MSSQL - Workgroup and Multi-domain clusters

Автор: John Marlin. Workgroup and Multi-domain clusters in Windows Server 2016

До появления Windows Server 2016, кластер можно было создать только для компьютеров в одном домене. Начиная с Windows Server 2016 появилась возможность создания отказоустойчивого кластера без зависимостей от Active Directory. Таким образом, отказоустойчивые кластеры теперь можно создавать в следующих конфигурациях:

• Однодоменные кластеры: кластеры, в которых все узлы присоединены к одному домену.
• Мульти-доменные кластеры: кластеры с узлами из разных доменов.
• Workgroup кластеры: кластеры с узлами, которые являются участниками рабочей группы (не присоединены к домену).

Предварительные требования

• Требования для кластеров с одним доменом не претерпели изменений.
• Все серверы должны работать под управлением Windows Server одной и той же версии, и редакции. 
  
• На всех серверах должна быть включена ​​функция отказоустойчивого кластера.
• Все серверы должны использовать совместимое с кластером оборудование, и должны пройти все проверки при включении в кластер. Для получения дополнительной информации см. Failover Clustering Hardware Requirements and Storage Options и Validate Hardware for a Failover Cluster .

Примечание переводчика: в Windows Server 2025 появился новый тип отказоустойчивого Hyper-V кластера, где сервера находятся в рабочей группе, а аутентификация между ними осуществляется с помощью взаимной проверки X.509 сертификатов, а не NTLM или локальных учетных записей. Такой подход позволяет обойти зависимость от домена и Kerberos, что особенно актуально для сценариев не включённых в домены узлов.

Ниже приведены предварительные требования для кластеров с несколькими доменами или рабочими группами Windows Server 2016 и более поздними версиями:

• Для создания нового кластера или добавления узлов в кластер необходимо предоставить локальную учетную запись на всех узлах кластера (включая узел, с которого вызывается операция) со следующими требованиями:

1.      Создайте учетную запись локального пользователя на каждом узле кластера.

2.      Имя пользователя и пароль этой учетной записи должны быть одинаковыми на всех узлах.

3.      Эта локальная учетная запись должна являться членом локальной группы «Администраторы» на каждом узле.

4.      Если Вы не используете для создания кластера учётную запись локального администратора, нужно установить в реестре политику LocalAccountTokenFilterPolicy в 1, и сделать это на всех узлах кластера. Встроенные учетные записи администраторов (Builtin Administrator) включают и учётку «Администратор». Вы можете установить политику LocalAccountTokenFilterPolicy в реестре, выполнив инструкции в статье: Описание контроля учетных записей пользователей и удаленных ограничений в Windows. Без этой установки политик создание нового кластера будет невозможно. Ошибка представлена на скриншоте ниже:

• Отказоустойчивый кластер должен быть создан как Active Directory - Detached Cluster без каких-либо связанных компьютерных объектов. Поэтому кластер должен иметь Cluster Network Name (будет использовано, как административная точка доступа) типа DNS. Требования к основному DNS-суффиксу такие:

1.      Каждый узел кластера должен иметь основной DNS-суффикс. 

2.      Для мульти-доменных кластеров: DNS-суффикс для всех доменов в кластере должен присутствовать на всех узлах кластера. 

Развертывание

Кластеры рабочих групп и мульти-доменные кластеры можно развернуть, выполнив следующие шаги:

1.      Создайте согласованные локальные учетные записи пользователей на всех узлах кластера. Убедитесь, что имя пользователя и пароль этих учетных записей одинаковы на всех узлах, и добавьте учетную запись в локальную группу администраторов.

NET localgroup administrators

 

2.      Убедитесь, что каждый присоединяемый к кластеру узел имеет основной DNS-суффикс. 

 

Для мульти-доменных кластеров убедитесь, что DNS-суффикс для всех доменов в кластере присутствует на всех узлах кластера.

3.      Создайте кластер с узлами в Workgroup или узлами из разных доменов. Для этого можно использовать Failover Cluster Manager или Microsoft PowerShell.

Использование Failover Cluster Manager

В следующем видео показаны шаги по созданию кластера рабочей группы или мульти-доменного кластера с использованием пользовательского интерфейса Failover Cluster Manager: https://www.youtube.com/watch?v=ej-nMzXmMKw

Использование Microsoft PowerShell

При создании кластера используйте переключатель AdministrativeAccessPoint для указания типа DNS, чтобы кластер не пытался создавать объекты-компьютеры.

New-Cluster –Name <Имя кластера> -Node <Узлы в кластере> -AdministrativeAccessPoint DNS

 

 

 

Внедрение

В таблице приведены данные по поддержке рабочей нагрузки для Workgroup и мульти-доменных кластеров.

Кластерная рабочая нагрузка	Поддерживается / Не поддерживается	Дополнительная информация
SQL Server	Поддерживается	Мы рекомендуем использовать проверку подлинности SQL Server. Это применимо только к SQL Server Always On Availability Groups. Экземпляры отказоустойчивого кластера SQL Server потребуют Kerberos для проверки подлинности Active Directory.
Файловый сервер	Поддерживается, но не рекомендуется	Аутентификация Kerberos (которая недоступна) является предпочтительным протоколом аутентификации для трафика Server Message Block (SMB).
Hyper-V	Поддерживается, но не рекомендуется	Live migration не поддерживается. Поддерживается быстрая миграция.
Очередь сообщений (MSMQ)	Не поддерживается	Очередь сообщений сохраняет свойства в AD DS.

Настройка кворума

Рекомендуемый тип свидетеля для Workgroup и мульти-доменных кластеров — Cloud Witness или Disk Witness. File Share Witness (FSW) для таких кластеров не поддерживается.

Обслуживание

Рекомендуется, чтобы узлы кластера имели согласованную конфигурацию. Мульти-доменные и Workgroup кластеры представляют более высокий риск дрейфа конфигурации. При развертывании убедитесь, что:

• Ко всем узлам в кластерах применён один и тот же набор обновлений Windows.
• Если на узлах кластера развернуты групповые политики разных доменов, они не должны конфликтовать.

Репликация DNS

Необходимо убедиться, что имена узлов кластера и сети для Workgroup и мульти-доменных кластеров реплицируются на DNS-серверы, уполномоченные для узлов кластера.