Hi 各位关注老王博客的朋友,十一过后,我们又开始继续研究学习WSFC啦,本次为大家介绍的是WSFC 2016部署模型里面的多域架构
什么是多域呢,对于只了解WSFC的朋友来说,可能并不明白是什么意思,其实多域指的是一种AD域的逻辑范围,例如说,我北京有一个域,oa.com,天津有个子域,tj.oa.com,这两个域同属于一个林,oa.com林,它们在一个大的林中,但是父域与子域之间的域数据不会相同,虽然我们都在同一个林,但是我父域创建的用户和计算机,子域不会有,子域创建的用户和计算机父域也不会有,因此,虽然是同一个林中的多个域,但它们还是存在安全边界的。
一些企业,可能子公司那边有要求,需要自己维护用户计算机,而且不希望父域看到,那么就会要求自己建立子域,完全自己维护,或者父公司收购一家公司,做成单林多域树的架构,原理也是一样的,虽然可以建立信任关系,互相访问资源,但是各自的资源都由各自维护。
以上为大家解释了多域架构,简单来说,就是单林环境下的,父子域,或多域树,关键点是单林下的每个域都单独维护自己的用户和计算机对象。
那么回到我们群集的话题,多域架构,在之前的版本中是不可能实现的,在之前即便是两个互相信任的域,两边的节点想要一起做一个群集,向导不会通过,会指出当前节点不处于同一域中,这在以前是个死规则,在WSFC 2016 被改变
多域群集的话,在老王看来,在中国实际应用场景并不多,一旦部署群集,那大部分都是生产环境,要不就是测试环境,通常测试环境和生产环境都有单独的域,都可以直接用最传统的AD域架构,没必要搞得这么麻烦。
如果真的要想场景的话,可能,如果是一家大型的公司也说不定,大公司下面有多个子公司,有一天忽然和子公司谈好,我们来共同维护一套系统吧,一部分节点我们这里,一部分节点在你们那里。或者说,直接测试变生产,测试变准生产,把有问题的节点先加入到隔离群集中,等等。
不过不管怎么说,这现在是可行的,我们现在确实可以将单林多域的不同节点构建成同一个群集,那有些朋友可能会想,你这个既然有域了,我是不是就可以有CNO了,可以用Kerberos了?还不行,为什么呢,因为每个域都是互相独立运行的,如果是正常域节点创建群集向导,群集会去节点所在域写入CNO,你这两个节点是不同域,如果群集要写入,应该写入那个域呢?每个域都有自己的RID主机,每个域里面的计算机 用户SID都会不一样,势必会有一部分节点无法正常验证
因此我们是没办法让多域群集写入CNO的,只有还和工作组群集一样,通过DNS记录作为管理访问点
多域部署模型要求如下
-
所有节点操作系统必须为Windows Server 2016
-
所有节点必须使用已经认证的标识硬件
-
所有节点必须安装故障转移群集功能
-
工作组模式群集需在各节点使用相同密码相同用户,该用户需要是本地管理组成员,如果是非administrator用户还需额外修改注册表键值
-
对于多域模式群集,要求每个节点需要有所有域的DNS后缀
可以看到,除了第五点,其它和工作组群集都一样,第五点我们需要在多域节点上面,分别增加对方域的DNS后缀即可,如果是DHCP环境,可以直接在DHCP Server上面做掉。
适用场景和工作组模型一样,按照微软的说法,最适合的为SQL Server SA验证
| 集群工作负载 | 支持/不支持 | 更多信息 |
| SQL Server | 支持 | 我们建议您使用SQL Server身份验证进行Active Directory独立的群集部署。 |
| File server | 支持,但不推荐 | Kerberos身份验证是服务器消息块(SMB)流量的首选身份验证协议。 |
| Hyper-V | 支持,但不推荐 | 支持快速迁移,不支持实时迁移,因为它具有对Kerberos身份验证的依赖。 |
| Message Queuing (also known as MSMQ) | 不支持 | 消息队列存储属性在AD DS |
多域模型部署对于WSFC 2016新功能支持如下
故障域站点感知
站点运行状况检测
Cloud Winess
Cluster Log 优化
简单的SMB多通道
群集VM负载均衡 ( No LiveMigration Only QuickMigration )
VM弹性与存储容错 ( No LiveMigration Only QuickMigration )
实战环境
DC01&iscsi oa.com
lan:10.0.0.2 255.0.0.0
iscsi:30.0.0.2 255.0.0.0
DC02 tw.oa.com
lan:10.0.0.3 255.0.0.0
HV01
MGMET:10.0.0.9 255.0.0.0 DNS 10.0.0.2
ISCSI:30.0.0.9 255.0.0.0
CLUS:18.0.0.9 255.0.0.0
HV02
MGMET:10.0.0.10 255.0.0.0 DNS 10.0.0.3
ISCSI:30.0.0.10 255.0.0.0
CLUS:18.0.0.10 255.0.0.0
当前HV01属于oa.com域
HV02属于tw.oa.com子域
在各节点创建相同密码的本地用户
添加用户至各节点本地管理员组
配置用户密码为永不过期
如果我们不使用节点本地内置的administrator用户创建群集,那么还需要修改各节点注册表
HKLM:/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
新增DWORD键值LocalAccountTokenFilterPolicy,值为1
为各 同林多域节点 DNS访问网卡,增加所有域的DNS后缀
修改完成后重启,使用cluadmin用户登录,添加各节点群集功能角色,连接ISCSI存储
GUI创建方式和工作组群集相同,这里我们使用Powershell创建
#创建多域群集
New-Cluster -Name MLDcluster -StaticAddress 10.0.0.40 -Node HV01,HV02 -AdministrativeAccessPoint DNS
创建完成,并未提示报错
打开故障转移群集管理器发现已经可以正常打开群集,且自动帮助我们配置了磁盘见证
下一步可以尝试基于多域模型群集部署上层应用!
We Done it!
现在我们在一个多域节点模型的场景下部署了WSFC群集!
这为一些场景提供了新的可能
遗憾的是,虽然是多域模型,但仍然要按照工作组的方式创建群集,能够基于多域模型跑的上层应用还是有限
OK,伙伴们块尝试起来吧~
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/182848.html