WSFC2016 多域部署模型

    Hi 各位关注老王博客的朋友，十一事后，咱们又开始继续研究学习WSFC啦，本次为你们介绍的是WSFC 2016部署模型里面的多域架构

  什么是多域呢，对于只了解WSFC的朋友来讲，可能并不明白是什么意思，其实多域指的是一种AD域的逻辑范围，例如说，我北京有一个域，oa.com，天津有个子域，tj.oa.com，这两个域同属于一个林，oa.com林，它们在一个大的林中，可是父域与子域之间的域数据不会相同，虽然咱们都在同一个林，可是我父域建立的用户和计算机，子域不会有，子域建立的用户和计算机父域也不会有，所以，虽然是同一个林中的多个域，但它们仍是存在安全边界的。

   一些企业，可能子公司那边有要求，须要本身维护用户计算机，并且不但愿父域看到，那么就会要求本身创建子域，彻底本身维护，或者父公司收购一家公司，作成单林多域树的架构，原理也是同样的，虽然能够创建信任关系，互相访问资源，可是各自的资源都由各自维护。

   以上为你们解释了多域架构，简单来讲，就是单林环境下的，父子域，或多域树，关键点是单林下的每一个域都单独维护本身的用户和计算机对象。

   那么回到咱们群集的话题，多域架构，在以前的版本中是不可能实现的，在以前即使是两个互相信任的域，两边的节点想要一块儿作一个群集，向导不会经过，会指出当前节点不处于同一域中，这在之前是个死规则，在WSFC 2016 被改变

  多域群集的话，在老王看来，在中国实际应用场景并很少，一旦部署群集，那大部分都是生产环境，要不就是测试环境，一般测试环境和生产环境都有单独的域，均可以直接用最传统的AD域架构，不必搞得这么麻烦。

  若是真的要想场景的话，可能，若是是一家大型的公司也说不定，大公司下面有多个子公司，有一天突然和子公司谈好，咱们来共同维护一套系统吧，一部分节点咱们这里，一部分节点在大家那里。或者说，直接测试变生产，测试变准生产，把有问题的节点先加入到隔离群集中，等等。

 不过无论怎么说，这如今是可行的，咱们如今确实能够将单林多域的不一样节点构建成同一个群集，那有些朋友可能会想，你这个既然有域了，我是否是就能够有CNO了，能够用Kerberos了？还不行，为何呢，由于每一个域都是互相独立运行的，若是是正常域节点建立群集向导，群集会去节点所在域写入CNO，你这两个节点是不一样域，若是群集要写入，应该写入那个域呢？每一个域都有本身的RID主机，每一个域里面的计算机 用户SID都会不同，势必会有一部分节点没法正常验证

   所以咱们是没办法让多域群集写入CNO的，只有还和工做组群集同样，经过DNS记录做为管理访问点

  多域部署模型要求以下

1. 全部节点操做系统必须为Windows Server 2016

2. 全部节点必须使用已经认证的标识硬件

3. 全部节点必须安装故障转移群集功能

4. 工做组模式群集需在各节点使用相同密码相同用户，该用户须要是本地管理组成员，若是是非administrator用户还需额外修改注册表键值
   

5. 对于多域模式群集，要求每一个节点须要有全部域的DNS后缀

  

能够看到，除了第五点，其它和工做组群集都同样，第五点咱们须要在多域节点上面，分别增长对方域的DNS后缀便可，若是是DHCP环境，能够直接在DHCP Server上面作掉。

适用场景和工做组模型同样，按照微软的说法，最适合的为SQL Server SA验证

集群工做负载	支持/不支持	更多信息
SQL Server	支持	咱们建议您使用SQL Server身份验证进行Active  Directory独立的群集部署。
File server	支持，但不推荐	Kerberos身份验证是服务器消息块（SMB）流量的首选身份验证协议。
Hyper-V	支持，但不推荐	支持快速迁移，不支持实时迁移，由于它具备对Kerberos身份验证的依赖。
Message Queuing (also known as MSMQ)	不支持	消息队列存储属性在AD DS

多域模型部署对于WSFC 2016新功能支持以下

故障域站点感知

站点运行情况检测

Cloud Winess

Cluster Log 优化

简单的SMB多通道

群集VM负载均衡 ( No LiveMigration  Only QuickMigration )

VM弹性与存储容错 ( No LiveMigration  Only QuickMigration )

实战环境

DC01&iscsi      oa.com

lan：10.0.0.2 255.0.0.0

iscsi：30.0.0.2 255.0.0.0

DC02               tw.oa.com

lan:10.0.0.3 255.0.0.0

HV01

MGMET:10.0.0.9 255.0.0.0 DNS 10.0.0.2

ISCSI：30.0.0.9 255.0.0.0

CLUS：18.0.0.9 255.0.0.0

HV02

MGMET:10.0.0.10 255.0.0.0 DNS 10.0.0.3

ISCSI：30.0.0.10 255.0.0.0

CLUS：18.0.0.10 255.0.0.0

当前HV01属于oa.com域

HV02属于tw.oa.com子域

在各节点建立相同密码的本地用户

添加用户至各节点本地管理员组

配置用户密码为永不过时

若是咱们不使用节点本地内置的administrator用户建立群集，那么还须要修改各节点注册表

HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

新增DWORD键值LocalAccountTokenFilterPolicy，值为1

为各 同林多域节点 DNS访问网卡，增长全部域的DNS后缀

修改完成后重启，使用cluadmin用户登陆，添加各节点群集功能角色，链接ISCSI存储

GUI建立方式和工做组群集相同，这里咱们使用Powershell建立

#建立多域群集

New-Cluster -Name MLDcluster -StaticAddress 10.0.0.40 -Node HV01,HV02 -AdministrativeAccessPoint DNS

建立完成，并未提示报错

打开故障转移群集管理器发现已经能够正常打开群集，且自动帮助咱们配置了磁盘见证

下一步能够尝试基于多域模型群集部署上层应用！

We Done it！

如今咱们在一个多域节点模型的场景下部署了WSFC群集！

这为一些场景提供了新的可能

遗憾的是，虽然是多域模型，但仍然要按照工做组的方式建立群集，可以基于多域模型跑的上层应用仍是有限

OK，伙伴们块尝试起来吧~