设为首页 收藏本站
查看: 1155|回复: 0

[经验分享] WSFC2016 多域部署模型

[复制链接]

尚未签到

发表于 2018-6-25 06:25:34 | 显示全部楼层 |阅读模式
  Hi 各位关注老王博客的朋友,十一过后,我们又开始继续研究学习WSFC啦,本次为大家介绍的是WSFC 2016部署模型里面的多域架构
  什么是多域呢,对于只了解WSFC的朋友来说,可能并不明白是什么意思,其实多域指的是一种AD域的逻辑范围,例如说,我北京有一个域,oa.com,天津有个子域,tj.oa.com,这两个域同属于一个林,oa.com林,它们在一个大的林中,但是父域与子域之间的域数据不会相同,虽然我们都在同一个林,但是我父域创建的用户和计算机,子域不会有,子域创建的用户和计算机父域也不会有,因此,虽然是同一个林中的多个域,但它们还是存在安全边界的。
  一些企业,可能子公司那边有要求,需要自己维护用户计算机,而且不希望父域看到,那么就会要求自己建立子域,完全自己维护,或者父公司收购一家公司,做成单林多域树的架构,原理也是一样的,虽然可以建立信任关系,互相访问资源,但是各自的资源都由各自维护。
  以上为大家解释了多域架构,简单来说,就是单林环境下的,父子域,或多域树,关键点是单林下的每个域都单独维护自己的用户和计算机对象。
  那么回到我们群集的话题,多域架构,在之前的版本中是不可能实现的,在之前即便是两个互相信任的域,两边的节点想要一起做一个群集,向导不会通过,会指出当前节点不处于同一域中,这在以前是个死规则,在WSFC 2016 被改变
  多域群集的话,在老王看来,在中国实际应用场景并不多,一旦部署群集,那大部分都是生产环境,要不就是测试环境,通常测试环境和生产环境都有单独的域,都可以直接用最传统的AD域架构,没必要搞得这么麻烦。
  如果真的要想场景的话,可能,如果是一家大型的公司也说不定,大公司下面有多个子公司,有一天忽然和子公司谈好,我们来共同维护一套系统吧,一部分节点我们这里,一部分节点在你们那里。或者说,直接测试变生产,测试变准生产,把有问题的节点先加入到隔离群集中,等等。
  不过不管怎么说,这现在是可行的,我们现在确实可以将单林多域的不同节点构建成同一个群集,那有些朋友可能会想,你这个既然有域了,我是不是就可以有CNO了,可以用Kerberos了?还不行,为什么呢,因为每个域都是互相独立运行的,如果是正常域节点创建群集向导,群集会去节点所在域写入CNO,你这两个节点是不同域,如果群集要写入,应该写入那个域呢?每个域都有自己的RID主机,每个域里面的计算机 用户SID都会不一样,势必会有一部分节点无法正常验证
  因此我们是没办法让多域群集写入CNO的,只有还和工作组群集一样,通过DNS记录作为管理访问点
  多域部署模型要求如下

  •   所有节点操作系统必须为Windows Server 2016
  •   所有节点必须使用已经认证的标识硬件
  •   所有节点必须安装故障转移群集功能
  •   工作组模式群集需在各节点使用相同密码相同用户,该用户需要是本地管理组成员,如果是非administrator用户还需额外修改注册表键值
  •   对于多域模式群集,要求每个节点需要有所有域的DNS后缀
  可以看到,除了第五点,其它和工作组群集都一样,第五点我们需要在多域节点上面,分别增加对方域的DNS后缀即可,如果是DHCP环境,可以直接在DHCP Server上面做掉。
  适用场景和工作组模型一样,按照微软的说法,最适合的为SQL Server SA验证
集群工作负载支持/不支持更多信息SQL Server支持我们建议您使用SQL Server身份验证进行Active  Directory独立的群集部署。File server支持,但不推荐Kerberos身份验证是服务器消息块(SMB)流量的首选身份验证协议。Hyper-V支持,但不推荐支持快速迁移,不支持实时迁移,因为它具有对Kerberos身份验证的依赖。Message Queuing (also known as MSMQ)不支持消息队列存储属性在AD DS  多域模型部署对于WSFC 2016新功能支持如下
  故障域站点感知
  站点运行状况检测
  Cloud Winess
  Cluster Log 优化
  简单的SMB多通道
  群集VM负载均衡 ( No LiveMigration  Only QuickMigration )
  VM弹性与存储容错 ( No LiveMigration  Only QuickMigration )
  实战环境
  DC01&iscsi      oa.com
  lan:10.0.0.2 255.0.0.0
  iscsi:30.0.0.2 255.0.0.0
  DC02               tw.oa.com
  lan:10.0.0.3 255.0.0.0
  HV01
  MGMET:10.0.0.9 255.0.0.0 DNS 10.0.0.2
  ISCSI:30.0.0.9 255.0.0.0
  CLUS:18.0.0.9 255.0.0.0
  HV02
  MGMET:10.0.0.10 255.0.0.0 DNS 10.0.0.3
  ISCSI:30.0.0.10 255.0.0.0
  CLUS:18.0.0.10 255.0.0.0
  当前HV01属于oa.com域
DSC0000.png

  HV02属于tw.oa.com子域
DSC0001.png

  在各节点创建相同密码的本地用户
DSC0002.png

  添加用户至各节点本地管理员组
DSC0003.png

  配置用户密码为永不过期
DSC0004.png

  如果我们不使用节点本地内置的administrator用户创建群集,那么还需要修改各节点注册表
  HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  新增DWORD键值LocalAccountTokenFilterPolicy,值为1
DSC0005.png

  为各 同林多域节点 DNS访问网卡,增加所有域的DNS后缀
DSC0006.png

  修改完成后重启,使用cluadmin用户登录,添加各节点群集功能角色,连接ISCSI存储
DSC0007.png

DSC0008.png

  GUI创建方式和工作组群集相同,这里我们使用Powershell创建
  #创建多域群集
  New-Cluster -Name MLDcluster -StaticAddress 10.0.0.40 -Node HV01,HV02 -AdministrativeAccessPoint DNS
DSC0009.png

  创建完成,并未提示报错
DSC00010.png

  打开故障转移群集管理器发现已经可以正常打开群集,且自动帮助我们配置了磁盘见证
DSC00011.png

  下一步可以尝试基于多域模型群集部署上层应用!
  We Done it!
  现在我们在一个多域节点模型的场景下部署了WSFC群集!
  这为一些场景提供了新的可能
  遗憾的是,虽然是多域模型,但仍然要按照工作组的方式创建群集,能够基于多域模型跑的上层应用还是有限
  OK,伙伴们块尝试起来吧~

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-530251-1-1.html 上篇帖子: 更新日期2016年5月16日-Citrix XenDesktop/XenApp 7.x PoC Runbook 下篇帖子: Apache Tomcat信息泄露漏洞(CVE-2016-8745)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表