Preconfigurar un clúster de servidores de archivos de Windows o un dispositivo NAS para Windows Azure Pack: Sitios web

Actualizado: 11 de agosto de 2015

Se aplica a: Windows Azure Pack

En este capítulo se muestra cómo configurar su propio servidor de archivos o clúster de servidores de archivos para usarlo con Windows Azure Pack: Sitios web.

Información preliminar

Si elige la opción Servidor de archivos de Windows independiente, la preparación del servidor de archivos no es necesaria y se realiza de forma automática. Sin embargo, aunque la opción Independiente es útil para las instalaciones de "prueba de concepto", un entorno de producción requiere normalmente una solución más sólida como un clúster de servidores de archivos de Windows o un dispositivo de almacenamiento conectado a la red (NAS) de terceros. Windows Azure Pack: Sitios web no depende de los permisos de recursos compartidos de los archivos de cada sitio web, lo que permite trabajar con implementaciones de almacenamiento de archivos heterogéneas, como dispositivos NAS.

Cinco pasos principales

La configuración previa de su propio servidor de archivos de Windows, clúster de servidores de archivos de Windows o dispositivo NAS de terceros implica los cinco pasos principales siguientes. La implementación de estos pasos varía en función de si está trabajando en un dominio de Active Directory o en un entorno de grupo de trabajo. Se presentan los pasos para ambos entornos.

1. Aprovisionar grupos y cuentas

2. Habilite la Administración remota de Windows (WinRM)

3. Aprovisionar el recurso compartido de contenido

4. Agregar el grupo FileShareOwners al grupo local Administradores para habilitar WinRM

5. Configurar el control de acceso a los recursos compartidos

1. Aprovisionar grupos y cuentas

Aprovisionar grupos y cuentas en Active Directory

1. Crear los siguientes grupos de seguridad global de Active Directory:

   1. FileShareOwners

   2. FileShareUsers

2. Cree las cuentas de Active Directory siguientes como cuentas de servicio. Las cuentas que hay que crear son

   1. FileShareOwner

   2. FileShareUser

      Nota

      Como procedimiento de seguridad recomendado, los usuarios de estas cuentas (y para todos los roles de web) deben distinguirse entre sí y tener contraseñas y nombres de usuario seguros. Para obtener más información, vea Windows Azure Pack: Web Sites Security Enhancements.

   3. Las contraseñas FileShareOwner y FileShareUser deben establecerse con las siguientes condiciones:

      • Habilitar La contraseña nunca expira

      • Habilitar El usuario no puede cambiar la contraseña

      • Deshabilitar El usuario debe cambiar la contraseña en el siguiente inicio de sesión.

3. Agregue las cuentas a las pertenencias a grupos como sigue:

   1. Agregue FileShareOwner al grupo FileShareOwners

   2. Agregue FileShareUser al grupo FileShareUsers

Aprovisionar grupos y cuentas en un grupo de trabajo

En un grupo de trabajo, ejecute comandos net y WMIC para aprovisionar grupos y cuentas.

1. Ejecute los comandos siguientes para crear las cuentas FileShareOwner y FileShareUser. Reemplace <password> por sus propios valores.

   net user FileShareOwner <password> /add /expires:never /passwordchg:no
   net user FileShareUser <password> /add /expires:never /passwordchg:no
   

2. Establezca las contraseñas de las cuentas recién creadas para que no expiren nunca; para ello, ejecute los siguientes comandos de WMIC:

   WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
   WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
   

3. Cree los grupos locales FileShareUsers y FileShareOwners y agrégueles las cuentas en el primer paso.

   net localgroup FileShareUsers /add
   net localgroup FileShareUsers FileShareUser /add
   net localgroup FileShareOwners /add
   net localgroup FileShareOwners FileShareOwner /add
   

2. Habilite la Administración remota de Windows (WinRM)

En el rol Servidor de archivos, o en cada nodo del Clúster de servidores de archivos de Windows si está usando un clúster, ejecute los comandos siguientes en un símbolo del sistema con privilegios elevados para configurar WinRM:

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

Habilitar opcionalmente la interfaz de usuario del Administrador de recursos del servidor de Archivos (FSRM)

Si no está realizando la instalación en Server Core para Windows Server, puede habilitar opcionalmente la interfaz de usuario para el Administrador de recursos del servidor de archivos (FSRM).

Para habilitar la interfaz de usuario de FSRM, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados:

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3. Aprovisionar el recurso compartido de contenido

El recurso compartido de contenido incluye el contenido del sitio web del inquilino.

El procedimiento para aprovisionar el recurso compartido de contenido en un único servidor de archivos es el mismo para los entornos de Active Directory y del grupo de trabajo, pero es diferente para un clúster de conmutación por error en Active Directory.

Aprovisionar el recurso compartido de contenido en un único servidor de archivos (AD o grupo de trabajo)

En un único servidor de archivos, ejecute los siguientes comandos en un símbolo del sistema con privilegios elevados. Reemplace el valor de <C:\WebSites> por las rutas de acceso correspondientes del entorno.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Aprovisionar el recurso compartido de contenido en un clúster de conmutación por error (Active Directory)

En el clúster de conmutación por error, cree los recursos en clúster UNC siguientes:

1. WebSites

4. Agregar el grupo FileShareOwners al grupo local Administradores para habilitar WinRM

Para que la administración remota de Windows funcione correctamente, debe agregar el grupo FileShareOwners al grupo de administradores local.

Active Directory

Ejecute los comandos siguientes en un símbolo del sistema con privilegios elevados en el servidor de archivos o en cada nodo del clúster de conmutación por error de servidores de archivos. Reemplace el valor de< DOMAIN> por el nombre de dominio que usará.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Grupo de trabajo

Ejecute el comando siguiente en un símbolo del sistema con privilegios elevados en el servidor de archivos.

net localgroup Administrators FileShareOwners /add

5. Configurar el control de acceso a los recursos compartidos

Ejecute los comandos siguientes en un símbolo del sistema con privilegios elevados en el servidor de archivos o en el nodo del clúster de conmutación por error de servidores de archivos que sea el propietario actual del recurso de clúster. Reemplazar valores en cursiva con valores específicos de su entorno.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupo de trabajo

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Consulte también

Implementar Windows Azure Pack: Sitios web