WSFC2016 多域部署模型

    Hi 各位关注老王博客的朋友,十一过后,我们又开始继续研究学习WSFC啦,本次为大家介绍的是WSFC 2016部署模型里面的多域架构

  什么是多域呢,对于只了解WSFC的朋友来说,可能并不明白是什么意思,其实多域指的是一种AD域的逻辑范围,例如说,我北京有一个域,oa.com,天津有个子域,tj.oa.com,这两个域同属于一个林,oa.com林,它们在一个大的林中,但是父域与子域之间的域数据不会相同,虽然我们都在同一个林,但是我父域创建的用户和计算机,子域不会有,子域创建的用户和计算机父域也不会有,因此,虽然是同一个林中的多个域,但它们还是存在安全边界的。

   一些企业,可能子公司那边有要求,需要自己维护用户计算机,而且不希望父域看到,那么就会要求自己建立子域,完全自己维护,或者父公司收购一家公司,做成单林多域树的架构,原理也是一样的,虽然可以建立信任关系,互相访问资源,但是各自的资源都由各自维护。

   以上为大家解释了多域架构,简单来说,就是单林环境下的,父子域,或多域树,关键点是单林下的每个域都单独维护自己的用户和计算机对象。

   那么回到我们群集的话题,多域架构,在之前的版本中是不可能实现的,在之前即便是两个互相信任的域,两边的节点想要一起做一个群集,向导不会通过,会指出当前节点不处于同一域中,这在以前是个死规则,在WSFC 2016 被改变

  多域群集的话,在老王看来,在中国实际应用场景并不多,一旦部署群集,那大部分都是生产环境,要不就是测试环境,通常测试环境和生产环境都有单独的域,都可以直接用最传统的AD域架构,没必要搞得这么麻烦。

  如果真的要想场景的话,可能,如果是一家大型的公司也说不定,大公司下面有多个子公司,有一天忽然和子公司谈好,我们来共同维护一套系统吧,一部分节点我们这里,一部分节点在你们那里。或者说,直接测试变生产,测试变准生产,把有问题的节点先加入到隔离群集中,等等。

 不过不管怎么说,这现在是可行的,我们现在确实可以将单林多域的不同节点构建成同一个群集,那有些朋友可能会想,你这个既然有域了,我是不是就可以有CNO了,可以用Kerberos了?还不行,为什么呢,因为每个域都是互相独立运行的,如果是正常域节点创建群集向导,群集会去节点所在域写入CNO,你这两个节点是不同域,如果群集要写入,应该写入那个域呢?每个域都有自己的RID主机,每个域里面的计算机 用户SID都会不一样,势必会有一部分节点无法正常验证

   因此我们是没办法让多域群集写入CNO的,只有还和工作组群集一样,通过DNS记录作为管理访问点

  多域部署模型要求如下

  1. 所有节点操作系统必须为Windows Server 2016

  2. 所有节点必须使用已经认证的标识硬件

  3. 所有节点必须安装故障转移群集功能

  4. 工作组模式群集需在各节点使用相同密码相同用户,该用户需要是本地管理组成员,如果是非administrator用户还需额外修改注册表键值

  5. 对于多域模式群集,要求每个节点需要有所有域的DNS后缀

  

可以看到,除了第五点,其它和工作组群集都一样,第五点我们需要在多域节点上面,分别增加对方域的DNS后缀即可,如果是DHCP环境,可以直接在DHCP Server上面做掉。

适用场景和工作组模型一样,按照微软的说法,最适合的为SQL Server SA验证

集群工作负载 支持/不支持 更多信息
SQL Server 支持 我们建议您使用SQL Server身份验证进行Active  Directory独立的群集部署。
File server 支持,但不推荐 Kerberos身份验证是服务器消息块(SMB)流量的首选身份验证协议。
Hyper-V 支持,但不推荐 支持快速迁移,不支持实时迁移,因为它具有对Kerberos身份验证的依赖。
Message Queuing (also known as MSMQ) 不支持 消息队列存储属性在AD DS

多域模型部署对于WSFC 2016新功能支持如下


故障域站点感知

站点运行状况检测

Cloud Winess

Cluster Log 优化

简单的SMB多通道

群集VM负载均衡 ( No LiveMigration  Only QuickMigration )

VM弹性与存储容错 ( No LiveMigration  Only QuickMigration )



实战环境

DC01&iscsi      oa.com

lan:10.0.0.2 255.0.0.0

iscsi:30.0.0.2 255.0.0.0

DC02               tw.oa.com

lan:10.0.0.3 255.0.0.0


HV01

MGMET:10.0.0.9 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.9 255.0.0.0

CLUS:18.0.0.9 255.0.0.0


HV02

MGMET:10.0.0.10 255.0.0.0 DNS 10.0.0.3

ISCSI:30.0.0.10 255.0.0.0

CLUS:18.0.0.10 255.0.0.0

当前HV01属于oa.com域

WSFC2016 多域部署模型

HV02属于tw.oa.com子域

WSFC2016 多域部署模型

在各节点创建相同密码的本地用户

WSFC2016 多域部署模型

添加用户至各节点本地管理员组

WSFC2016 多域部署模型

配置用户密码为永不过期

WSFC2016 多域部署模型

如果我们不使用节点本地内置的administrator用户创建群集,那么还需要修改各节点注册表

HKLM:/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

新增DWORD键值LocalAccountTokenFilterPolicy,值为1

WSFC2016 多域部署模型

为各 同林多域节点 DNS访问网卡,增加所有域的DNS后缀

WSFC2016 多域部署模型


修改完成后重启,使用cluadmin用户登录,添加各节点群集功能角色,连接ISCSI存储


WSFC2016 多域部署模型

WSFC2016 多域部署模型


GUI创建方式和工作组群集相同,这里我们使用Powershell创建


#创建多域群集

New-Cluster -Name MLDcluster -StaticAddress 10.0.0.40 -Node HV01,HV02 -AdministrativeAccessPoint DNS

WSFC2016 多域部署模型

创建完成,并未提示报错

WSFC2016 多域部署模型

打开故障转移群集管理器发现已经可以正常打开群集,且自动帮助我们配置了磁盘见证

WSFC2016 多域部署模型

下一步可以尝试基于多域模型群集部署上层应用!

We Done it!

现在我们在一个多域节点模型的场景下部署了WSFC群集!

这为一些场景提供了新的可能

遗憾的是,虽然是多域模型,但仍然要按照工作组的方式创建群集,能够基于多域模型跑的上层应用还是有限

OK,伙伴们块尝试起来吧~


原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/182848.html

(0)
上一篇 2021年11月1日
下一篇 2021年11月1日

相关推荐

发表回复

登录后才能评论