WSFC2016 多域部署模型

時間 2019-11-11

標籤 wsfc2016 wsfc 部署模型简体版

原文原文鏈接

Hi 各位關注老王博客的朋友，十一事後，咱們又開始繼續研究學習WSFC啦，本次爲你們介紹的是WSFC 2016部署模型裏面的多域架構
shell

什麼是多域呢，對於只瞭解WSFC的朋友來講，可能並不明白是什麼意思，其實多域指的是一種AD域的邏輯範圍，例如說，我北京有一個域，oa.com，天津有個子域，tj.oa.com，這兩個域同屬於一個林，oa.com林，它們在一個大的林中，可是父域與子域之間的域數據不會相同，雖然咱們都在同一個林，可是我父域建立的用戶和計算機，子域不會有，子域建立的用戶和計算機父域也不會有，所以，雖然是同一個林中的多個域，但它們仍是存在安全邊界的。安全

一些企業，可能子公司那邊有要求，須要本身維護用戶計算機，並且不但願父域看到，那麼就會要求本身創建子域，徹底本身維護，或者父公司收購一家公司，作成單林多域樹的架構，原理也是同樣的，雖然能夠創建信任關係，互相訪問資源，可是各自的資源都由各自維護。服務器

以上爲你們解釋了多域架構，簡單來講，就是單林環境下的，父子域，或多域樹，關鍵點是單林下的每一個域都單獨維護本身的用戶和計算機對象。架構

那麼回到咱們羣集的話題，多域架構，在以前的版本中是不可能實現的，在以前即使是兩個互相信任的域，兩邊的節點想要一塊兒作一個羣集，嚮導不會經過，會指出當前節點不處於同一域中，這在之前是個死規則，在WSFC 2016 被改變負載均衡

多域羣集的話，在老王看來，在中國實際應用場景並很少，一旦部署羣集，那大部分都是生產環境，要不就是測試環境，一般測試環境和生產環境都有單獨的域，均可以直接用最傳統的AD域架構，不必搞得這麼麻煩。ide

若是真的要想場景的話，可能，若是是一家大型的公司也說不定，大公司下面有多個子公司，有一天突然和子公司談好，咱們來共同維護一套系統吧，一部分節點咱們這裏，一部分節點在大家那裏。或者說，直接測試變生產，測試變準生產，把有問題的節點先加入到隔離羣集中，等等。學習

不過無論怎麼說，這如今是可行的，咱們如今確實能夠將單林多域的不一樣節點構建成同一個羣集，那有些朋友可能會想，你這個既然有域了，我是否是就能夠有CNO了，能夠用Kerberos了？還不行，爲何呢，由於每一個域都是互相獨立運行的，若是是正常域節點建立羣集嚮導，羣集會去節點所在域寫入CNO，你這兩個節點是不一樣域，若是羣集要寫入，應該寫入那個域呢？每一個域都有本身的RID主機，每一個域裏面的計算機用戶SID都會不同，勢必會有一部分節點沒法正常驗證測試

所以咱們是沒辦法讓多域羣集寫入CNO的，只有還和工做組羣集同樣，經過DNS記錄做爲管理訪問點優化

多域部署模型要求以下ui

全部節點操做系統必須爲Windows Server 2016
全部節點必須使用已經認證的標識硬件
全部節點必須安裝故障轉移羣集功能
工做組模式羣集需在各節點使用相同密碼相同用戶，該用戶須要是本地管理組成員，若是是非administrator用戶還需額外修改註冊表鍵值
對於多域模式羣集，要求每一個節點須要有全部域的DNS後綴

能夠看到，除了第五點，其它和工做組羣集都同樣，第五點咱們須要在多域節點上面，分別增長對方域的DNS後綴便可，若是是DHCP環境，能夠直接在DHCP Server上面作掉。

適用場景和工做組模型同樣，按照微軟的說法，最適合的爲SQL Server SA驗證

集羣工做負載	支持/不支持	更多信息
SQL Server	支持	咱們建議您使用SQL Server身份驗證進行Active Directory獨立的羣集部署。
File server	支持，但不推薦	Kerberos身份驗證是服務器消息塊（SMB）流量的首選身份驗證協議。
Hyper-V	支持，但不推薦	支持快速遷移，不支持實時遷移，由於它具備對Kerberos身份驗證的依賴。
Message Queuing (also known as MSMQ)	不支持	消息隊列存儲屬性在AD DS