为 Microsoft Azure 包:网站预先配置 Windows 文件服务器群集或 NAS 设备网站
10/26/2015
本文内容
适用对象:Windows Azure Pack
本章展示如何配置你自己的文件服务器或文件服务器群集,使其与 Microsoft Azure 包:网站配合使用。网站:
背景
如果在安装期间选择“独立”Windows 文件服务器选项,则不需要准备文件服务器,将自动为您进行该准备工作。 但是,尽管“独立”选项对于“概念验证”式的安装有用,但生产环境通常需要更为可靠的解决方案,如 Windows 文件服务器群集或第三方网络附加存储 (NAS) 设备。 Windows Azure 包:网站的用法不取决于每个网站的文件共享权限,这样使它可使用异构文件存储实现,如 NAS 设备。
警告
Windows Azure 包:网站依赖文件服务器资源管理器 (FSRM),后者不支持扩展文件服务器。
备注
自更新版本 6 起,Windows Azure 包:网站将不再需要证书共享和关联用户。 在新的安装中,将不会要求你提供这些内容。 在升级安装中,将保留凭据和共享,但不会使用。
5 个主要步骤
预先配置您自己的 Windows 文件服务器、Windows 文件服务器群集或第三方 NAS 设备涉及以下 5 个主要步骤。 这些步骤的实现根据在 Active Directory 域中还是在工作组环境中工作而异。 下面给出用于这两个环境的步骤。
备注
尽管提供第三方 NAS 设备的配置说明超出本文的范围,但一般应按此处给出的过程进行操作,并按您的非 Windows 文件群集或 NAS 设备的需要作出调整。
1.配置组和帐户
2.启用 Windows 远程管理 (WinRM)
3.设置内容共享
4.将 FileShareOwners 组添加到本地 Administrators 组以启用 WinRM
5.配置对共享的访问控制
1.配置组和帐户
在 Active Directory 中配置组和帐户
创建以下 Active Directory 全局安全组:
FileShareOwners
FileShareUsers
创建以下 Active Directory 帐户作为服务帐户。 要创建的帐户为
FileShareOwner
FileShareUser
备注
作为安全性最佳实践,这些帐户(和所有 Web 角色)的用户应彼此不同,并应具有强用户名和密码。 有关详细信息,请参阅 Windows Azure 包:网站安全性增强功能。
设置 FileShareOwner 和 FileShareUser 密码时必须符合以下条件:
启用 “密码永不过期”
启用 “用户不能更改密码”
禁用 “用户在下次登录时必须更改密码”
将这些帐户添加到组成员身份,如下所示:
将 FileShareOwner 添加到 FileShareOwners 组
将 FileShareUser 添加到 FileShareUsers 组
在工作组中配置组和帐户
在工作组上,运行 net 和 WMIC 命令以配置组和帐户。
运行以下命令以创建 FileShareOwner 和 FileShareUser 帐户。 将 替换为你自己的值。
net user FileShareOwner /add /expires:never /passwordchg:no net user FileShareUser /add /expires:never /passwordchg:no
通过运行以下 WMIC 命令,将刚刚创建的帐户密码设置为永不过期:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
创建本地组 FileShareUsers 和 FileShareOwners,并将第 1 步中的帐户添加到这些组。
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
2.启用 Windows 远程管理 (WinRM)
在文件服务器角色或 Windows 文件服务器群集的每个节点上,如果要使用群集,请在提升的命令提示符处运行以下命令以配置 WinRM:
powershell.exe Enable-PSRemoting –Force winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"} netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any %windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all
警告
请不要从批处理文件运行以上命令。 如果这样做,则批处理文件会在 winrm.cmd 脚本完成之后过早地退出。
可以选择在非服务器核心 Windows 上启用文件服务器资源管理器 (FSRM) 用户界面
如果未在用于 Windows Server 的服务器核心上进行安装,则可以选择启用文件服务器资源管理器 (FSRM) 的用户界面。
备注
FSRM 用户界面不是必需的。 它不能安装在用于 Windows 的服务器核心上。
若要启用 FSRM 用户界面,请在提升的命令提示符处运行以下命令:
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all
3.设置内容共享
内容共享包含租户网站内容。
在一个文件服务器上设置内容共享的过程与 Active Directory 和工作组环境相同,但与 Active Directory 中的故障转移群集不同。
在一个文件服务器(AD 或工作组)上设置内容共享
在一个文件服务器上,在提升了权限的命令提示符下运行以下命令。 将 的值替换为你环境中的相应路径。
set WEBSITES_SHARE=WebSites set WEBSITES_FOLDER= md %WEBSITES_FOLDER% net share %WEBSITES_SHARE% /delete net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
在故障转移群集 (Active Directory) 上设置内容共享
在故障转移群集上,创建以下 UNC 群集资源:
网站
4.将 FileShareOwners 组添加到本地 Administrators 组以启用 WinRM
为使 Windows 远程管理正常工作,必须将 FileShareOwners 组添加到本地 Administrators 组。
Active Directory
在文件服务器上或每个文件服务器故障转移群集节点上提升了权限的命令提示符下,执行以下命令。 将 的值替换为你将使用的域名。
set DOMAIN= net localgroup Administrators %DOMAIN%\FileShareOwners /add
工作组
在文件服务器上提升了权限的命令提示符下执行以下命令。
net localgroup Administrators FileShareOwners /add
5.配置对共享的访问控制
从文件服务器上或作为当前群集资源所有者的文件服务器故障转移群集节点上提升了权限的命令提示符下,执行以下命令。 将以斜体显示的值替换为您所处环境特有的值。
Active Directory
set DOMAIN= set WEBSITES_FOLDER= icacls %WEBSITES_FOLDER% /reset icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F) icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M) icacls %WEBSITES_FOLDER% /inheritance:r icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA) icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
工作组
set WEBSITES_FOLDER= icacls %WEBSITES_FOLDER% /reset icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F) icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M) icacls %WEBSITES_FOLDER% /inheritance:r icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA) icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
请参阅
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
