Poznaj podstawy technologii klastrowej w oparciu o systemy firmy Microsoft
Naucz się praktycznie wdrażać klastry pracy awaryjnej
Dowiedz się, jak korzystać z zaawansowanych rozwiązań serwerowych
Zachowanie ciągłości procesów biznesowych dla wielu przedsiębiorstw stanowi jedną z najważniejszych kwestii, decydującą niejednokrotnie o ich istnieniu i powodzeniu na rynku w coraz bardziej zwirtualizowanym świecie. W firmach wymagających stałego dostępu do ważnych danych, usług lub aplikacji konieczne jest zapewnienie odpowiednich mechanizmów, gwarantujących ciągłość pracy systemów niezależnie od wszelkiego rodzaju awarii, które mogą czasami zdarzać się w bardziej rozbudowanej i skomplikowanej infrastrukturze informatycznej. Odpowiedzią na te potrzeby stała się technologia klastrowa, implementowana przez firmę Microsoft w jej serwerowych systemach operacyjnych.
Niestety, zagadnienia dotyczące technologii klastrowej i jej realizacji w środowiskach opartych na najnowszych serwerowych systemach operacyjnych firmy Microsoft nie należą do najprostszych w informatycznym świecie. Wszyscy zainteresowani mają też z pewnością świadomość tego, jak ważna w karierze każdego specjalisty IT może okazać się znajomość tej tematyki. To właśnie z myślą o takich osobach powstała książka 'Klastry pracy awaryjnej w środowisku Windows. Instalacja, konfiguracja i zarządzanie '. Informatycy, studenci kierunków informatycznych i amatorzy pragnący dowiedzieć się więcej na temat technologii klastrowej dostępnej w najbardziej zaawansowanych technologicznie serwerowych systemach operacyjnych z rodziny Windows Server 2008 R2 znajdą tu mnóstwo praktycznych informacji oraz poszerzą swoją wiedzę na temat klastrów pracy awaryjnej.
Przegląd podstawowych pojęć i nowości związanych z technologią klastrową w środowisku opartym na systemach Windows Server 2008 R2
Możliwości technologii klastrowej, oferowane przez systemy Windows Server 2008 R2
Wdrażanie infrastruktury kluczy publicznych (PKI)
Praktyczne przykłady wdrażania klastra pracy awaryjnej
Konfigurowanie klastra pracy awaryjnej
Zarządzanie klastrami pracy awaryjnej, infrastrukturą kluczy publicznych (PKI), rolami i funkcjami systemów Windows Server 2008 R2
Poznaj od środka klastry pracy awaryjnej! Dołącz do najbardziej poszukiwanych na rynku specjalistów IT!
Darmowy fragment publikacji:
Klastry pracy awaryjnej
w œrodowisku Windows.
Instalacja, konfiguracja
i zarz¹dzanie
Autor: Andrzej Szel¹g
ISBN: 978-83-246-2609-0
Format: 158×235, stron: 224
(cid:129) Poznaj podstawy technologii klastrowej w oparciu o systemy firmy Microsoft
(cid:129) Naucz siê praktycznie wdra¿aæ klastry pracy awaryjnej
(cid:129) Dowiedz siê, jak korzystaæ z zaawansowanych rozwi¹zañ serwerowych
Zachowanie ci¹g³oœci procesów biznesowych dla wielu przedsiêbiorstw stanowi jedn¹
z najwa¿niejszych kwestii, decyduj¹c¹ niejednokrotnie o ich istnieniu i powodzeniu na
rynku w coraz bardziej zwirtualizowanym œwiecie. W firmach wymagaj¹cych sta³ego
dostêpu do wa¿nych danych, us³ug lub aplikacji konieczne jest zapewnienie odpowiednich
mechanizmów, gwarantuj¹cych ci¹g³oœæ pracy systemów niezale¿nie od wszelkiego
rodzaju awarii, które mog¹ czasami zdarzaæ siê w bardziej rozbudowanej i skomplikowanej
infrastrukturze informatycznej. Odpowiedzi¹ na te potrzeby sta³a siê technologia klastrowa,
implementowana przez firmê Microsoft w jej serwerowych systemach operacyjnych.
Niestety, zagadnienia dotycz¹ce technologii klastrowej i jej realizacji w œrodowiskach
opartych na najnowszych serwerowych systemach operacyjnych firmy Microsoft nie
nale¿¹ do najprostszych w informatycznym œwiecie. Wszyscy zainteresowani maj¹ te¿
z pewnoœci¹ œwiadomoœæ tego, jak wa¿na w karierze ka¿dego specjalisty IT mo¿e
okazaæ siê znajomoœæ tej tematyki. To w³aœnie z myœl¹ o takich osobach powsta³a
ksi¹¿ka Klastry pracy awaryjnej w œrodowisku Windows. Instalacja, konfiguracja
i zarz¹dzanie . Informatycy, studenci kierunków informatycznych i amatorzy pragn¹cy
dowiedzieæ siê wiêcej na temat technologii klastrowej dostêpnej w najbardziej
zaawansowanych technologicznie serwerowych systemach operacyjnych z rodziny
Windows Server 2008 R2 znajd¹ tu mnóstwo praktycznych informacji oraz poszerz¹
swoj¹ wiedzê na temat klastrów pracy awaryjnej.
(cid:129) Przegl¹d podstawowych pojêæ i nowoœci zwi¹zanych z technologi¹ klastrow¹
w œrodowisku opartym na systemach Windows Server 2008 R2
(cid:129) Mo¿liwoœci technologii klastrowej, oferowane przez systemy
Windows Server 2008 R2
(cid:129) Wdra¿anie infrastruktury kluczy publicznych (PKI)
(cid:129) Praktyczne przyk³ady wdra¿ania klastra pracy awaryjnej
(cid:129) Konfigurowanie klastra pracy awaryjnej
(cid:129) Zarz¹dzanie klastrami pracy awaryjnej, infrastruktur¹ kluczy publicznych (PKI),
rolami i funkcjami systemów Windows Server 2008 R2
Poznaj od œrodka klastry pracy awaryjnej!
Do³¹cz do najbardziej poszukiwanych na rynku specjalistów IT!
�Spis treĈci
Wstöp .............................................................................................. 7
Rozdziaä 1. Technologia klastrowa w systemach Windows Server 2008 R2 ....... 13
1.1. Czym jest klaster pracy awaryjnej? ........................................................................ 14
1.2. Czym jest wĊzeá klastra pracy awaryjnej? ............................................................. 16
1.3. Jak dziaáa klaster pracy awaryjnej i do czego moĪna go wykorzystaü? ................. 17
1.4. KorzyĞci wynikające ze stosowania klastrów pracy awaryjnej .............................. 18
1.4.1. WyĪsza dostĊpnoĞü ..................................................................................... 19
1.4.2. Lepsza skalowalnoĞü .................................................................................. 20
1.4.3. Prostsze zarządzanie ................................................................................... 20
1.5. Zmiany w klastrach pracy awaryjnej w systemach Windows Server 2008 R2 ...... 20
1.5.1. Uproszczenie procesu instalacji .................................................................. 21
1.5.2. Udoskonalenia procesu konfiguracji ........................................................... 22
1.5.3. Zmiany i udoskonalenia interfejsów zarządzania ....................................... 22
1.5.4. Ulepszenia sposobu wspóápracy klastra z magazynem ............................... 24
1.5.5. Udoskonalenia komunikacji sieciowej ........................................................ 26
1.5.6. Ulepszenia zabezpieczeĔ ............................................................................ 27
Rozdziaä 2. Klaster pracy awaryjnej w Ĉrodowisku Windows Server 2008 R2 ..... 29
2.1.
Informacje o Ğrodowisku klastra pracy awaryjnej .................................................. 30
2.2. Przygotowanie do wdroĪenia klastra pracy awaryjnej ........................................... 35
2.3. Wymagania sprzĊtowe klastra pracy awaryjnej ..................................................... 36
2.4. Wymagania programowe klastra pracy awaryjnej ................................................. 42
2.5. Wymagania sieciowe klastra pracy awaryjnej ....................................................... 48
Rozdziaä 3. WdraĔanie Gäównego Urzödu Certyfikacji w trybie offline .................. 53
3.1. Minimalne wymagania systemowe dla Gáównego UrzĊdu Certyfikacji ................ 54
3.2. CzynnoĞci przedinstalacyjne .................................................................................. 55
3.3. CAPolicy.inf — plik konfiguracyjny dla Gáównego UrzĊdu Certyfikacji ............. 57
3.4.
Instalowanie usáug certyfikatów na Gáównym UrzĊdzie Certyfikacji .................... 58
3.5. CzynnoĞci poinstalacyjne ....................................................................................... 66
3.5.1. Skanowanie Gáównego UrzĊdu Certyfikacji
za pomocą narzĊdzia Analizator najlepszych rozwiązaĔ ............................ 67
3.5.2. Skanowanie Gáównego UrzĊdu Certyfikacji
za pomocą moduáu BestPractices Ğrodowiska Windows PowerShell ......... 69
3.5.3. Sprawdzanie certyfikatu i konfiguracji Gáównego UrzĊdu Certyfikacji
za pomocą narzĊdzia CertUtil.exe .............................................................. 73
�4
Klastry pracy awaryjnej w Ĉrodowisku Windows. Instalacja, konfiguracja i zarzñdzanie
3.6. Konfigurowanie Gáównego UrzĊdu Certyfikacji ................................................... 74
3.6.1. Ustawianie atrybutu DSConfigDN ............................................................. 75
3.6.2. Konfigurowanie rozszerzeĔ Punkt dystrybucji listy CRL (CDP)
i DostĊp do informacji o urzĊdach (AIA) ................................................... 76
3.6.3. Konfigurowanie okresu waĪnoĞci wystawianych certyfikatów .................. 80
3.6.4. Wáączanie dyskretnych podpisów w certyfikatach ..................................... 82
3.6.5. Konfigurowanie zdarzeĔ do inspekcji ......................................................... 82
3.6.6. Konfigurowanie parametrów publikowania
podstawowej listy odwoáania certyfikatów (CRL) ...................................... 85
3.6.7. Publikowanie podstawowej listy CRL ........................................................ 87
3.7. Eksportowanie certyfikatu i listy CRL Gáównego UrzĊdu Certyfikacji ................. 89
3.8. Publikowanie certyfikatu i listy CRL Gáównego UrzĊdu Certyfikacji
w magazynie usáugi Active Directory .................................................................... 89
Rozdziaä 4. WdraĔanie Podrzödnego Urzödu Certyfikacji
na 1. wöĒle klastra pracy awaryjnej ................................................ 93
4.1. Minimalne wymagania systemowe dla PodrzĊdnego UrzĊdu Certyfikacji ............ 94
4.2. Etapy wdraĪania usáug certyfikatów na 1. wĊĨle klastra pracy awaryjnej ............. 95
4.3. CAPolicy.inf — plik konfiguracyjny dla PodrzĊdnego UrzĊdu Certyfikacji ......... 96
4.4. Konfigurowanie i instalowanie usáug certyfikatów
na 1. wĊĨle klastra pracy awaryjnej ....................................................................... 97
4.5. Generowanie i eksportowanie certyfikatu cyfrowego
dla PodrzĊdnego UrzĊdu Certyfikacji .................................................................. 107
4.6. Dodawanie certyfikatu i listy CRL Gáównego UrzĊdu Certyfikacji
4.7.
do magazynu Zaufane gáówne urzĊdy certyfikacji ............................................... 111
Instalowanie certyfikatu dla PodrzĊdnego UrzĊdu Certyfikacji
na 1. wĊĨle klastra pracy awaryjnej ..................................................................... 114
4.8. Konfigurowanie rozszerzeĔ CDP i AIA na 1. wĊĨle klastra pracy awaryjnej ...... 116
4.9. Eksportowanie certyfikatu PodrzĊdnego UrzĊdu Certyfikacji
(z kluczem prywatnym) ....................................................................................... 117
Rozdziaä 5. WdraĔanie Podrzödnego Urzödu Certyfikacji
na 2. wöĒle klastra pracy awaryjnej .............................................. 121
5.1. Etapy wdraĪania usáug certyfikatów na 2. wĊĨle klastra pracy awaryjnej ........... 122
5.2.
Importowanie certyfikatu PodrzĊdnego UrzĊdu Certyfikacji
(z kluczem prywatnym) do magazynu Osobisty .................................................. 124
5.3. Konfigurowanie i instalowanie usáug certyfikatów
na 2. wĊĨle klastra pracy awaryjnej ..................................................................... 125
Rozdziaä 6. WdraĔanie klastra pracy awaryjnej
w Ĉrodowisku Windows Server 2008 R2 ....................................... 131
6.1. Podstawowe wymagania dotyczące klastrów pracy awaryjnej ............................ 132
6.1.1. OkreĞlenie statycznych adresów IP dla kart sieciowych
na wĊzáach klastra pracy awaryjnej .......................................................... 133
6.1.2. OkreĞlenie nazwy dla klastra pracy awaryjnej .......................................... 133
6.1.3. OkreĞlenie adresu IP dla klastra pracy awaryjnej ..................................... 135
6.2. Etapy wdraĪania klastra pracy awaryjnej ............................................................. 135
6.3.
Instalowanie funkcji Klaster pracy awaryjnej ...................................................... 136
6.4. Sprawdzanie poprawnoĞci konfiguracji klastra pracy awaryjnej ......................... 139
6.5. Tworzenie dwuwĊzáowego klastra pracy awaryjnej typu active/passive ............. 151
�Spis treĈci
5
Rozdziaä 7. Konfigurowanie klastra pracy awaryjnej typu active/passive .......... 155
7.1. Konfigurowanie wysokiej dostĊpnoĞci dla usáug certyfikatów ............................ 156
7.2. Konfigurowanie rozszerzenia CDP dla klastra pracy awaryjnej .......................... 162
7.3. Tworzenie obiektu typu CRLDistributionPoint
w magazynie usáugi Active Directory dla klastra pracy awaryjnej ...................... 164
7.4. Zmiana uprawnieĔ dla wĊzáów klastra pracy awaryjnej
w usáudze Active Directory ................................................................................. 165
7.5. Zmiana nazwy DNS w usáudze Active Directory dla klastra pracy awaryjnej ..... 169
7.6. Testowanie klastra pracy awaryjnej dla usáug certyfikatów ................................. 172
7.6.1. Przenoszenie sklastrowanej usáugi certyfikatów
pomiĊdzy wĊzáami klastra pracy awaryjnej .............................................. 172
7.6.2. Instalowanie certyfikatu uĪytkownika
w magazynie Osobisty z poziomu systemu Windows 7 ........................... 173
Rozdziaä 8. Zarzñdzanie klastrem pracy awaryjnej, PKI, rolami i funkcjami ....... 179
8.1. NarzĊdzia do lokalnego zarządzania klastrem pracy awaryjnej i PKI .................. 180
8.1.1. Konsola MenedĪer klastra pracy awaryjnej (CluAdmin.msc) .................. 181
8.1.2. Program narzĊdziowy Cluster.exe ............................................................ 183
8.1.3. Moduá FailoverClusters Ğrodowiska Windows PowerShell
(PowerShell.exe) ....................................................................................... 185
8.1.4. Konsola Infrastruktura PKI przedsiĊbiorstwa (PKIView.msc) ................. 187
8.1.5. Konsola Urząd certyfikacji (CertSrv.msc) ................................................ 188
8.1.6. Konsola Certyfikaty (CertMgr.msc) ......................................................... 190
8.1.7. Konsola szablonów certyfikatów (CertTmpl.msc) .................................... 192
8.1.8. Program narzĊdziowy CertUtil.exe ........................................................... 195
8.1.9. Program narzĊdziowy CertReq.exe .......................................................... 198
8.2. NarzĊdzia do zdalnego zarządzania klastrem pracy awaryjnej, PKI,
rolami i funkcjami ................................................................................................ 199
8.2.1. NarzĊdzia administracji zdalnej serwera dla systemu Windows 7
(RSAT) ..................................................................................................... 199
8.2.2. Zdalne zarządzanie klastrem pracy awaryjnej (CluAdmin.msc) ............... 201
8.2.3. Zdalne zarządzanie PodrzĊdnym UrzĊdem Certyfikacji w trybie online
(CertSrv.msc) ............................................................................................ 203
8.2.4. Zdalne zarządzanie infrastrukturą kluczy publicznych (PKIView.msc) ... 205
8.2.5. Zdalne zarządzanie rolami i funkcjami systemu Windows Server 2008 R2
(WinRM.cmd) .......................................................................................... 208
8.3. Tworzenie konsoli gáównej do zdalnego zarządzania
klastrem pracy awaryjnej i PKI ............................................................................ 210
Bibliografia .................................................................................. 215
Skorowidz .................................................................................... 219
�Rozdziaä 5.
WdraĔanie Podrzödnego
Urzödu Certyfikacji
na 2. wöĒle klastra
pracy awaryjnej
W tym rozdziale zostanie zaprezentowany szczegóáowy proces instalacji oraz konfigura-
cji PodrzĊdnego UrzĊdu Certyfikacji na 2. wĊĨle dwuwĊzáowego klastra pracy awaryj-
nej dla usáug certyfikatów typu active/passive, który bĊdzie pracowaá w trybie online
pod kontrolą serwerowego systemu operacyjnego Windows Server 2008 R2 Enterprise.
WĊzeá ten bĊdzie peániá (w przypadku awarii 1. wĊzáa klastra pracy awaryjnej) funkcjĊ
PodrzĊdnego UrzĊdu Certyfikacji o nazwie PUC01 oraz obsáugiwaá Īądania uĪytkowni-
ków koĔcowych. Jego konfiguracja bĊdzie róĪniáa siĊ nieco od konfiguracji 1. wĊzáa,
która zostaáa przedstawiona w rozdziale 4.
Z tego rozdziaáu dowiesz siĊ, jak wygląda przebieg wdraĪania usáug certyfikatów na 2.
wĊĨle klastra pracy awaryjnej dla usáug certyfikatów typu active/passive, podzielony
na nastĊpujące etapy:
sprawdzenie, czy udostĊpnione na macierzy pamiĊci masowej SAN iSCSI dyski
klastrowe Dysk 1 i Dysk 2 są dostĊpne i znajdują siĊ w stanie online,
przygotowanie pliku konfiguracyjnego CAPolicy.inf oraz umieszczenie
go w lokalizacji SYSTEMROOT (zwykle C:\Windows). Plik ten moĪna
skopiowaü z 1. wĊzáa dwuwĊzáowego klastra pracy awaryjnej dla usáug
certyfikatów typu active/passive, tj. z serwera klastrowanego SRV01.
zaimportowanie do lokalnego magazynu certyfikatów Zaufane gáówne urzĊdy
certyfikacji certyfikatu cyfrowego i podstawowej listy CRL Gáównego UrzĊdu
Certyfikacji,
�122
Klastry pracy awaryjnej w Ĉrodowisku Windows. Instalacja, konfiguracja i zarzñdzanie
zaimportowanie do lokalnego magazynu certyfikatów Osobisty certyfikatu
cyfrowego PodrzĊdnego UrzĊdu Certyfikacji (z kluczem prywatnym), tj. pliku
z rozszerzeniem *.p12,
skonfigurowanie i zainstalowanie roli Usáugi certyfikatów w usáudze Active
Directory na potrzeby Ğrodowiska dwuwĊzáowego klastra pracy awaryjnej
dla usáug certyfikatów typu active/passive, które zostaáo przedstawione
w rozdziale 2.,
skonfigurowanie (z wykorzystaniem skryptu) dwóch rozszerzeĔ: Punkt
dystrybucji listy CRL (CDP) oraz DostĊp do informacji o urzĊdach (AIA).
5.1. Etapy wdraĔania
usäug certyfikatów na 2. wöĒle
klastra pracy awaryjnej
WdraĪanie usáug certyfikatów na 2. wĊĨle dwuwĊzáowego klastra pracy awaryjnej dla
usáug certyfikatów typu active/passive, pracującego pod kontrolą serwerowego systemu
operacyjnego Windows Server 2008 R2 Enterprise, skáada siĊ z kilku kroków (etapów),
które naleĪy wykonaü w takiej kolejnoĞci, w jakiej zostaáy przedstawione poniĪej.
Etap 1. Sprawdzenie, czy udostĊpnione na macierzy pamiĊci masowej SAN iSCSI dyski
klastrowe Dysk 1 i Dysk 2 są dostĊpne dla 2. wĊzáa klastra pracy awaryjnej dla usáug
certyfikatów typu active/passive oraz znajdują siĊ w stanie online. MoĪna tu wykorzystaü
(jak w poprzednim rozdziale) program narzĊdziowy DiskPart.exe lub konsolĊ graficzną
Zarządzanie dyskami. Na dysku klastrowym S powinny byü pliki, które zostaáy utwo-
rzone podczas uruchamiania usáugi certyfikatów na 1. serwerze klastrowanym SRV01
(rysunek 5.1). Ten krok naleĪy wykonaü samodzielnie.
Etap 2. Przygotowanie pliku konfiguracyjnego CAPolicy.inf oraz umieszczeniu go
w lokalizacji SYSTEMROOT (zwykle C:\Windows). Plik ten moĪna skopiowaü z 1.
wĊzáa dwuwĊzáowego klastra pracy awaryjnej dla usáug certyfikatów typu active/passive,
tj. z serwera klastrowanego SRV01. Ten krok naleĪy wykonaü samodzielnie.
Etap 3. Zaimportowanie do lokalnego magazynu certyfikatów Zaufane gáówne urzĊdy
certyfikacji certyfikatu cyfrowego i podstawowej listy CRL Gáównego UrzĊdu Certyfi-
kacji. MoĪna tu wykorzystaü program narzĊdziowy CertUtil.exe (wraz z przeáącznikiem
-addstore). Ten krok naleĪy wykonaü samodzielnie, zgodnie z informacjami przedsta-
wionymi w poprzednim rozdziale.
�Rozdziaä 5. i WdraĔanie Podrzödnego Urzödu Certyfikacji na 2. wöĒle klastra
123
Rysunek 5.1. ZawartoĞü udostĊpnionego dysku klastrowego S (na serwerze SRV02)
Etap 4. Zaimportowanie do lokalnego magazynu certyfikatów Osobisty certyfikatu cyfro-
wego PodrzĊdnego UrzĊdu Certyfikacji (z kluczem prywatnym), tj. pliku z rozszerzeniem
*.p12. Ten krok zostanie przedstawiony szczegóáowo w dalszej czĊĞci tego rozdziaáu.
Etap 5. Skonfigurowanie i zainstalowanie roli Usáugi certyfikatów w usáudze Active
Directory na potrzeby Ğrodowiska dwuwĊzáowego klastra pracy awaryjnej dla usáug
certyfikatów typu active/passive, które zostaáo przedstawione w rozdziale 2. Ten krok
zostanie szczegóáowo przedstawiony w dalszej czĊĞci tego rozdziaáu.
Etap 6. Skonfigurowanie (z wykorzystaniem skryptu) dwóch rozszerzeĔ: Punkt dystry-
bucji listy CRL (CDP) oraz DostĊp do informacji o urzĊdach (AIA). Ten krok naleĪy
wykonaü samodzielnie, wykorzystując skrypt PUC01_skrypt01.cmd, którego zawartoĞü
zostaáa przedstawiona w poprzednim rozdziale.
�124
Klastry pracy awaryjnej w Ĉrodowisku Windows. Instalacja, konfiguracja i zarzñdzanie
5.2. Importowanie certyfikatu
Podrzödnego Urzödu Certyfikacji
(z kluczem prywatnym)
do magazynu Osobisty
Aby z poziomu 2. wĊzáa dwuwĊzáowego klastra pracy awaryjnej dla usáug certyfikatów typu
active/passive zaimportowaü certyfikat cyfrowy PodrzĊdnego UrzĊdu Certyfikacji (z klu-
czem prywatnym) do jego lokalnego magazynu certyfikatów Osobisty, naleĪy wykonaü
(jako administrator domenowy) komendĊ CertUtil.exe -importPFX A:\CA\PUC01.p12.
Gdy zostanie wprowadzone poprawne hasáo, pojawi siĊ komunikat, którego treĞü przed-
stawiono na listingu 5.1.
Listing 5.1. Wynik wykonania komendy CertUtil.exe -importPFX A:\CA\PUC01.p12 (na serwerze SRV02)
Wprowadļ hasđo PFX:
Certyfikat “CN=PUC01, DC=EA, DC=local” zostađ dodany do magazynu.
CertUtil: polecenie -importPFX zostađo wykonane pomyħlnie.
Przed zaimportowaniem z poziomu 2. wözäa dwuwözäowego klastra pracy awaryjnej dla
usäug certyfikatów typu active/passive certyfikatu cyfrowego Podrzödnego Urzödu Cer-
tyfikacji (z kluczem prywatnym) do jego lokalnego magazynu certyfikatów Osobisty
naleĔy zaimportowaè certyfikat cyfrowy oraz podstawowñ listö CRL Gäównego Urzödu
Certyfikacji do lokalnego magazynu certyfikatów Zaufane gäówne urzödy certyfikacji.
MoĔna tu wykorzystaè program narzödziowy CertUtil.exe (wraz z przeäñcznikiem
-addstore). PowyĔsze czynnoĈci uĔytkownik powinien wykonaè samodzielnie, zgodnie
z informacjami przedstawionymi w poprzednim rozdziale.
O tym, czy faktycznie certyfikat cyfrowy PodrzĊdnego UrzĊdu Certyfikacji (z kluczem
prywatnym) zostaá dodany do lokalnego magazynu certyfikatów Osobisty 2. wĊzáa dwu-
wĊzáowego klastra pracy awaryjnej dla usáug certyfikatów typu active/passive, moĪna
siĊ przekonaü, wykonując np. komendĊ CertUtil.exe -viewstore My PUC01. W rezulta-
cie powinno siĊ pojawiü okno podobne do przedstawionego na rysunku 5.2.
Rysunek 5.2.
Wynik wykonania
komendy
CertUtil.exe -viewstore
My PUC01
(na serwerze SRV02)
�Rozdziaä 5. i WdraĔanie Podrzödnego Urzödu Certyfikacji na 2. wöĒle klastra
125
Po klikniĊciu certyfikatu cyfrowego PUC01 (rysunek 5.2) moĪna wyĞwietliü jego
szczegóáowe informacje. Warto siĊ tutaj upewniü, czy na zakáadce Ogólne znajduje siĊ
informacja o tym, Īe certyfikat ma klucz prywatny (rysunek 5.3). Certyfikat ten bĊdzie
potrzebny podczas konfigurowania roli Usáugi certyfikatów w usáudze Active Directory
na 2. wĊĨle dwuwĊzáowego klastra pracy awaryjnej dla usáug certyfikatów typu active/
passive.
Rysunek 5.3.
Zakáadka Ogólne
certyfikatu
PodrzĊdnego
UrzĊdu Certyfikacji
(z kluczem prywatnym)
na serwerze SRV02
Certyfikat cyfrowy Podrzödnego Urzödu Certyfikacji (z kluczem prywatnym) moĔna wy-
Ĉwietliè takĔe z poziomu konsoli graficznej Certyfikaty (dla komputera lokalnego).
5.3. Konfigurowanie i instalowanie
usäug certyfikatów na 2. wöĒle
klastra pracy awaryjnej
Aby poprawnie skonfigurowaü i zainstalowaü usáugi certyfikatów na 2. wĊĨle dwuwĊ-
záowego klastra pracy awaryjnej dla usáug certyfikatów typu active/passive, trzeba wy-
konaü przedstawione poniĪej kroki (jako administrator domenowy) na serwerze kla-
strowanym SRV02.
Aby skonfigurowaü i zainstalowaü na 2. wĊĨle dwuwĊzáowego klastra pracy awaryjnej
dla usáug certyfikatów typu active/passive rolĊ Usáugi certyfikatów w usáudze Active
�126
Klastry pracy awaryjnej w Ĉrodowisku Windows. Instalacja, konfiguracja i zarzñdzanie
Directory, naleĪy wykonaü kroki podobne do opisanych w przypadku instalacji tej
roli na 1. wĊĨle tego typu klastra (z maáymi wyjątkami, o których bĊdzie mowa w tym
rozdziale).
1. Uruchomiü konsolĊ graficzną MenedĪer serwera (np. za pomocą komendy
ServerManager.msc).
2. W lewym panelu konsoli MenedĪer serwera wybraü gaáąĨ Role.
3. W prawym panelu konsoli kliknąü odnoĞnik Dodaj role, co spowoduje
uruchomienie narzĊdzia graficznego Kreator dodawania ról, w którym naleĪy
(po zapoznaniu siĊ z podstawowymi informacjami) kliknąü przycisk Dalej.
4. Na stronie Wybieranie ról serwera zaznaczyü opcjĊ Usáugi certyfikatów
w usáudze Active Directory, a nastĊpnie kliknąü przycisk Dalej.
5. Po zapoznaniu siĊ z informacjami znajdującymi siĊ na stronie Wprowadzenie
do Usáug certyfikatów w usáudze Active Directory naleĪy kliknąü przycisk Dalej.
6. Na stronie Wybieranie usáug ról naleĪy upewniü siĊ, czy zaznaczona jest opcja
Urząd certyfikacji, a nastĊpnie kliknąü przycisk Dalej.
7. Na stronie OkreĞlanie typu instalacji naleĪy zaznaczyü pierwszą opcjĊ
PrzedsiĊbiorstwo, a nastĊpnie kliknąü przycisk Dalej.
8. Na stronie OkreĞlanie typu urzĊdu certyfikacji naleĪy upewniü siĊ, czy zaznaczona
jest druga z opcji, tj. PodrzĊdny urząd certyfikacji, a nastĊpnie kliknąü przycisk
Dalej.
9. Na stronie Konfigurowanie klucza prywatnego, która zostaáa przedstawiona
na rysunku 5.4, naleĪy zaznaczyü opcje: UĪyj istniejącego klucza prywatnego
oraz Wybierz certyfikat i uĪyj skojarzonego z nim klucza prywatnego. PowyĪsze
ustawienia naleĪy zatwierdziü przyciskiem Dalej.
JeĔeli przed rozpoczöciem na 2. wöĒle klastra pracy awaryjnej instalacji roli Usäugi
certyfikatów w usäudze Active Directory nie zostanie zaimportowany certyfikat cyfrowy
Podrzödnego Urzödu Certyfikacji (z kluczem prywatnym) do lokalnego magazynu cer-
tyfikatów Osobisty, to nie bödzie on widoczny w oknie Certyfikaty, które jest dostöpne
z poziomu strony Wybieranie istniejñcego certyfikatu.
10. Na stronie Wybieranie istniejącego certyfikatu naleĪy zaznaczyü (rysunek 5.5)
certyfikat cyfrowy PUC01 (z kluczem prywatnym) i kliknąü przycisk Dalej.
11. Na stronie Konfigurowanie bazy danych certyfikatów, którą przedstawia
rysunek 5.6, naleĪy zmieniü domyĞlne ĞcieĪki dla lokalizacji bazy danych
certyfikatów cyfrowych oraz jej dziennika transakcyjnego na lokalizacjĊ S,
tj. na udostĊpniony dysk klastrowy, znajdujący siĊ na macierzy pamiĊci
masowej SAN iSCSI.
12. Przy próbie zmiany lokalizacji bazy danych certyfikatów cyfrowych i jej
dziennika transakcyjnego powinno pojawiü siĊ ostrzeĪenie, które przedstawia
rysunek 5.7. NarzĊdzie Kreator dodawania ról wyĞwietli ostrzeĪenie
�Rozdziaä 5. i WdraĔanie Podrzödnego Urzödu Certyfikacji na 2. wöĒle klastra
127
Rysunek 5.4. Strona Konfigurowanie klucza prywatnego dla PodrzĊdnego UrzĊdu Certyfikacji
(na serwerze SRV02)
Rysunek 5.5. Strona Wybieranie istniejącego certyfikatu dla PodrzĊdnego UrzĊdu Certyfikacji
(na serwerze SRV02)
�128
Klastry pracy awaryjnej w Ĉrodowisku Windows. Instalacja, konfiguracja i zarzñdzanie
Rysunek 5.6. Strona Konfigurowanie bazy danych certyfikatów dla PodrzĊdnego UrzĊdu Certyfikacji
(na serwerze SRV02) przed zmianami
Rysunek 5.7.
OstrzeĪenie
o zastąpieniu
istniejącej bazy
danych certyfikatów
(na serwerze SRV02)
informujące o tym, Īe w okreĞlonej lokalizacji (na udostĊpnionym dysku
klastrowym S) istnieje baza danych. Jest to baza danych certyfikatów
PodrzĊdnego UrzĊdu Certyfikacji. W poprzednim rozdziale zostaáa utworzona
na udostĊpnionym dysku klastrowym S baza danych (podczas uruchamiania
na 1. wĊĨle klastra pracy awaryjnej usáugi certyfikatów CertSvc). Na tym
etapie naleĪy kliknąü przycisk Tak. Ustawienia koĔcowe dla lokalizacji bazy
danych certyfikatów i jej dziennika powinny byü podobne do tych, które zostaáy
przedstawione na rysunku 5.8. JeĪeli tak faktycznie jest, to naleĪy kliknąü
przycisk Dalej.
13. Na stronie Potwierdzanie opcji instalacji naleĪy kliknąü przycisk Zainstaluj.
Gdy zostaną wykonane powyĪsze kroki, rozpocznie siĊ proces instalowania
roli Usáugi certyfikatów w usáudze Active Directory na 2. wĊĨle dwuwĊzáowego
klastra pracy awaryjnej typu active/passive. Jego poszczególne etapy bĊdą
�Rozdziaä 5. i WdraĔanie Podrzödnego Urzödu Certyfikacji na 2. wöĒle klastra
129
Rysunek 5.8. Strona Konfigurowanie bazy danych certyfikatów dla PodrzĊdnego UrzĊdu Certyfikacji
(na serwerze SRV02) po zmianach
wyĞwietlane na bieĪąco na stronie PostĊp instalacji, której tutaj
nie przedstawiono. Proces instalacyjny usáug certyfikatów moĪe trwaü
kilka minut; po jego zakoĔczeniu wyĞwietli siĊ strona Wyniki instalacji,
informująca o pomyĞlnym zainstalowaniu powyĪszej roli.
14. Zamknąü okno narzĊdzia Kreator dodawania ról, klikając przycisk Zamknij.
Wykonanie powyĪszych kroków sprawi, Īe konsola MenedĪer serwera na 2. wĊĨle
dwuwĊzáowego klastra pracy awaryjnej dla usáug certyfikatów typu active/passive zmieni
wygląd na podobny do tego z rysunku 5.9.
Po zainstalowaniu na 2. wöĒle dwuwözäowego klastra pracy awaryjnej dla usäug certyfi-
katów typu active/passive roli Usäugi certyfikatów w usäudze Active Directory naleĔy
pamiötaè o tym, aby nastöpnie skonfigurowaè m.in. dwa waĔne rozszerzenia: Punkt
dystrybucji listy CRL (CDP) i Dostöp do informacji o urzödach (AIA). MoĔna wykorzy-
staè do tego celu skrypt PUC01_skrypt01.cmd, którego zawartoĈè zostaäa przed-
stawiona w rozdziale 4. MoĔna teĔ rozwaĔyè skonfigurowanie inspekcji, jeĔeli zajdzie
taka potrzeba, czy innych ustawieþ.
Mając zainstalowane i skonfigurowane role Usáugi certyfikatów w usáudze Active
Directory na obu wĊzáach dwuwĊzáowego klastra pracy awaryjnej dla usáug certyfi-
katów typu active/passive, moĪna przystąpiü do wdraĪania tego typu klastra zgodnie
z informacjami przedstawionymi w nastĊpnym rozdziale.
�130
Klastry pracy awaryjnej w Ĉrodowisku Windows. Instalacja, konfiguracja i zarzñdzanie
Rysunek 5.9. GaáąĨ Usáugi certyfikatów w usáudze Active Directory po zainstalowaniu roli Usáugi
certyfikatów w usáudze Active Directory (na serwerze SRV02)
�
Pobierz darmowy fragment (pdf)
