使来自无域机器的服务在虚拟名称下在安全域中可用。每个机器未被加入域,但是可以到达安全域控制器。控制器使用诸如修改的Kerberos协议的认证协议来控制至少一个安全域。获取安全域证书集合,生成集群名称秘密,向集群给予虚拟名称,并且使用这些项向域控制器认证机器。在一些情况下,认证使用基于票证的协议,其接受集群名称秘密代替有效安全域成员资格的证明。在一些情况下,域控制器使用与活动目录服务兼容的目录服务;集群虚拟名称被提供作为目录服务中的帐户。集群虚拟名称可以同时服务在目录服务的不同安全域上的客户端。
【技术实现步骤摘要】
【国外来华专利技术】无域服务器上的域加入虚拟名称
技术介绍
故障转移集群是一起工作以维持应用和服务的高可用性的一组服务器计算机。服务器计算机也可以被称为“服务器”或“节点”。如果节点之一发生故障,则集群中的另一节点可以在很少或不需要停机的情况下接管其工作负载,该过程称为“故障转移”。在一些计算架构中,共享网络资源数据库并且具有共同的安全策略的一组计算机被称为“域”。域可以具有有时被称为“主域控制器”(PDC)的域控制器,其是管理整个域的资源和用户访问的计算机。还可以存在一个或多个备份域控制器。域中的其他计算机是工作站或服务器,其在域认证或另一认证协议建立用户具有访问域中的计算机的权限之后向域用户提供计算资源。域管理员可以使用管理软件和安全策略来管理访问。
技术实现思路
一些实施例涉及集群认证的技术活动。一些实施例涉及通过使用创新的认证协议在虚拟名称的伪装下使服务可从安全域中的一个或多个无域机器获得的相关技术活动。与本文中的教导有关的其他技术活动对于本领域技术人员也将变得显而易见。一些实施例帮助使经认证的集群可用。至少两个服务器形成集群。每个服务器没有被加入到安全域但是被联网,使得它可以到达安全域控制器。安全域控制器使用认证协议来控制至少一个安全域。新方法获取安全域证书集合,生成集群名称秘密,向集群给予虚拟名称,并且使用安全域证书、集群名称秘密和集群虚拟名称向域服务器将服务器认证为集群。在一些情况下,认证使用基于票证的认证协议,其接受集群名称秘密代替有效安全域成员资格的证明。在一些情况下,域控制器使用与活动目录服务兼容的目录服务。给出的示例仅仅是说明性的。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或基本特征,也不旨在用于限制所要求保护的主题的范围。相反,提供本
技术实现思路
是为了以简化的形式介绍在下文的具体实施方式中进一步描述的一些技术概念。新方法是由权利要求来限定的,并且在本
技术实现思路
与权利要求相冲突的情况下,应当以权利要求为准。附图说明将参考附图给出更具体的描述。这些附图仅说明所选择的方面,并且因此不完全确定覆盖范围或范围。图1是图示了具有在软件的控制下彼此交互的至少一个处理器和至少一个存储器以及可以存在于多个网络节点上的操作环境中的其他项目的计算机系统、并且还图示了所配置的存储介质(与单纯的信号相对而言)实施例的框图;图2是图示集群的框图;图3是图示安全域证书的框图;图4是图示一些处理和所配置的存储介质实施例的方面的流程图;图5是进一步图示其中集群的机器向一个或多个安全域进行认证的一些过程的方面的流程图;图6是图示在示例架构中使用域加入虚拟名称创建无域机器的方面的数据流程图;以及图7是图示包含通过域加入虚拟名称而可用的无域机器的复制的集群的方面的数据流程图。具体实施方式首字母缩略语和缩写下面定义了一些首字母缩略语和其他缩写。其他的首字母缩略语和缩写可以在本文中的其他地方定义,或者不需要定义而被技术人员所理解。ACL:访问控制列表AD:(Active)(指代由微软开发的软件;活动目录是微软公司的注册商标,并且在本文中使用AD缩写而没有带圈的R符号不是放弃任何商标或其他权利)ALU:算术和逻辑单元API:应用程序接口CCNA:创建集群名称账户clusapi:集群APICNO:集群名称或集群名称对象CD:压缩碟CPU:中央处理单元CSV:集群共享卷DC:域控制器或域控制DLL:动态链接库DNN:分布式网络名称DNS:域名服务DR:灾难恢复DVD:数字多功能盘或数字视频碟FPGA:现场可编程门阵列FPU:浮点处理单元GPU:图形处理单元GUI:图形用户界面GUID:全局唯一标识符GUM:全局更新管理器HKLM:HKEY_LOCAL_MACHINEIDE:集成开发环境,有时也称为“交互式开发环境”IP:互联网协议或互联网协议地址LAN:局域网LDAP:轻量目录访问协议NAS:网络附接存储NT:如在NTFS、NTLM中的新技术NTFS:NT文件系统NTLM:NTLAN管理器安全协议OS:操作系统PS:PowerShell(命令行外壳和/或脚本语言;Windows是微软公司的标志)RAM:随机存取存储器RHS:资源托管子系统ROM:只读存储器SID:安全标识符SMB:服务器消息块SPN:服务主体名称SRV:服务器服务(SMB的服务器侧)TCP:传输控制协议UI:用户界面URL:统一资源定位符VCO:虚拟计算机对象,例如具有文件服务器名称VIP:虚拟IPWMI:窗口管理工具概述传统上,属于故障转移集群的虚拟名称被托管在也是域加入的机器集合上。然而,回想起来,这造成了管理的复杂性。它也激活这些机器上的组策略。本文中描述的一些实施例提供或使用具有网络和目录服务存在的域加入虚拟名称,其被托管在可以发现认证域(也称为安全域)的无域机器集群上。本文中的很多示例使用微软的软件和/或服务,但是在调查研究后,技术人员将理解与本文中描述的一些或全部特征一起代之使用其他软件所涉及的权衡和适应性。例如,技术人员可以考虑使用具有LDAP的DNS和适当修改版本的Kerberos或其他认证软件的替代方案。这样的虚拟名称用作针对高度可用文件服务器服务的连接端点,同时赋予安全(例如,Kerberos)认证连接和后续授权的全部益处。这样的部署的管理员免除了将机器手动加入到域(例如,域),并且可以将很多实现复杂性从集群外部的用户隐藏起来。使用Windows和/或软件或服务(微软公司的商标)的系统中的文件服务器部署可以部分地通过在故障转移集群上部署用作服务器端点的虚拟名称而成为高度可用的。这些虚拟名称通过域名服务(DNS)提供网络存在,并且通过(AD)集成支持Kerberos认证。然而,对于要被集成到常规的AD上下文中的这些文件服务器,构成集群的机器必须是域加入的。这产生了针对部署的管理复杂性,并且可能将集群暴露给组策略管理,其中涉及到开销和复杂性。它还在通过域证书将机器从控制台访问锁定方面造成困难。本文中描述的一些实施例保持由虚拟名称暴露的相同功能,同时放松了集群机器域加入的要求。因此,通过一些示例,可以树立(standup)无域集群,其随后可以托管提供网络存在和Kerberos认证的虚拟名称。技术人员将认识到,有时可以通过NTLM安全协议针对虚拟名称执行较弱的认证。然而,该方案与Kerberos相比要弱得多,并且不受一些管理员或指导方针的推荐。此外,它不能在通常由域用户调用的一些授权场景中使用。本文中描述的实施例的技术特征对于本领域普通技术人员来说是显而易见的,并且对于广泛的专心的读者也将以几种方式显而易见。例如,一些实施例涉及诸如集群形成、认证和/或安全域管理的技术活动。因此提供了对计算机操作本身的改进。具体地,在美国,使得本文中描述的新方法的权利要求非法定地仅涉及抽象概念的任何权利要求解释并不是合理的解释。现在将参考诸如附图中所示的示例性实施例,并且本文中将使用具体语言来描述这些示例性实施例。但是本文中所示的特征的变更和进一步修改以及(一个或多个)相关领域的技术人员将想到的并且具有本公开内容的由本文中的特定实施例所示的抽象原理的附加技术应用应当被认为在权利要求的范围内。在本公开中阐明了术语的含义,因此应当在仔细关注这些说明的情况下阅读权利要求。给出了具体的示例,本文档来自技高网...
【技术保护点】
一种帮助使经认证的集群可用的过程,所述过程包括:将至少两个服务器形成为集群,每个服务器至少包括逻辑处理器、与所述逻辑处理器处于可操作通信的存储器,并且每个服务器未被加入安全域但是被联网,使得每个服务器能够到达安全域控制器,所述安全域控制器使用认证协议来控制至少一个安全域;获取安全域证书集合;生成集群名称秘密;向所述集群给予虚拟名称;以及使用所述安全域证书、所述集群名称秘密和所述集群虚拟名称向所述域控制器将所述服务器认证为集群。
【技术特征摘要】
【国外来华专利技术】2015.08.15 US 62/205,686;2015.09.20 US 14/859,3131.一种帮助使经认证的集群可用的过程,所述过程包括:将至少两个服务器形成为集群,每个服务器至少包括逻辑处理器、与所述逻辑处理器处于可操作通信的存储器,并且每个服务器未被加入安全域但是被联网,使得每个服务器能够到达安全域控制器,所述安全域控制器使用认证协议来控制至少一个安全域;获取安全域证书集合;生成集群名称秘密;向所述集群给予虚拟名称;以及使用所述安全域证书、所述集群名称秘密和所述集群虚拟名称向所述域控制器将所述服务器认证为集群。2.根据权利要求1所述的过程,其中所述认证使用基于票证的认证协议,所述基于票证的认证协议接受所述集群名称秘密代替有效安全域成员资格的证明。3.根据权利要求1所述的过程,其中所述集群名称秘密包括密码。4.根据权利要求1所述的过程,其中所述认证使用被增强以接受所述集群名称秘密的Kerberos协议。5.根据权利要求1所述的过程,其中所述域控制器使用与活动目录服务兼容的目录服务。6.根据权利要求1所述的过程,还包括以下中的至少一项:提供所述集群作为文件服务器,提供所述集群作为高可用性文件服务器,提供所述集群作为高可用性计算资源。7.根据权利要求1所述的过程,还包括使用所述集群虚拟名称来同时服务在所述域控制器的目录服务的不同安全域上的客户端。8.一种集群装置,包括:多个处理器;至少一个存储器,与所述处理器处于可操作通信;无域认证子系统,其包括软件,所述软件由至少一个处理器使用所述存储器可执行以:(a)接受针对用户的安全域证书,(b)接受待用作虚拟名称的名称,(c)获取针对所述虚拟名称的密码和/或其他秘密,以及(d)向安全域控制器呈现所述证书、名称和所述密码和/或其他秘密,从而模拟安全域成员并且使得与所述安全域控制器相关联的目录服务提供所述...
【专利技术属性】
技术研发人员:S·S·阿南萨帕德马纳班,L·S·科波鲁,A·德阿马托,曾毅,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。