Preconfigurare un cluster di file server Windows o un dispositivo NAS per Siti Web di Microsoft Azure Pack Siti Web
Aggiornamento: 11 agosto 2015
Si applica a: Windows Azure Pack
Questo capitolo illustra come configurare un file server o un cluster di file server per l'uso con Siti Web di Microsoft Azure Pack. Siti Web.
Background
Se si sceglie l'opzione relativa al file server Windows autonomo durante l'installazione, la preparazione del file server non è necessaria, infatti viene eseguita automaticamente. Tuttavia, sebbene l'opzione autonoma sia utile per le installazioni del modello di prova, per un ambiente di produzione viene richiesta in genere una soluzione più affidabile, ad esempio un cluster di file server Windows o un dispositivo NAS di terze parti. Siti Web di Microsoft Azure Pack non dipende dalle autorizzazioni di condivisione file per sito Web, che consentono di usare implementazioni di archiviazione di file eterogenei, ad esempio i dispositivi NAS.
Avviso
Siti Web di Microsoft Azure Pack si basa su Gestione risorse file server, che non supporta file server di scalabilità orizzontale.
Nota
A partire dall'aggiornamento 6 di Windows Azure Pack: Siti Web non richiede più la condivisione dei certificati e gli utenti associati. Nelle nuove installazioni non verranno richiesti. Nelle installazioni aggiornate le credenziali e la condivisione rimangono, ma non vengono usate.
Cinque passaggi principali
La preconfigurazione del file server Windows, del cluster di file server Windows o del dispositivo NAS di terze parti personalizzato prevede i cinque passaggi principali riportati di seguito. L'implementazione di questi passaggi varia a seconda se si lavora in un dominio Active Directory o in un ambiente del gruppo di lavoro. I passaggi vengono illustrati per entrambi gli ambienti.
Nota
Sebbene non rientri nell'ambito di questo documento fornire istruzioni di configurazione per i dispositivi NAS di terze parti, è consigliabile seguire in genere le procedure elencate in questo capitolo, apportando modifiche in base alle esigenze del cluster di file non Windows o del dispositivo NAS in uso.
1. Effettuare il provisioning di gruppi e account
2. Abilitare Gestione remota Windows (WinRM)
3. Eseguire il provisioning della condivisione contenuto
4. Aggiungere il gruppo FileShareOwners al gruppo di amministratori locale per abilitare Gestione remota Windows
5. Configurare il controllo di accesso alle condivisioni
1. Effettuare il provisioning di gruppi e account
Effettuare il provisioning di gruppi e account in Active Directory
Creare i seguenti gruppi di sicurezza globali di Active Directory:
FileShareOwners
FileShareUsers
Creare i seguenti account di Active Directory come account del servizio. Gli account da creare sono:
FileShareOwner
FileShareUser
Nota
Come procedura consigliata per la sicurezza, gli utenti di questi account, e di tutti i ruoli Web, devono essere distinti tra loro e disporre di nomi utente e password complessi. Per altre informazioni, vedere Windows Azure Pack: Web Sites Security Enhancements.
Le password FileShareOwner e FileShareUser devono essere impostate con le condizioni seguenti:
Abilitare Nessuna scadenza password
Abilitare Cambiamento password non consentito
Disabilitare Cambiamento obbligatorio password all'accesso successivo
Aggiungere gli account alle appartenenze a gruppi come riportato di seguito:
Aggiungere FileShareOwner al gruppo FileShareOwners
Aggiungere FileShareUser al gruppo FileShareUsers
Effettuare il provisioning di gruppi e account in un gruppo di lavoro
In un gruppo di lavoro eseguire i comandi net e WMIC per effettuare il provisioning di gruppi e account.
Eseguire i comandi indicati di seguito per creare gli account FileShareOwner e FileShareUser. Sostituire <la password> con i propri valori.
net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noImpostare le password per gli account appena creati in modo che non scadano mai eseguendo i comandi WMIC riportati di seguito:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSECreare i gruppi locali FileShareUsers e FileShareOwners, quindi aggiungere gli account nel primo passaggio.
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
2. Abilitare Gestione remota Windows (WinRM)
Nel ruolo File server, o in ogni nodo del cluster di file server Windows se si usa un cluster, eseguire i comandi riportati di seguito da un prompt dei comandi con privilegi elevati per configurare Gestione remota Windows:
powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}
netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all
Avviso
Non eseguire i comandi precedenti da un file batch, perché altrimenti il file batch verrà chiuso in modo anomalo prima del completamento dello script winrm.cmd.
Abilitare facoltativamente l'interfaccia utente di Gestione risorse file server in Windows non Server Core
Se non si esegue l'installazione in Server Core per Windows Server, è possibile abilitare facoltativamente l'interfaccia utente per Gestione risorse file server.
Nota
L'interfaccia utente di Gestione risorse file server non è obbligatoria. Non può essere installata in Server Core per Windows.
Per abilitare l'interfaccia utente di Gestione risorse file server, eseguire il comando seguente da un prompt dei comandi con privilegi elevati.
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all
3. Eseguire il provisioning della condivisione contenuto
Nella condivisione contenuto è incluso il contenuto del sito Web tenant.
La procedura per effettuare il provisioning della condivisione contenuto in un singolo file server è la stessa sia per l'ambiente Active Directory sia per l'ambiente del gruppo di lavoro, ma è diversa per un cluster di failover in Active Directory.
Eseguire il provisioning della condivisione contenuto in un file server singolo (AD o gruppo di lavoro)
In un singolo file server eseguire i comandi riportati di seguito a un prompt dei comandi con privilegi elevati. Sostituire il valore per <C:\WebSites> con i percorsi corrispondenti nell'ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Eseguire il provisioning della condivisione contenuto in un cluster di failover (Active Directory)
Nel cluster di failover creare le seguenti risorse cluster UNC:
- WebSites
4. Aggiungere il gruppo FileShareOwners al gruppo di amministratori locale per abilitare Gestione remota Windows
Per un corretto funzionamento di Gestione remota Windows, è necessario aggiungere il gruppo FileShareOwners al gruppo di amministratori locale.
Active Directory
Eseguire i comandi riportati di seguito a un prompt dei comandi con privilegi elevati nel file server o in ogni nodo del cluster di failover di file server. Sostituire il valore per <DOMAIN> con il nome di dominio che si userà.
set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add
Gruppo di lavoro
Eseguire i comandi riportati di seguito a un prompt dei comandi con privilegi elevati nel file server.
net localgroup Administrators FileShareOwners /add
5. Configurare il controllo di accesso alle condivisioni
Eseguire i comandi riportati di seguito a un prompt dei comandi con privilegi elevati nel file server o nel nodo del cluster di failover di file server che è il proprietario corrente della risorsa cluster. Sostituire i valori in corsivo con valori specifici per l'ambiente in uso.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Gruppo di lavoro
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)