Archiv der Kategorie: Windows Server 2008

Active Directory Abhängigkeiten

von

Windows Server Failover Cluster benötigen bisher ein Active Directory, da sie auf die Vorteile einer zentralen Benutzerverwaltung zurückgreifen – die Abhängigkeiten eines Clusters zu den Active Directory Domain Services (AD DS) haben sich allerdings über die letzten Versionen geändert.

Windows Server 2003 hat noch zwingend ein AD benötigt: Der Clusterdienst auf den jeweiligen Nodes wurden im Kontext eines Dienstekontos ausgeführt – dieses musste ein AD Konto sein.
Der sog. „Cluster Service Account“ (CSA) hat die Anlage der Netzwerknamen übernommen, die „Virtual Computer Objects“ (VCO, Computerkonten) hat der Dienst im Kontext des CSA angelegt und modifiziert. Über so ein Computerkonto wird eine durchgängige Kerberos Authentifizierung für virtuelle Netzwerknamen im einem Cluster z.B. für File Services erreicht. Dabei schreibt der Clusterdienst auch die passenden Attribute für das Computerkonto: ServicePrincipalName (SPN), DnsHostName und DisplayName.

Mit Windows Server 2008 wurde der CSA obsolet, damit vereinfachte sich das Setup und die Achillesferse eines Benutzerkontos mit zu wenig Rechten als potentieller Schwachpunkt für den Clusterbetrieb wurde abgeschafft. Der Clusterdienst läuft nun im Kontext von local system, das Cluster Name Object (CNO) legt fortan die Netzwerknamen an (VCO). Die VCOs bilden den „Client Access Point“ (CAP) für die Zugriffe der Benutzer auf den Cluster. Das CNO ist ebenfalls zuständig für die Kennwortänderungen der VCOs im Active Directory.

Mit Windows Server 2012 R2 ist wiederum ein Schritt in Richtung Unabhängigkeit von AD DS implementiert worden: Man kann nun einen Cluster weitgehend ohne AD betreiben (AD-detached cluster) und für den Bootvorgang eines Knoten (form/join Cluster) muss ein DC nicht mehr zwingend erreichbar sein (AD-less cluster bootstrapping). Für virtualisierte DCs auf einem Hyper-V Cluster ist das Zucker.

Active Directory-less Cluster Bootstrapping
» http://blogs.technet.com/(…)enhanced-integration-with-active-directory-ad.aspx
Ein wichtiges Feature, um Domain Controller weitestgehend virtualisieren zu können und dafür Hyper-V Failover Cluster zu nutzen. Das Henne-Ei-Problem, das ein Cluster nicht ohne AD starten kann und ein DC nicht ohne Cluster auf dem er virtualisiert wurde ist damit passé.

Active Directory-Detached Cluster (Active Directory-less Cluster)
» https://technet.microsoft.com/en-us/library/dn265972.aspx#BKMK_ADAg
Diese Option sollte auf Grund der Einschränkungen gut überlegt werden:
» https://technet.microsoft.com/en-us/library/dn265970.aspx
Auch ist diese Möglichkeit nicht für jede Anwendung geeignet, die auf einem Cluster laufen soll. Selbst wenn man eine weitgehende Loslösung von Abhängigkeiten zu einem Active Directory erreichen kann, sollte man sich immer überlegen zu welchem Zweck und für welche Anwendungsfälle.
Hier ist noch einiges im Fluß für vNext und es gibt Kundenwünsche und Bestrebungen z.B. SQL Server Cluster gänzlich ohne ein Active Directory zu betreiben.
Wie ist Eure Meinung dazu? Hinterlasst mir einen Kommentar… 😉

Stay tuned,
N.Own

File Share Scoping

von

Bei Windows Server 2008 wurde eine Funktion namens File Share Scoping implementiert, die es verhindert, dass Dateifreigaben über unterschiedliche Zugriffspunkte (Client Access Point – CAP) erreichbar ist. So war es in der Vergangenheit möglich über den Namen des lokalen Knotens, die IP Adresse des Knotens auf eine Freigabe zuzugreifen, allerdings immer nur auf dem aktiven Knoten. Waren die Ressourcen auf Grund eines Failovers auf den anderen Knoten geschwenkt, dann lief der Zugriff über den UNC Pfad oder die IP in’s Leere. Dieses Verhalten wurde eben ab Windows Server 2008 entfernt, um den unerwünschten Effekt zu verhindern.
Leider führt das bei vielen Muktifunktionsgeräten (MuFu oder Multifunctional Printer/Peripheral MFP) dazu, dass diese nicht mehr auf eine geclusterte Dateiablage scannen können – viele dieser MuFus nutzen für die Ablage von Scandokumenten ‚rein die IP Adresse und können dazu nicht den Namen verwenden. Hier sind mir Probleme im Zusammenhang mit Ricoh, Xerox sowie Konica Minolta Multifunktionsgeräten bekannt. Es gibt hierfür keine Lösung außer der Hersteller des Geräts bietet eine bereinigte Firmware, die die Korrekte Adressierung einer Freigabe über einen UNC Pfad ermöglicht oder man aktualisiert den Cluster auf Windows Server 2012 oder neuer.
Für Xerox MFPs gibt es in diesem Artikel einen Beitrag, der auch das Verhalten beschreibt, mit einem Workaround:
» http://social.technet.microsoft.com(…)e44fef44-8742-449e-a829-1ccf61689342/

Das Thema File Share Scoping wird in diesem TechNet Blogartikel im Detail beschrieben:
» http://blogs.technet.com/b/askcore(…)
Für Windows Server 2012 oder neuer ist die Möglichkeit über eine SMB Alias Funktionalität wieder gegeben, so dass man über CNAMEs oder IPs auf einen Cluster Share zugreifen kann, siehe: » http://blogs.msdn.com/b/clustering/archive/2012/04/08/10291792.aspx

Stay tuned,
N.Own

Print Cluster Best Practices

von

Auf dem Microsoft Blog des AskPerf Teams ist kürzlich ein neuer Artikel zum Thema „Windows Print Cluster Best Practices for Windows Server 2003 to Windows Server 2008 R2“, den ich jedem Print Cluster Admin an’s Herz legen kann:

» http://blogs.technet.com/askperf/print-cluster(…)

Die Empfehlungen decken sich mit meinen Erfahrungen bei Print Clustern aus dem Artikel » Print Cluster 101

Beim Troubleshooten sollte man zuerst die o.g. Punkte prüfen, um sicherzugehen, daß nicht grundlegende Spooler Fehler im Cluster die Probleme verursachen.

Stay tuned,
N.Own

Active Directory Voraussetzungen für Clustering

von

Welche Voraussetzungen und welche Einstellungen müssen im Active Directory gegeben sein, um den fehlerfreien Betrieb eines Clusters auf Basis von Windows Server 2008 oder 2008 R2 zu gewährleisten?

Dieser Fragestellung widmet sich folgender umfangreiche TechNet Artikel:

» http://technet.microsoft.com/(…)cc731002.aspx

Auch wenn ein Cluster Service Account (CSA) ab Windows Server 2008 nicht mehr nötig ist, benötigt man einen Active Directory Account für die zentrale Administration eines Clusters und dessen Nodes. Cluster Name Accounts (CNO) behalten weiterhin Ihre Rolle für die Erstellung virtueller Netzwerk-Namen und werden ebenfalls behandelt.

Für Windows Server 2003 sind zudem Rechte für den CSA nötig:
» https://www.cluadmin.de/index.php?p=111
Diese betreffen Windows Server 2008 und 2008 R2 nicht mehr

Fehlende Rechte oder eine ungenaue Umsetzung der Active Directory Rechte führen oft erst sehr spät zu einem Fehlerbild, das erfahrungsgemäß schwer zu analysieren ist.
Daher ist es ratsam, den TechNet How-To Artikel abzuarbeiten, um unangenehme Spätfolgen zu vermeiden.

Stay tuned,
N.Own

Migrationspfade zu Windows Server 2008 R2

von

Windows Server 2008 R2 ist nun RTM. Die ersten Upgradeprojekte werden lanciert und nun stellt sich die Frage: Welche Möglichkeiten stehen einem zur Verfügung, um bestimmte Anwendungen, Dienste und Rollen auf einen R2 Cluster zu migrieren?

In den meisten Fällen hilft einem der Cluster Migration Wizard.
Folgender aktuelle TechNet Artikel zeigt die Möglichkeiten aufgeschlüsselt nach Diensten und Applikationen im Detail:
» http://technet.microsoft.com/(…)ee791924.aspx

Es werden neben den gängigen Diensten wie File, Print, DHCP etc. auch Applikationen wie SQL & Exchange betrachtet.

Stay tuned,
N.Own