Klastry pracy awaryjnej

w rodowisku Windows.
Instalacja, konfiguracja
i zarzdzanie
Autor: Andrzej Szelg
ISBN: 978-83-246-2609-0
Format: 158235, stron: 224

Poznaj podstawy technologii klastrowej w oparciu o systemy firmy Microsoft

Naucz si praktycznie wdraa klastry pracy awaryjnej
Dowiedz si, jak korzysta z zaawansowanych rozwiza serwerowych
Zachowanie cigoci procesw biznesowych dla wielu przedsibiorstw stanowi jedn
z najwaniejszych kwestii, decydujc niejednokrotnie o ich istnieniu i powodzeniu na
rynku w coraz bardziej zwirtualizowanym wiecie. W firmach wymagajcych staego
dostpu do wanych danych, usug lub aplikacji konieczne jest zapewnienie odpowiednich
mechanizmw, gwarantujcych cigo pracy systemw niezalenie od wszelkiego
rodzaju awarii, ktre mog czasami zdarza si w bardziej rozbudowanej i skomplikowanej
infrastrukturze informatycznej. Odpowiedzi na te potrzeby staa si technologia klastrowa,
implementowana przez firm Microsoft w jej serwerowych systemach operacyjnych.
Niestety, zagadnienia dotyczce technologii klastrowej i jej realizacji w rodowiskach
opartych na najnowszych serwerowych systemach operacyjnych firmy Microsoft nie
nale do najprostszych w informatycznym wiecie. Wszyscy zainteresowani maj te
z pewnoci wiadomo tego, jak wana w karierze kadego specjalisty IT moe
okaza si znajomo tej tematyki. To wanie z myl o takich osobach powstaa
ksika "Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja
i zarzdzanie ". Informatycy, studenci kierunkw informatycznych i amatorzy pragncy
dowiedzie si wicej na temat technologii klastrowej dostpnej w najbardziej
zaawansowanych technologicznie serwerowych systemach operacyjnych z rodziny
Windows Server 2008 R2 znajd tu mnstwo praktycznych informacji oraz poszerz
swoj wiedz na temat klastrw pracy awaryjnej.
Przegld podstawowych poj i nowoci zwizanych z technologi klastrow
w rodowisku opartym na systemach Windows Server 2008 R2
Moliwoci technologii klastrowej, oferowane przez systemy
Windows Server 2008 R2
Wdraanie infrastruktury kluczy publicznych (PKI)
Praktyczne przykady wdraania klastra pracy awaryjnej
Konfigurowanie klastra pracy awaryjnej
Zarzdzanie klastrami pracy awaryjnej, infrastruktur kluczy publicznych (PKI),
rolami i funkcjami systemw Windows Server 2008 R2
Poznaj od rodka klastry pracy awaryjnej!
Docz do najbardziej poszukiwanych na rynku specjalistw IT!

Spis treci
Wstp .............................................................................................. 7
Rozdzia 1. Technologia klastrowa w systemach Windows Server 2008 R2 ....... 13
1.1.
1.2.
1.3.
1.4.

Czym jest klaster pracy awaryjnej? ........................................................................ 14

Czym jest wze klastra pracy awaryjnej? ............................................................. 16
Jak dziaa klaster pracy awaryjnej i do czego mona go wykorzysta ? ................. 17
Korzyci wynikajce ze stosowania klastrw pracy awaryjnej .............................. 18
1.4.1. Wysza dostpno ..................................................................................... 19
1.4.2. Lepsza skalowalno .................................................................................. 20
1.4.3. Prostsze zarzdzanie ................................................................................... 20
1.5. Zmiany w klastrach pracy awaryjnej w systemach Windows Server 2008 R2 ...... 20
1.5.1. Uproszczenie procesu instalacji .................................................................. 21
1.5.2. Udoskonalenia procesu konfiguracji ........................................................... 22
1.5.3. Zmiany i udoskonalenia interfejsw zarzdzania ....................................... 22
1.5.4. Ulepszenia sposobu wsppracy klastra z magazynem ............................... 24
1.5.5. Udoskonalenia komunikacji sieciowej ........................................................ 26
1.5.6. Ulepszenia zabezpiecze ............................................................................ 27

Rozdzia 2. Klaster pracy awaryjnej w rodowisku Windows Server 2008 R2 ..... 29

2.1.
2.2.
2.3.
2.4.
2.5.

Informacje o rodowisku klastra pracy awaryjnej .................................................. 30

Przygotowanie do wdroenia klastra pracy awaryjnej ........................................... 35
Wymagania sprztowe klastra pracy awaryjnej ..................................................... 36
Wymagania programowe klastra pracy awaryjnej ................................................. 42
Wymagania sieciowe klastra pracy awaryjnej ....................................................... 48

Rozdzia 3. Wdraanie Gwnego Urzdu Certyfikacji w trybie offline .................. 53

3.1.
3.2.
3.3.
3.4.
3.5.

Minimalne wymagania systemowe dla Gwnego Urzdu Certyfikacji ................ 54

Czynnoci przedinstalacyjne .................................................................................. 55
CAPolicy.inf plik konfiguracyjny dla Gwnego Urzdu Certyfikacji ............. 57
Instalowanie usug certyfikatw na Gwnym Urzdzie Certyfikacji .................... 58
Czynnoci poinstalacyjne ....................................................................................... 66
3.5.1. Skanowanie Gwnego Urzdu Certyfikacji
za pomoc narzdzia Analizator najlepszych rozwiza ............................ 67
3.5.2. Skanowanie Gwnego Urzdu Certyfikacji
za pomoc moduu BestPractices rodowiska Windows PowerShell ......... 69
3.5.3. Sprawdzanie certyfikatu i konfiguracji Gwnego Urzdu Certyfikacji
za pomoc narzdzia CertUtil.exe .............................................................. 73

Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja i zarzdzanie

3.6. Konfigurowanie Gwnego Urzdu Certyfikacji ................................................... 74
3.6.1. Ustawianie atrybutu DSConfigDN ............................................................. 75
3.6.2. Konfigurowanie rozszerze Punkt dystrybucji listy CRL (CDP)
i Dostp do informacji o urzdach (AIA) ................................................... 76
3.6.3. Konfigurowanie okresu wanoci wystawianych certyfikatw .................. 80
3.6.4. Wczanie dyskretnych podpisw w certyfikatach ..................................... 82
3.6.5. Konfigurowanie zdarze do inspekcji ......................................................... 82
3.6.6. Konfigurowanie parametrw publikowania
podstawowej listy odwoania certyfikatw (CRL) ...................................... 85
3.6.7. Publikowanie podstawowej listy CRL ........................................................ 87
3.7. Eksportowanie certyfikatu i listy CRL Gwnego Urzdu Certyfikacji ................. 89
3.8. Publikowanie certyfikatu i listy CRL Gwnego Urzdu Certyfikacji
w magazynie usugi Active Directory .................................................................... 89

Rozdzia 4. Wdraanie Podrzdnego Urzdu Certyfikacji

na 1. wle klastra pracy awaryjnej ................................................ 93
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
4.8.
4.9.

Minimalne wymagania systemowe dla Podrzdnego Urzdu Certyfikacji ............ 94

Etapy wdraania usug certyfikatw na 1. wle klastra pracy awaryjnej ............. 95
CAPolicy.inf plik konfiguracyjny dla Podrzdnego Urzdu Certyfikacji ......... 96
Konfigurowanie i instalowanie usug certyfikatw
na 1. wle klastra pracy awaryjnej ....................................................................... 97
Generowanie i eksportowanie certyfikatu cyfrowego
dla Podrzdnego Urzdu Certyfikacji .................................................................. 107
Dodawanie certyfikatu i listy CRL Gwnego Urzdu Certyfikacji
do magazynu Zaufane gwne urzdy certyfikacji ............................................... 111
Instalowanie certyfikatu dla Podrzdnego Urzdu Certyfikacji
na 1. wle klastra pracy awaryjnej ..................................................................... 114
Konfigurowanie rozszerze CDP i AIA na 1. wle klastra pracy awaryjnej ...... 116
Eksportowanie certyfikatu Podrzdnego Urzdu Certyfikacji
(z kluczem prywatnym) ....................................................................................... 117

Rozdzia 5. Wdraanie Podrzdnego Urzdu Certyfikacji

na 2. wle klastra pracy awaryjnej .............................................. 121
5.1. Etapy wdraania usug certyfikatw na 2. wle klastra pracy awaryjnej ........... 122
5.2. Importowanie certyfikatu Podrzdnego Urzdu Certyfikacji
(z kluczem prywatnym) do magazynu Osobisty .................................................. 124
5.3. Konfigurowanie i instalowanie usug certyfikatw
na 2. wle klastra pracy awaryjnej ..................................................................... 125

Rozdzia 6. Wdraanie klastra pracy awaryjnej

w rodowisku Windows Server 2008 R2 ....................................... 131
6.1. Podstawowe wymagania dotyczce klastrw pracy awaryjnej ............................ 132
6.1.1. Okrelenie statycznych adresw IP dla kart sieciowych
na wzach klastra pracy awaryjnej .......................................................... 133
6.1.2. Okrelenie nazwy dla klastra pracy awaryjnej .......................................... 133
6.1.3. Okrelenie adresu IP dla klastra pracy awaryjnej ..................................... 135
6.2. Etapy wdraania klastra pracy awaryjnej ............................................................. 135
6.3. Instalowanie funkcji Klaster pracy awaryjnej ...................................................... 136
6.4. Sprawdzanie poprawnoci konfiguracji klastra pracy awaryjnej ......................... 139
6.5. Tworzenie dwuwzowego klastra pracy awaryjnej typu active/passive ............. 151

Spis treci

Rozdzia 7. Konfigurowanie klastra pracy awaryjnej typu active/passive .......... 155

7.1. Konfigurowanie wysokiej dostpnoci dla usug certyfikatw ............................ 156
7.2. Konfigurowanie rozszerzenia CDP dla klastra pracy awaryjnej .......................... 162
7.3. Tworzenie obiektu typu CRLDistributionPoint
w magazynie usugi Active Directory dla klastra pracy awaryjnej ...................... 164
7.4. Zmiana uprawnie dla wzw klastra pracy awaryjnej
w usudze Active Directory ................................................................................. 165
7.5. Zmiana nazwy DNS w usudze Active Directory dla klastra pracy awaryjnej ..... 169
7.6. Testowanie klastra pracy awaryjnej dla usug certyfikatw ................................. 172
7.6.1. Przenoszenie sklastrowanej usugi certyfikatw
pomidzy wzami klastra pracy awaryjnej .............................................. 172
7.6.2. Instalowanie certyfikatu uytkownika
w magazynie Osobisty z poziomu systemu Windows 7 ........................... 173

Rozdzia 8. Zarzdzanie klastrem pracy awaryjnej, PKI, rolami i funkcjami ....... 179
8.1. Narzdzia do lokalnego zarzdzania klastrem pracy awaryjnej i PKI .................. 180
8.1.1. Konsola Meneder klastra pracy awaryjnej (CluAdmin.msc) .................. 181
8.1.2. Program narzdziowy Cluster.exe ............................................................ 183
8.1.3. Modu FailoverClusters rodowiska Windows PowerShell
(PowerShell.exe) ....................................................................................... 185
8.1.4. Konsola Infrastruktura PKI przedsibiorstwa (PKIView.msc) ................. 187
8.1.5. Konsola Urzd certyfikacji (CertSrv.msc) ................................................ 188
8.1.6. Konsola Certyfikaty (CertMgr.msc) ......................................................... 190
8.1.7. Konsola szablonw certyfikatw (CertTmpl.msc) .................................... 192
8.1.8. Program narzdziowy CertUtil.exe ........................................................... 195
8.1.9. Program narzdziowy CertReq.exe .......................................................... 198
8.2. Narzdzia do zdalnego zarzdzania klastrem pracy awaryjnej, PKI,
rolami i funkcjami ................................................................................................ 199
8.2.1. Narzdzia administracji zdalnej serwera dla systemu Windows 7
(RSAT) ..................................................................................................... 199
8.2.2. Zdalne zarzdzanie klastrem pracy awaryjnej (CluAdmin.msc) ............... 201
8.2.3. Zdalne zarzdzanie Podrzdnym Urzdem Certyfikacji w trybie online
(CertSrv.msc) ............................................................................................ 203
8.2.4. Zdalne zarzdzanie infrastruktur kluczy publicznych (PKIView.msc) ... 205
8.2.5. Zdalne zarzdzanie rolami i funkcjami systemu Windows Server 2008 R2
(WinRM.cmd) .......................................................................................... 208
8.3. Tworzenie konsoli gwnej do zdalnego zarzdzania
klastrem pracy awaryjnej i PKI ............................................................................ 210

Bibliografia .................................................................................. 215

Skorowidz .................................................................................... 219

Rozdzia 5.

Wdraanie Podrzdnego
Urzdu Certyfikacji
na 2. wle klastra
pracy awaryjnej
W tym rozdziale zostanie zaprezentowany szczegowy proces instalacji oraz konfiguracji Podrzdnego Urzdu Certyfikacji na 2. wle dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive, ktry bdzie pracowa w trybie online
pod kontrol serwerowego systemu operacyjnego Windows Server 2008 R2 Enterprise.
Wze ten bdzie peni (w przypadku awarii 1. wza klastra pracy awaryjnej) funkcj
Podrzdnego Urzdu Certyfikacji o nazwie PUC01 oraz obsugiwa dania uytkownikw kocowych. Jego konfiguracja bdzie rnia si nieco od konfiguracji 1. wza,
ktra zostaa przedstawiona w rozdziale 4.
Z tego rozdziau dowiesz si, jak wyglda przebieg wdraania usug certyfikatw na 2.
wle klastra pracy awaryjnej dla usug certyfikatw typu active/passive, podzielony
na nastpujce etapy:
sprawdzenie, czy udostpnione na macierzy pamici masowej SAN iSCSI dyski

klastrowe Dysk 1 i Dysk 2 s dostpne i znajduj si w stanie online,

przygotowanie pliku konfiguracyjnego CAPolicy.inf oraz umieszczenie

go w lokalizacji %SYSTEMROOT% (zwykle C:\Windows). Plik ten mona

skopiowa z 1. wza dwuwzowego klastra pracy awaryjnej dla usug
certyfikatw typu active/passive, tj. z serwera klastrowanego SRV01.
zaimportowanie do lokalnego magazynu certyfikatw Zaufane gwne urzdy

certyfikacji certyfikatu cyfrowego i podstawowej listy CRL Gwnego Urzdu

Certyfikacji,

122

Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja i zarzdzanie

zaimportowanie do lokalnego magazynu certyfikatw Osobisty certyfikatu

cyfrowego Podrzdnego Urzdu Certyfikacji (z kluczem prywatnym), tj. pliku

z rozszerzeniem *.p12,
skonfigurowanie i zainstalowanie roli Usugi certyfikatw w usudze Active

Directory na potrzeby rodowiska dwuwzowego klastra pracy awaryjnej

dla usug certyfikatw typu active/passive, ktre zostao przedstawione
w rozdziale 2.,
skonfigurowanie (z wykorzystaniem skryptu) dwch rozszerze: Punkt

dystrybucji listy CRL (CDP) oraz Dostp do informacji o urzdach (AIA).

5.1. Etapy wdraania

usug certyfikatw na 2. wle
klastra pracy awaryjnej
Wdraanie usug certyfikatw na 2. wle dwuwzowego klastra pracy awaryjnej dla
usug certyfikatw typu active/passive, pracujcego pod kontrol serwerowego systemu
operacyjnego Windows Server 2008 R2 Enterprise, skada si z kilku krokw (etapw),
ktre naley wykona w takiej kolejnoci, w jakiej zostay przedstawione poniej.
Etap 1. Sprawdzenie, czy udostpnione na macierzy pamici masowej SAN iSCSI dyski
klastrowe Dysk 1 i Dysk 2 s dostpne dla 2. wza klastra pracy awaryjnej dla usug
certyfikatw typu active/passive oraz znajduj si w stanie online. Mona tu wykorzysta
(jak w poprzednim rozdziale) program narzdziowy DiskPart.exe lub konsol graficzn
Zarzdzanie dyskami. Na dysku klastrowym S powinny by pliki, ktre zostay utworzone podczas uruchamiania usugi certyfikatw na 1. serwerze klastrowanym SRV01
(rysunek 5.1). Ten krok naley wykona samodzielnie.
Etap 2. Przygotowanie pliku konfiguracyjnego CAPolicy.inf oraz umieszczeniu go
w lokalizacji %SYSTEMROOT% (zwykle C:\Windows). Plik ten mona skopiowa z 1.
wza dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive,
tj. z serwera klastrowanego SRV01. Ten krok naley wykona samodzielnie.
Etap 3. Zaimportowanie do lokalnego magazynu certyfikatw Zaufane gwne urzdy
certyfikacji certyfikatu cyfrowego i podstawowej listy CRL Gwnego Urzdu Certyfikacji. Mona tu wykorzysta program narzdziowy CertUtil.exe (wraz z przecznikiem
-addstore). Ten krok naley wykona samodzielnie, zgodnie z informacjami przedstawionymi w poprzednim rozdziale.

Rozdzia 5. i Wdraanie Podrzdnego Urzdu Certyfikacji na 2. wle klastra

123

Rysunek 5.1. Zawarto udostpnionego dysku klastrowego S (na serwerze SRV02)

Etap 4. Zaimportowanie do lokalnego magazynu certyfikatw Osobisty certyfikatu cyfrowego Podrzdnego Urzdu Certyfikacji (z kluczem prywatnym), tj. pliku z rozszerzeniem
*.p12. Ten krok zostanie przedstawiony szczegowo w dalszej czci tego rozdziau.
Etap 5. Skonfigurowanie i zainstalowanie roli Usugi certyfikatw w usudze Active
Directory na potrzeby rodowiska dwuwzowego klastra pracy awaryjnej dla usug
certyfikatw typu active/passive, ktre zostao przedstawione w rozdziale 2. Ten krok
zostanie szczegowo przedstawiony w dalszej czci tego rozdziau.
Etap 6. Skonfigurowanie (z wykorzystaniem skryptu) dwch rozszerze: Punkt dystrybucji listy CRL (CDP) oraz Dostp do informacji o urzdach (AIA). Ten krok naley
wykona samodzielnie, wykorzystujc skrypt PUC01_skrypt01.cmd, ktrego zawarto
zostaa przedstawiona w poprzednim rozdziale.

124

Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja i zarzdzanie

5.2. Importowanie certyfikatu

Podrzdnego Urzdu Certyfikacji
(z kluczem prywatnym)
do magazynu Osobisty
Aby z poziomu 2. wza dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu
active/passive zaimportowa certyfikat cyfrowy Podrzdnego Urzdu Certyfikacji (z kluczem prywatnym) do jego lokalnego magazynu certyfikatw Osobisty, naley wykona
(jako administrator domenowy) komend CertUtil.exe -importPFX A:\CA\PUC01.p12.
Gdy zostanie wprowadzone poprawne haso, pojawi si komunikat, ktrego tre przedstawiono na listingu 5.1.
Listing 5.1. Wynik wykonania komendy CertUtil.exe -importPFX A:\CA\PUC01.p12 (na serwerze SRV02)
Wprowad haso PFX:
Certyfikat CN=PUC01, DC=EA, DC=local zosta dodany do magazynu.
CertUtil: polecenie -importPFX zostao wykonane pomylnie.

Przed zaimportowaniem z poziomu 2. wza dwuwzowego klastra pracy awaryjnej dla

usug certyfikatw typu active/passive certyfikatu cyfrowego Podrzdnego Urzdu Certyfikacji (z kluczem prywatnym) do jego lokalnego magazynu certyfikatw Osobisty
naley zaimportowa certyfikat cyfrowy oraz podstawow list CRL Gwnego Urzdu
Certyfikacji do lokalnego magazynu certyfikatw Zaufane gwne urzdy certyfikacji.
Mona tu wykorzysta program narzdziowy CertUtil.exe (wraz z przecznikiem
-addstore). Powysze czynnoci uytkownik powinien wykona samodzielnie, zgodnie
z informacjami przedstawionymi w poprzednim rozdziale.

O tym, czy faktycznie certyfikat cyfrowy Podrzdnego Urzdu Certyfikacji (z kluczem

prywatnym) zosta dodany do lokalnego magazynu certyfikatw Osobisty 2. wza dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive, mona
si przekona , wykonujc np. komend CertUtil.exe -viewstore My PUC01. W rezultacie powinno si pojawi okno podobne do przedstawionego na rysunku 5.2.
Rysunek 5.2.
Wynik wykonania
komendy
CertUtil.exe -viewstore
My PUC01
(na serwerze SRV02)

Rozdzia 5. i Wdraanie Podrzdnego Urzdu Certyfikacji na 2. wle klastra

125

Po klikniciu certyfikatu cyfrowego PUC01 (rysunek 5.2) mona wywietli jego

szczegowe informacje. Warto si tutaj upewni , czy na zakadce Oglne znajduje si
informacja o tym, e certyfikat ma klucz prywatny (rysunek 5.3). Certyfikat ten bdzie
potrzebny podczas konfigurowania roli Usugi certyfikatw w usudze Active Directory
na 2. wle dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/
passive.
Rysunek 5.3.
Zakadka Oglne
certyfikatu
Podrzdnego
Urzdu Certyfikacji
(z kluczem prywatnym)
na serwerze SRV02

Certyfikat cyfrowy Podrzdnego Urzdu Certyfikacji (z kluczem prywatnym) mona wywietli take z poziomu konsoli graficznej Certyfikaty (dla komputera lokalnego).

5.3. Konfigurowanie i instalowanie

usug certyfikatw na 2. wle
klastra pracy awaryjnej
Aby poprawnie skonfigurowa i zainstalowa usugi certyfikatw na 2. wle dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive, trzeba wykona przedstawione poniej kroki (jako administrator domenowy) na serwerze klastrowanym SRV02.
Aby skonfigurowa i zainstalowa na 2. wle dwuwzowego klastra pracy awaryjnej
dla usug certyfikatw typu active/passive rol Usugi certyfikatw w usudze Active

126

Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja i zarzdzanie

Directory, naley wykona kroki podobne do opisanych w przypadku instalacji tej

roli na 1. wle tego typu klastra (z maymi wyjtkami, o ktrych bdzie mowa w tym
rozdziale).
1. Uruchomi konsol graficzn Meneder serwera (np. za pomoc komendy
ServerManager.msc).
2. W lewym panelu konsoli Meneder serwera wybra ga Role.
3. W prawym panelu konsoli klikn odnonik Dodaj role, co spowoduje

uruchomienie narzdzia graficznego Kreator dodawania rl, w ktrym naley

(po zapoznaniu si z podstawowymi informacjami) klikn przycisk Dalej.
4. Na stronie Wybieranie rl serwera zaznaczy opcj Usugi certyfikatw

w usudze Active Directory, a nastpnie klikn przycisk Dalej.

5. Po zapoznaniu si z informacjami znajdujcymi si na stronie Wprowadzenie

do Usug certyfikatw w usudze Active Directory naley klikn przycisk Dalej.

6. Na stronie Wybieranie usug rl naley upewni si, czy zaznaczona jest opcja

Urzd certyfikacji, a nastpnie klikn przycisk Dalej.

7. Na stronie Okrelanie typu instalacji naley zaznaczy pierwsz opcj

Przedsibiorstwo, a nastpnie klikn przycisk Dalej.

8. Na stronie Okrelanie typu urzdu certyfikacji naley upewni si, czy zaznaczona

jest druga z opcji, tj. Podrzdny urzd certyfikacji, a nastpnie klikn przycisk
Dalej.
9. Na stronie Konfigurowanie klucza prywatnego, ktra zostaa przedstawiona

na rysunku 5.4, naley zaznaczy opcje: Uyj istniejcego klucza prywatnego

oraz Wybierz certyfikat i uyj skojarzonego z nim klucza prywatnego. Powysze
ustawienia naley zatwierdzi przyciskiem Dalej.
Jeeli przed rozpoczciem na 2. w
le klastra pracy awaryjnej instalacji roli Usugi
certyfikatw w usudze Active Directory nie zostanie zaimportowany certyfikat cyfrowy
Podrzdnego Urzdu Certyfikacji (z kluczem prywatnym) do lokalnego magazynu certyfikatw Osobisty, to nie bdzie on widoczny w oknie Certyfikaty, ktre jest dostpne
z poziomu strony Wybieranie istniejcego certyfikatu.
10. Na stronie Wybieranie istniejcego certyfikatu naley zaznaczy (rysunek 5.5)

certyfikat cyfrowy PUC01 (z kluczem prywatnym) i klikn przycisk Dalej.

11. Na stronie Konfigurowanie bazy danych certyfikatw, ktr przedstawia

rysunek 5.6, naley zmieni domylne cieki dla lokalizacji bazy danych
certyfikatw cyfrowych oraz jej dziennika transakcyjnego na lokalizacj S,
tj. na udostpniony dysk klastrowy, znajdujcy si na macierzy pamici
masowej SAN iSCSI.
12. Przy prbie zmiany lokalizacji bazy danych certyfikatw cyfrowych i jej

dziennika transakcyjnego powinno pojawi si ostrzeenie, ktre przedstawia

rysunek 5.7. Narzdzie Kreator dodawania rl wywietli ostrzeenie

Rozdzia 5. i Wdraanie Podrzdnego Urzdu Certyfikacji na 2. wle klastra

127

Rysunek 5.4. Strona Konfigurowanie klucza prywatnego dla Podrzdnego Urzdu Certyfikacji
(na serwerze SRV02)

Rysunek 5.5. Strona Wybieranie istniejcego certyfikatu dla Podrzdnego Urzdu Certyfikacji
(na serwerze SRV02)

128

Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja i zarzdzanie

Rysunek 5.6. Strona Konfigurowanie bazy danych certyfikatw dla Podrzdnego Urzdu Certyfikacji
(na serwerze SRV02) przed zmianami
Rysunek 5.7.
Ostrzeenie
o zastpieniu
istniejcej bazy
danych certyfikatw
(na serwerze SRV02)

informujce o tym, e w okrelonej lokalizacji (na udostpnionym dysku

klastrowym S) istnieje baza danych. Jest to baza danych certyfikatw
Podrzdnego Urzdu Certyfikacji. W poprzednim rozdziale zostaa utworzona
na udostpnionym dysku klastrowym S baza danych (podczas uruchamiania
na 1. wle klastra pracy awaryjnej usugi certyfikatw CertSvc). Na tym
etapie naley klikn przycisk Tak. Ustawienia kocowe dla lokalizacji bazy
danych certyfikatw i jej dziennika powinny by podobne do tych, ktre zostay
przedstawione na rysunku 5.8. Jeeli tak faktycznie jest, to naley klikn
przycisk Dalej.
13. Na stronie Potwierdzanie opcji instalacji naley klikn przycisk Zainstaluj.

Gdy zostan wykonane powysze kroki, rozpocznie si proces instalowania

roli Usugi certyfikatw w usudze Active Directory na 2. wle dwuwzowego
klastra pracy awaryjnej typu active/passive. Jego poszczeglne etapy bd

Rozdzia 5. i Wdraanie Podrzdnego Urzdu Certyfikacji na 2. wle klastra

129

Rysunek 5.8. Strona Konfigurowanie bazy danych certyfikatw dla Podrzdnego Urzdu Certyfikacji
(na serwerze SRV02) po zmianach

wywietlane na bieco na stronie Postp instalacji, ktrej tutaj

nie przedstawiono. Proces instalacyjny usug certyfikatw moe trwa
kilka minut; po jego zakoczeniu wywietli si strona Wyniki instalacji,
informujca o pomylnym zainstalowaniu powyszej roli.
14. Zamkn okno narzdzia Kreator dodawania rl, klikajc przycisk Zamknij.

Wykonanie powyszych krokw sprawi, e konsola Meneder serwera na 2. wle

dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive zmieni
wygld na podobny do tego z rysunku 5.9.
Po zainstalowaniu na 2. w
le dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive roli Usugi certyfikatw w usudze Active Directory naley
pamita o tym, aby nastpnie skonfigurowa m.in. dwa wane rozszerzenia: Punkt
dystrybucji listy CRL (CDP) i Dostp do informacji o urzdach (AIA). Mona wykorzysta do tego celu skrypt PUC01_skrypt01.cmd, ktrego zawarto zostaa przedstawiona w rozdziale 4. Mona te rozway skonfigurowanie inspekcji, jeeli zajdzie
taka potrzeba, czy innych ustawie .

Majc zainstalowane i skonfigurowane role Usugi certyfikatw w usudze Active

Directory na obu wzach dwuwzowego klastra pracy awaryjnej dla usug certyfikatw typu active/passive, mona przystpi do wdraania tego typu klastra zgodnie
z informacjami przedstawionymi w nastpnym rozdziale.

130

Klastry pracy awaryjnej w rodowisku Windows. Instalacja, konfiguracja i zarzdzanie

Rysunek 5.9. Ga Usugi certyfikatw w usudze Active Directory po zainstalowaniu roli Usugi
certyfikatw w usudze Active Directory (na serwerze SRV02)