류짱:Beyond MySelf

Windows Server 2008 Failover Cluster의 기능 - 1 본문

Microsoft/Failover Cluster

Windows Server 2008 Failover Cluster의 기능 - 1

リュちゃん 2009. 9. 18. 10:48

Windows server 2008 장애 조치(failover) 클러스터는 여러 가지 새로운 기능으로 보안을 강화했습니다. 그 중 눈여겨 볼 만한 점은 클러스터 서비스 계정(CSA)에 대한 요구 사항이 제거되었다는 것입니다.

이전 버전의 Microsoft 클러스터 서비스에서는 구성 프로세스에서 도메인 사용자 계정이 필요했습니다.

클러스터 서비스를 시작하는 데 사용되는 이 계정은 클러스터의 각 노드에 로컬 관리자 그룹으로 추가되어 클러스터 서비스가 올바르게 작동하는 데 필요한 로컬 사용자 권한을 부여 받았습니다.

CSA는 도메인 사용자 계정이므로 클러스터 노드에 적용할 수 있는 다수의 도메인 수준 정책을 준수해야 합니다. 이러한 정책은 클러스터 서비스 실패를 야기할 수 있어 고 가용성을 저해할 수 있습니다.

그러나 Windows server 2008 클러스터 서비스는 로컬 클러스터 노드에서 제대로 작동할 수 있도록 특정 권한을 가진 로컬 시스템 계정으로 실행됩니다.

 

그리고 클러스터의 보안 컨텍스트는 클러스터 이름 개체(CNO)로 전환되었으며, 이 개체는 클러스터를 처음 만들 때 Active Directory®의 컴퓨터 컨테이너에 기본적으로 만들어지는 이 컴퓨터 개체입니다.

[Active Directory 사용자 및 컴퓨터의 보기 메뉴에서 고급 기능을 체크 한 후 클러스터로 생성 된 가상 컴퓨터의 등록 정보에서 보안 탭에서 확인 가능]

 

  
클러스터가 성공적으로 만들어졌으며 Active Directory에 CNO가 있으면 클러스터 설치 및 구성에 사용한 사용자 계정은 더 이상 필요가 없습니다.

CNO는 또한 자신이 만든 모든 VCO(가상 컴퓨터 개체)의 도메인 암호를 동기화하는 역할도 합니다.이 프로세스는 암호 교체에 대해 구성된 도메인 정책에 따라 이루어집니다.
또한 CNO는 클러스터에 있는 VCO와 관련된 모든 컴퓨터 개체를 만드는 일을 담당하므로CNO(컴퓨터 계정)는 VCO가 만들어지는  컨테이너(기본적으로 컴퓨터 컨테이너)에서 컴퓨터 개체를 만들 수 있는 도메인 수준 권한을 가져야 합니다.

이제 기본 인증 방법으로 Kerberos를 사용하도록 변경 되었습니다.Active Directory에 컴퓨터 계정이 있으므로 이러한 강화된 보안 기능이 가능합니다.
그러나 Kerberos를 인증에 사용할 수 없는 응용 프로그램에서 클러스터 리소스에 액세스해야 하는 경우 클러스터에서는 NTLM(NT LAN Manager) 인증을사용할 수 있습니다.
클러스터 프로세스를 직접 처리하는 클러스터 노드 간의 통신도 보안이 강화되었습니다.기본적으로 클러스터 내 모든 통신에 서명이 사용됩니다.

cluster.exe 공용 언어 인터페이스(CLI)를 사용하면 모든 노드 간 통신을 암호화하여 추가 보안 수준을 제공하도록 이 클러스터 속성을 변경할 수 있습니다.

[참고 사이트]
Failover Cluster Step-by-Step Guide: Configuring Accounts in Active Directory
http://technet.microsoft.com/en-us/library/cc731002(WS.10).aspx

[자료 출처]
http://technet.microsoft.com/en-us/magazine/2008.07.failover.aspx?pr=blog