Configureer vooraf een Windows File Server-cluster of NAS-apparaat voor Windows Azure Pack: websites

Artikel
09/07/2016

Bijgewerkt: 11 augustus 2015

Van toepassing op: Windows Azure Pack

In dit hoofdstuk wordt beschreven hoe u uw eigen bestandsserver of bestandsservercluster configureert voor gebruik met Windows Azure Pack: websites.

Achtergrond

Als u tijdens de installatie de optie Zelfstandige Windows Bestandsserver kiest, is de voorbereiding van de bestandsserver niet vereist en is dit automatisch voor u. Hoewel de zelfstandige optie echter nuttig is voor 'proof of concept'-installaties, is voor een productieomgeving meestal een krachtigere oplossing vereist, zoals een Windows File Server-cluster of een NAS (Network Attached Storage Device) van derden. Windows Azure Pack: websites die worden gebruikt, zijn niet afhankelijk van machtigingen voor bestandsshares per website, waardoor het kan werken met heterogene implementaties voor bestandsopslag, zoals NAS-apparaten.

Waarschuwing

Windows Azure Pack: Websites zijn afhankelijk van bestandsserver Resource Manager (FSRM), die geen ondersteuning biedt voor scale-out bestandsservers.

Notitie

Vanaf updaterelease 6 Windows Azure Pack: websites hebben geen certificaatshare en bijbehorende gebruikers meer nodig. U hoeft ze niet op te geven in nieuwe installaties. Bij geüpgradede installaties blijven de referenties en share behouden, maar worden ze niet gebruikt.

Vijf hoofdstappen

Voor het vooraf configureren van uw eigen Windows Bestandsserver, Windows Bestandsservercluster of NAS-apparaat van derden moet u de volgende vijf hoofdstappen uitvoeren. De implementatie van deze stappen is afhankelijk van of u in een Active Directory-domein of in een werkgroepomgeving werkt. Stappen voor beide omgevingen worden weergegeven.

Notitie

Hoewel het buiten het bereik van dit document ligt om configuratie-instructies te bieden voor NAS-apparaten van derden, moet u over het algemeen de hier gepresenteerde procedures volgen, zodat u de wijzigingen aanbrengt zoals vereist door uw niet-Windows bestandscluster of NAS-apparaat.

1. Groepen en accounts inrichten

2. Schakel Windows Remote Management (WinRM) in

3. De inhoudsshare inrichten

4. Voeg de groep FileShareOwners toe aan de lokale groep Administrators om WinRM in te schakelen

5. Toegangsbeheer configureren voor de shares

1. Groepen en accounts inrichten

Groepen en accounts inrichten in Active Directory

Maak de volgende globale Active Directory-beveiligingsgroepen:
1. FileShareOwners
2. FileShareUsers
Maak de volgende Active Directory-accounts als serviceaccounts. De accounts die moeten worden gemaakt, zijn
1. FileShareOwner
2. FileShareUser
  
  Notitie
  
  Als best practice voor beveiliging moeten de gebruikers voor deze accounts (en voor alle webrollen) van elkaar verschillen en sterke gebruikersnamen en wachtwoorden hebben. Zie Windows Azure Pack: Verbeteringen aan de beveiliging van websites voor meer informatie.
3. De wachtwoorden van FileShareOwner en FileShareUser moeten worden ingesteld met de volgende voorwaarden:
  - Wachtwoord nooit verlopen
  - Gebruiker kan wachtwoord niet wijzigen
  - Gebruiker moet wachtwoord wijzigen bij volgende aanmelding
Voeg de accounts als volgt toe aan de groepslidmaatschappen:
1. FileShareOwner toevoegen aan de groep FileShareOwners
2. FileShareUser toevoegen aan de groep FileShareUsers

Groepen en accounts inrichten in een werkgroep

Voer in een werkgroep net- en WMIC-opdrachten uit om groepen en accounts in te richten.

Voer de volgende opdrachten uit om de FileShareOwner- en FileShareUser-accounts te maken. Vervang <het wachtwoord> door uw eigen waarden.

net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

Stel de wachtwoorden in voor de accounts die zojuist zijn gemaakt om nooit te verlopen door de volgende WMIC-opdrachten uit te voeren:

WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

Maak de lokale groepen FileShareUsers en FileShareOwners en voeg de accounts in de eerste stap eraan toe.

net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

2. Schakel Windows Remote Management (WinRM) in

Voer op de bestandsserverfunctie, of op elk knooppunt van het Windows Bestandsservercluster als u een cluster gebruikt, de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid om WinRM te configureren:

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

Waarschuwing

Voer de bovenstaande opdrachten niet uit vanuit een batchbestand. Als u dit doet, wordt het batchbestand voortijdig afgesloten nadat het script winrm.cmd is voltooid.

Schakel desgewenst de gebruikersinterface van bestandsserver Resource Manager (FSRM) in op niet-serverkern-Windows

Als u niet installeert op Server Core voor Windows Server, kunt u desgewenst de gebruikersinterface inschakelen voor de bestandsserver Resource Manager (FSRM).

Notitie

De FSRM-gebruikersinterface is niet vereist. Het kan niet worden geïnstalleerd op Server Core voor Windows.

Als u de FSRM-gebruikersinterface wilt inschakelen, voert u de volgende opdracht uit op een opdrachtprompt met verhoogde bevoegdheid:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

De inhoudsshare bevat inhoud van de tenantwebsite.

De procedure voor het inrichten van de inhoudsshare op één bestandsserver is hetzelfde voor zowel Active Directory- als Werkgroepomgevingen, maar anders voor een failovercluster in Active Directory.

Voer op één bestandsserver de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid. Vervang de waarde voor <C:\WebSites> door de bijbehorende paden in uw omgeving.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Maak in het failovercluster de volgende UNC-geclusterde resources:

Websites

4. Voeg de groep FileShareOwners toe aan de lokale groep Administrators om WinRM in te schakelen

Als u wilt dat Windows Extern beheer goed werkt, moet u de groep FileShareOwners toevoegen aan de lokale groep Administrators.

Active Directory

Voer de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op elk failoverclusterknooppunt van de bestandsserver. Vervang de waarde voor <DOMEIN> door de domeinnaam die u gaat gebruiken.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Werkgroep

Voer de volgende opdracht uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver.

net localgroup Administrators FileShareOwners /add

5. Toegangsbeheer configureren voor de shares

Voer de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op het failoverclusterknooppunt van de bestandsserver. Dit is de huidige eigenaar van de clusterresource. Vervang waarden cursief door waarden die specifiek zijn voor uw omgeving.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Werkgroep

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Zie ook

Windows Azure Pack implementeren: websites

Delen via

Configureer vooraf een Windows File Server-cluster of NAS-apparaat voor Windows Azure Pack: websites

1. Groepen en accounts inrichten

Groepen en accounts inrichten in Active Directory

Groepen en accounts inrichten in een werkgroep

2. Schakel Windows Remote Management (WinRM) in

Schakel desgewenst de gebruikersinterface van bestandsserver Resource Manager (FSRM) in op niet-serverkern-Windows

4. Voeg de groep FileShareOwners toe aan de lokale groep Administrators om WinRM in te schakelen

Active Directory

Werkgroep

5. Toegangsbeheer configureren voor de shares

Active Directory

Werkgroep

Zie ook

Aanvullende resources

Delen via

Configureer vooraf een Windows File Server-cluster of NAS-apparaat voor Windows Azure Pack: websites

1. Groepen en accounts inrichten

Groepen en accounts inrichten in Active Directory

Groepen en accounts inrichten in een werkgroep

2. Schakel Windows Remote Management (WinRM) in

Schakel desgewenst de gebruikersinterface van bestandsserver Resource Manager (FSRM) in op niet-serverkern-Windows

3. De inhoudsshare inrichten

De inhoudsshare inrichten op één bestandsserver (AD of Werkgroep)

De inhoudsshare inrichten op een failovercluster (Active Directory)

4. Voeg de groep FileShareOwners toe aan de lokale groep Administrators om WinRM in te schakelen

Active Directory

Werkgroep

5. Toegangsbeheer configureren voor de shares

Active Directory

Werkgroep

Zie ook

Aanvullende resources