о необходимости разрешения kerberos
Модераторы: Trinity admin`s, Free-lance moderator`s
о необходимости разрешения kerberos
При кластеризации ресурсов типа Network Name (у меня конкретно для SQL и DTC) можно поставить галочку в поле Разрешить проверку Kerberos. У меня кластер и домен под 2003. Насколько необходимо включение данного протокола? Это связано только с активацией более надёжного механизма аутентификации по желанию юзера или влияет на что-то ещё?
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: о необходимости разрешения kerberos
"1703"
самый обычный крипто-протокол. Если вы ставите кластер серверов на удаленных разнесенных площадках, то лучше включить. Если нет, то можно забить.
самый обычный крипто-протокол. Если вы ставите кластер серверов на удаленных разнесенных площадках, то лучше включить. Если нет, то можно забить.
Re: о необходимости разрешения kerberos
Ок. Забил.
Re: о необходимости разрешения kerberos
Извиняюсь, ещё вопрос. Не хочется новую тему открывать.
При кластеризации сервисов (например MS DTC) или создании File Share требуется создание ресурсов типа Network Name. Вопросов два:
1. Имя (не описательно Name, а то что задаётся в параметрах) Network Name давать какое душе угодно или ... ? Т.е. это просто виртуальное сетевое имя, которому будет сопоставляться вирт. IP и оно не должно там с чем-то совпадать и чему-то соответствовать? Например расшариваю папку X:\LABEL создаю ресурс типа File Share и под него даю Network Name ну например PUPKIN. То же самое при создании Network Name под MS DTC (кластеризую только что-бы ошибка не шла в лог) придумываю ему что угодно - PUPKIN2, This is DTC, и т.д. Всё подходит?
2. При переезде ресурсов с типом Network Name, наблюдаю долгую задержку по времени прежде чем ресурс перейдёт в Bring OnLine. Ресурсы типа "IP-address", "Физический диск" перемещаются и стартуют мгновенно. С чем это может быть связано или это нормально?
При кластеризации сервисов (например MS DTC) или создании File Share требуется создание ресурсов типа Network Name. Вопросов два:
1. Имя (не описательно Name, а то что задаётся в параметрах) Network Name давать какое душе угодно или ... ? Т.е. это просто виртуальное сетевое имя, которому будет сопоставляться вирт. IP и оно не должно там с чем-то совпадать и чему-то соответствовать? Например расшариваю папку X:\LABEL создаю ресурс типа File Share и под него даю Network Name ну например PUPKIN. То же самое при создании Network Name под MS DTC (кластеризую только что-бы ошибка не шла в лог) придумываю ему что угодно - PUPKIN2, This is DTC, и т.д. Всё подходит?
2. При переезде ресурсов с типом Network Name, наблюдаю долгую задержку по времени прежде чем ресурс перейдёт в Bring OnLine. Ресурсы типа "IP-address", "Физический диск" перемещаются и стартуют мгновенно. С чем это может быть связано или это нормально?
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: о необходимости разрешения kerberos
Примерно так и есть1703 писал(а):Name под MS DTC (кластеризую только что-бы ошибка не шла в лог) придумываю ему что угодно - PUPKIN2, This is DTC, и т.д. Всё подходит?
Смотрите логи, проверяйте правильность настроек ДНС. Он у вас внешний или на этих же нодах?2. При переезде ресурсов с типом Network Name, наблюдаю долгую задержку по времени прежде чем ресурс перейдёт в Bring OnLine. Ресурсы типа "IP-address", "Физический диск" перемещаются и стартуют мгновенно. С чем это может быть связано или это нормально?
Re: о необходимости разрешения kerberos
В логах ничего нет. DNS внешний, под 2003. В параметрах Network Name есть поле DNS registration must succeed (там же где спрашивается про керберос), по умолчанию галка не стоит. Не знаете это влияет?Stranger03 писал(а):Смотрите логи, проверяйте правильность настроек ДНС. Он у вас внешний или на этих же нодах?
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: о необходимости разрешения kerberos
"1703"
Честно не знаю. Эти вопросы скорей всего надо задавать в специализированных форумах по администрированию МС.
Честно не знаю. Эти вопросы скорей всего надо задавать в специализированных форумах по администрированию МС.
Re: о необходимости разрешения kerberos
Влияет, если включено ресурсы будут чуть медленнее передаваться. Ну раз у вас не стоит галка, значит не оно. Так вы все таки включили керберос? Если да выключите его, он тоже увеличивает время для передачи ресурсов.1703 писал(а): В логах ничего нет. DNS внешний, под 2003. В параметрах Network Name есть поле DNS registration must succeed (там же где спрашивается про керберос), по умолчанию галка не стоит. Не знаете это влияет?
Re: о необходимости разрешения kerberos
Нет, керберос не стал включать. А вот с "DNS registration must succeed" поэкспериментировал. Network Name переползает и стартует что с этой галкой что без. Время переползания (~15 секунд) не меняется.
Есть WINS. Пробовал указывать в настройках TCP\IP для PUBLIC. Не влияет. ITER, не в курсе, а параметры связанные с указанием суффиксов в настройках TCP\IP влияют?
Есть WINS. Пробовал указывать в настройках TCP\IP для PUBLIC. Не влияет. ITER, не в курсе, а параметры связанные с указанием суффиксов в настройках TCP\IP влияют?
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: о необходимости разрешения kerberos
Хм, я думал у вас время переползания несколько минут, 15-ть секунд это вполне нормально.1703 писал(а):Время переползания (~15 секунд) не меняется.
Re: о необходимости разрешения kerberos
Насчет суффиксов не знаю да и слабо себе представляю как они могут влиять. Вы бы сразу сказали что 15 секунд, я то думал там намного больше. 15 сек это нормально.1703 писал(а):Нет, керберос не стал включать. А вот с "DNS registration must succeed" поэкспериментировал. Network Name переползает и стартует что с этой галкой что без. Время переползания (~15 секунд) не меняется.
Есть WINS. Пробовал указывать в настройках TCP\IP для PUBLIC. Не влияет. ITER, не в курсе, а параметры связанные с указанием суффиксов в настройках TCP\IP влияют?
Re: о необходимости разрешения kerberos
Медленное переползание сетевых шар может быть связано с работой службы "Обозреватель сети". Попробуйте ее отключить на кластерных компах и всех рабочих станция, включить только на контроллерах домена. Не включать эту службу на серверах, имеющих более одного сетевого интерфейса.
Может быть этот вообще не баг, а фича. Наследие NetBIOS еще долго будет витать в сетях Windows...
Может быть этот вообще не баг, а фича. Наследие NetBIOS еще долго будет витать в сетях Windows...
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей