В отказоустойчивых кластерах появилось несколько новых усовершенствовании безопасности. Вероятно, наиболее значительное из них связано с устранением требования наличия учетной записи службы кластеров (Cluster Service Account – CSA). В предыдущих версиях службы кластеров Майкрософт в ходе процесса настройки требовалась учетная запись пользователя домена. Эта учетная запись, которая использовалась для запуска службы кластеров, добавлялась к группе локальных администраторов на каждом узле кластера и давала учетные права локального пользователя, чтобы обеспечить верное функционирование службы кластера. В качестве учетной записи пользователя домена CSA подпадал под ряд политик уровня домена, которые могли быть применены к узлам кластера. Эти политики могли отрицательно повлиять на высокую доступность, вызывая сбой службы кластера. Теперь служба кластера работает, используя учетную запись локальной системы с определенным набором прав на локальном узле кластера, которые позволяют ей правильно функционировать. Контекст безопасности для кластера перенесен на объект имени кластера (Cluster Name Object – CNO), являющийся объектом компьютера, создаваемым по умолчанию в контейнере «Компьютеры» Active Directory® в момент создания кластера. После того, как кластер успешно создан, и CNO существует в Active Directory, учетная запись пользователя, использовавшаяся для установки и настройки кластера, более не нужна. Дополнительные объекты компьютера, создаваемые в контейнере «Компьютеры» Active Directory, связаны с отказоустойчивым кластером. Эти объекты, именуемые объектами виртуальных компьютеров (Virtual Computer Object – VCO), приравниваются к ресурсам сетевого имени кластера, создаваемыми как часть точек доступа клиента (Client Access Points – CAP) в кластере. CNO, ответственный за создание всех VCO в кластере, добавляется к системному списку управления доступом (System Access Control List – SACL) объекта в Active Directory (см. рис. 5).
Рис 5. Безопасность на объекте виртуального компьютера (VCO) в Active Directory
CNO также берет на себя ответственность за синхронизацию паролей домена со всеми созданными им объектами VCO. Этот процесс выполняется в соответствии с настроенной для домена политикой ротации паролей. Вдобавок, поскольку объект CNO ответственен за создание всех компьютерных объектов в кластере, связанных с объектами VCO, объект CNO (учетная запись компьютера) должен иметь права уровня домена для создания объектов компьютера в контейнере, где создаются объекты VCO (по умолчанию, это контейнер «Компьютеры»). Другое изменение состоит в том, что Kerberos теперь используется как метод проверки подлинности по умолчанию. Эта улучшенная функция безопасности становится возможной благодаря наличию учетных записей компьютеров в Active Directory. Но кластер имеет возможность использовать проверку подлинности протокола NT LAN Manager (NTLM), если приложению, не способному использовать для проверки подлинности Kerberos, понадобится доступ к ресурсам кластера. Также более безопасна связь между узлами кластера, напрямую имеющими дело с процессом кластера. По умолчанию, все сообщения внутри кластера подписываются. Через интерфейс общего языка (CLI) cluster.exe это свойство кластера может быть изменено так, чтобы для предоставления дополнительного уровня безопасности шифровались все сообщения между узлами.
