——   阿里云购买流程   ——
加入阿里云合作伙伴[云创得力]关联大客户账户购买阿里云产品,享受更多优惠
1.申请产品优惠

咨询客服或网络在线咨询,协助上云服务
点击关联阿里云填写表单,等待客服服务

2.关联大客户账户

①无账号:客服微信发送的注册链接进行关联
②已注册阿里云:客服微信发送关联链接
续费、充值、新购均享优惠。

3.阿里云官网提交订单

产品架构师协助客户挑选配置
阿里云官网选配置提交订单

4.付款开通

付款后,即可申请阿里云原价发票

5.申请阿里云发票凭据

购买后可申请阿里云原价发票

6.技术服务

免费协助配置、备案,售后7*24反馈,全周期专业服务
最高可选208 vCPU,内存3072 GiB,带宽35GBps

热门产品  :
上云必购  :
云服务器 ECS hot
云虚拟主机 hot
云数据库 RDS MySQL 版
云数据库 Redis 版
云数据库 HBase 版
对象存储 OSS
块存储
表格存储
负载均衡
共享流量包
全站加速 CDN
弹性公网 IP
VPN 网关
产品搭配  :
域名注册 hot
阿里企业邮箱 hot
短信服务
日志服务 SLS
内容安全
SSL 证书
号码隐私保护
实时计算 Flink 版
堡垒机
消息队列 Kafka
数据库审计
核心产品  :
DDoS 防护 hot
WEB应用防火墙 hot
SSL 证书
云防火墙
漏洞扫描
CDN
渗透测试
游戏盾
企业应用  :
网站建设 hot
企业网站定制 hot
小程序云
短信服务

WSFC2016 多域部署模型介绍

发布时间:2020-12-03 12:15:41

  这次为大伙儿讲解的是WSFC2016部署模型里边的多域架构。如何理解多域呢,针对只熟悉WSFC的伙伴而言,很有可能并不清楚代表什么意思,事实上多域指的是一种AD域的逻辑标准。比如说,我北京有一个域,oa.com,天津有个子域,tj.oa.com,这两个域同是指一个林,oa.com林,它们在一个大的林中,可是父域与子域相互间的域数据难以同样,尽管大家一定会同一个林,可是我父域创建的用户和计算机,子域难以有,子域创建的用户和计算机父域也不会有,为此,尽管是同一个林中的多个域,但它们也是产生安全边界的。

  某些企业,很有可能子公司那边有规定,必须自己维护用户计算机,同时不期待父域见到,那样马上会规定自己建立子域,完全自己维护,或是父公司收购一家公司,制成单林多域树的架构,原理也是同样的,尽管能够建立信任关系,互相访问资源,可是各自的资源都由各自维护。

  上述为大伙儿解释了多域架构,简便而言,也就是单林环境下的,父子域,或多域树,关键因素是单林下的各个域都单独维护自己的用户和计算机对象。

  那样返回大家群集的话题,多域架构,在过去的版本中是难以完成的,在过去即使是两个互相信任的域,两边的节点需要一起做一个群集,向导难以经过,会提出当前节点不处在同一域中,这在过去是个死规则,在WSFC2016被改变

  多域群集的情况下,在柴哥认为,在中国实际应用场景并不多,一旦部署群集,那大部分全是生产环境,要不也就是测试环境,通常测试环境和生产环境都会有单独的域,都能够直接用最传统的AD域架构,没必要搞得这样麻烦。

  假如的确要想场景的情况下,很有可能,如果是一家大型的公司也说不准,大公司接下来有多个子公司,有一天突然和子公司谈好,大家来共同维护一套系统吧,一部分节点大家这儿,一部分节点在你们那边。或者是,直接测试变生产,测试变准生产,把有问题的节点先加进到隔离群集中等等。

  不过无论如何说,这现在是可行的,大家如今的确能够将单林多域的不同节点构建成同一个群集,那有些伙伴很有可能会想,你这样既然有域了,我是不是就可以有CNO了,可以用Kerberos了?还不行,为什么呢,由于各个域全是互相独立运行的,如果是正常域节点创建群集向导,群集会去节点所属域写入CNO,你这两个节点是不同域,假如群集要写入,应当写入那个域呢?各个域都会有自己的RID主机,各个域里边的计算机用户SID一定会不一样,必定会有一部分节点难以正常验证

  因而大家是没有办法让多域群集写入CNO的,就只有还和工作组群集一样,根据dns记录用作管控访问点

  多域部署模型规定以下

  任何节点操作系统一定为WindowsServer2016

  任何节点一定采用早已认证的标识硬件

  任何节点一定安装故障转移群集功能

  工作组模式群集需在各节点采用相同密码相同用户,该用户必须是本地管控组成员,假如是以administrator用户还需额外修改注册表键值

  针对多域模式群集,规定各个节点必须有任何域的DNS后缀

  能够看出,除去第五点,其余和工作组群集是一样的,第五点大家必须在多域节点上边,各自增多对方域的DNS后缀就可以了,如果是DHCP环境,能够立即在DHCPServer上边做掉。

  适用场景和工作组模型一样,遵循微软的情况,最适宜的为SQLServerSA验证

集群工作负载

支持/不支持

更多信息

SQL Server

支持

我们建议您使用SQL Server身份验证进行Active  Directory独立的群集部署。

File server

支持,但不推荐

Kerberos身份验证是服务器消息块(SMB)流量的首选身份验证协议。

Hyper-V

支持,但不推荐

支持快速迁移,不支持实时迁移,因为它具有对Kerberos身份验证的依赖。

Message Queuing (also known as MSMQ)

不支持

消息队列存储属性在AD DS


  多域模型部署针对WSFC2016新功能支持以下

  故障域站点认知

  站点经营情况检测

  CloudWiness

  ClusterLog优化

  简单的SMB多通道

  群集VM负载均衡(NoLiveMigrationOnlyQuickMigration)

  VM弹性与存储容错(NoLiveMigrationOnlyQuickMigration)

  实战环境

  DC01&iscsi      oa.com
  lan:10.0.0.2 255.0.0.0
  iscsi:30.0.0.2 255.0.0.0
  DC02               tw.oa.com
  lan:10.0.0.3 255.0.0.0
  HV01
  MGMET:10.0.0.9 255.0.0.0 DNS 10.0.0.2
  ISCSI:30.0.0.9 255.0.0.0
  CLUS:18.0.0.9 255.0.0.0
  HV02
  MGMET:10.0.0.10 255.0.0.0 DNS 10.0.0.3
  ISCSI:30.0.0.10 255.0.0.0
  CLUS:18.0.0.10 255.0.0.0

  当下HV01属于oa.com域

7517.jpg

  HV02属于tw.oa.com子域

7517.jpg

  在各节点建立相同密码的本地用户

7517.jpg

  增加用户至各节点本地管理员组

7517.jpg

  配置用户密码为永不过期

7517.jpg

  如果我们不采用节点本地内置的administrator用户建立群集,那样还必须修改各节点注册表

  HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  新增DWORD键值LocalAccountTokenFilterPolicy,值为1

7517.jpg

  为各同林多域节点DNS访问网卡,增多任何域的DNS后缀

7517.jpg

  修改完成后重启,采用cluadmin用户登录,增加各节点群集功能角色,连接ISCSI存储

7517.jpg

7517.jpg

  GUI建立方式和工作组群集相同,在这里大家采用Powershell建立

  #建立多域群集

New-Cluster -Name MLDcluster -StaticAddress 10.0.0.40 -Node HV01,HV02 -AdministrativeAccessPoint DNS

7517.jpg  创建完成,尚未提示报错

7517.jpg

  开启故障转移群集管理器察觉早已能够正常开启群集,且自行帮助大家配置了磁盘见证

7517.jpg

  下一步能够试着根据多域模型群集部署上层应用!

  WeDoneit!

  目前我们在一个多域节点模型的场景下部署了WSFC群集!这为一些场景提供了新的可能遗憾的是,虽然是多域模型,但仍然要按照工作组的方式创建群集,能够基于多域模型跑的上层应用还是有限。


产品问题、配置报价、售后请添加微信客服
产品使用问题、技术团队微信学习交流群(实时更新)