上,以提高權限的命令提示字元執行下列命令。 以您要使用的網域名稱,取代 <網域> 的值。

set DOMAIN=<DOMAIN> net localgroup Administrators %DOMAIN%\FileShareOwners /add

在檔案伺服器上,以提高權限的命令提示字元執行下列命令。

net localgroup Administrators FileShareOwners /add

在檔案伺服器或檔案伺服器容錯移轉叢集節點上 (目前的叢集資源擁有者),以提高權限的命令提示字元執行下列命令。 以您環境專屬的值來取代斜體的值。

set DOMAIN=<DOMAIN> set WEBSITES_FOLDER=<C:\WebSites> icacls %WEBSITES_FOLDER% /reset icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F) icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M) icacls %WEBSITES_FOLDER% /inheritance:r icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA) icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

set WEBSITES_FOLDER=<C:\WebSites> icacls %WEBSITES_FOLDER% /reset icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F) icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M) icacls %WEBSITES_FOLDER% /inheritance:r icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA) icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

顯示: