о необходимости разрешения kerberos

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
1703
Junior member
Сообщения: 8
Зарегистрирован: 13 мар 2009, 00:40
Откуда: Москва

о необходимости разрешения kerberos

Сообщение 1703 » 21 мар 2009, 17:54

При кластеризации ресурсов типа Network Name (у меня конкретно для SQL и DTC) можно поставить галочку в поле Разрешить проверку Kerberos. У меня кластер и домен под 2003. Насколько необходимо включение данного протокола? Это связано только с активацией более надёжного механизма аутентификации по желанию юзера или влияет на что-то ещё?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: о необходимости разрешения kerberos

Сообщение Stranger03 » 23 мар 2009, 08:05

"1703"
самый обычный крипто-протокол. Если вы ставите кластер серверов на удаленных разнесенных площадках, то лучше включить. Если нет, то можно забить.

1703
Junior member
Сообщения: 8
Зарегистрирован: 13 мар 2009, 00:40
Откуда: Москва

Re: о необходимости разрешения kerberos

Сообщение 1703 » 23 мар 2009, 23:39

Ок. Забил.

1703
Junior member
Сообщения: 8
Зарегистрирован: 13 мар 2009, 00:40
Откуда: Москва

Re: о необходимости разрешения kerberos

Сообщение 1703 » 24 мар 2009, 13:13

Извиняюсь, ещё вопрос. Не хочется новую тему открывать.

При кластеризации сервисов (например MS DTC) или создании File Share требуется создание ресурсов типа Network Name. Вопросов два:
1. Имя (не описательно Name, а то что задаётся в параметрах) Network Name давать какое душе угодно или ... ? Т.е. это просто виртуальное сетевое имя, которому будет сопоставляться вирт. IP и оно не должно там с чем-то совпадать и чему-то соответствовать? Например расшариваю папку X:\LABEL создаю ресурс типа File Share и под него даю Network Name ну например PUPKIN. То же самое при создании Network Name под MS DTC (кластеризую только что-бы ошибка не шла в лог) придумываю ему что угодно - PUPKIN2, This is DTC, и т.д. Всё подходит?

2. При переезде ресурсов с типом Network Name, наблюдаю долгую задержку по времени прежде чем ресурс перейдёт в Bring OnLine. Ресурсы типа "IP-address", "Физический диск" перемещаются и стартуют мгновенно. С чем это может быть связано или это нормально?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: о необходимости разрешения kerberos

Сообщение Stranger03 » 24 мар 2009, 13:33

1703 писал(а):Name под MS DTC (кластеризую только что-бы ошибка не шла в лог) придумываю ему что угодно - PUPKIN2, This is DTC, и т.д. Всё подходит?
Примерно так и есть
2. При переезде ресурсов с типом Network Name, наблюдаю долгую задержку по времени прежде чем ресурс перейдёт в Bring OnLine. Ресурсы типа "IP-address", "Физический диск" перемещаются и стартуют мгновенно. С чем это может быть связано или это нормально?
Смотрите логи, проверяйте правильность настроек ДНС. Он у вас внешний или на этих же нодах?

1703
Junior member
Сообщения: 8
Зарегистрирован: 13 мар 2009, 00:40
Откуда: Москва

Re: о необходимости разрешения kerberos

Сообщение 1703 » 24 мар 2009, 15:16

Stranger03 писал(а):Смотрите логи, проверяйте правильность настроек ДНС. Он у вас внешний или на этих же нодах?
В логах ничего нет. DNS внешний, под 2003. В параметрах Network Name есть поле DNS registration must succeed (там же где спрашивается про керберос), по умолчанию галка не стоит. Не знаете это влияет?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: о необходимости разрешения kerberos

Сообщение Stranger03 » 24 мар 2009, 15:33

"1703"
Честно не знаю. Эти вопросы скорей всего надо задавать в специализированных форумах по администрированию МС.

ITER
Advanced member
Сообщения: 306
Зарегистрирован: 13 июл 2003, 10:01
Откуда: Хабаровский край

Re: о необходимости разрешения kerberos

Сообщение ITER » 25 мар 2009, 15:16

1703 писал(а): В логах ничего нет. DNS внешний, под 2003. В параметрах Network Name есть поле DNS registration must succeed (там же где спрашивается про керберос), по умолчанию галка не стоит. Не знаете это влияет?
Влияет, если включено ресурсы будут чуть медленнее передаваться. Ну раз у вас не стоит галка, значит не оно. Так вы все таки включили керберос? Если да выключите его, он тоже увеличивает время для передачи ресурсов.

1703
Junior member
Сообщения: 8
Зарегистрирован: 13 мар 2009, 00:40
Откуда: Москва

Re: о необходимости разрешения kerberos

Сообщение 1703 » 25 мар 2009, 18:57

Нет, керберос не стал включать. А вот с "DNS registration must succeed" поэкспериментировал. Network Name переползает и стартует что с этой галкой что без. Время переползания (~15 секунд) не меняется.

Есть WINS. Пробовал указывать в настройках TCP\IP для PUBLIC. Не влияет. ITER, не в курсе, а параметры связанные с указанием суффиксов в настройках TCP\IP влияют?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: о необходимости разрешения kerberos

Сообщение Stranger03 » 26 мар 2009, 13:33

1703 писал(а):Время переползания (~15 секунд) не меняется.
Хм, я думал у вас время переползания несколько минут, 15-ть секунд это вполне нормально.

ITER
Advanced member
Сообщения: 306
Зарегистрирован: 13 июл 2003, 10:01
Откуда: Хабаровский край

Re: о необходимости разрешения kerberos

Сообщение ITER » 28 мар 2009, 01:32

1703 писал(а):Нет, керберос не стал включать. А вот с "DNS registration must succeed" поэкспериментировал. Network Name переползает и стартует что с этой галкой что без. Время переползания (~15 секунд) не меняется.

Есть WINS. Пробовал указывать в настройках TCP\IP для PUBLIC. Не влияет. ITER, не в курсе, а параметры связанные с указанием суффиксов в настройках TCP\IP влияют?
Насчет суффиксов не знаю да и слабо себе представляю как они могут влиять. Вы бы сразу сказали что 15 секунд, я то думал там намного больше. 15 сек это нормально.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: о необходимости разрешения kerberos

Сообщение and3008 » 17 июн 2009, 17:06

Медленное переползание сетевых шар может быть связано с работой службы "Обозреватель сети". Попробуйте ее отключить на кластерных компах и всех рабочих станция, включить только на контроллерах домена. Не включать эту службу на серверах, имеющих более одного сетевого интерфейса.

Может быть этот вообще не баг, а фича. Наследие NetBIOS еще долго будет витать в сетях Windows...

Ответить

Вернуться в «Кластеры, Программное обеспечение»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей