web-dev-qa-db-fra.com

Comment setup IIS sur le cluster de basculement avec des données partagées

J'essaie de configurer un IIShautement disponible _ pour des sites Web au fil du public, et je suis en train de trouver des informations sur la méthode la mieux et la plus sécurisée de configuration des autorisations, de configurer correctement IIS et de vérifier que mon plan d'installation est optimal.

Après de nombreuses recherches, je me suis installé sur cette configuration:

  • 2x IIS serveurs, à l'aide de configuration partagée.
  • Les serveurs IIS se connectent au même cluster Windows Failover Cluster SMB Share de fichier pour les données de site Web d'application.
  • Le serveur de fichiers utilise Starwind VSAN.
  • Les serveurs IIS recevront des demandes d'un cluster NLB/ARR.
  • Les serveurs sont VMS sur deux hôtes Hyper-V
  • MySQL fonctionnera sur deux VMS Linux avec le cluster Mariadb Galera.

Le consensus général que j'ai trouvé était de ne pas utiliser de SOFS pour IIS. Il s'agit donc d'une configuration standard de serveur de fichiers sous la forme d'une application SMB. Starwind a été utilisé car il n'existe aucun point d'échec sur le système de deux nœuds et la réplication est synchrone. Les données auront des sauvegardes régulières et des copies d'ombres, et VMS aura des répliques sur un autre hôte.

Mes problèmes proviennent actuellement de la compréhension des autorisations et des utilisateurs nécessaires à la configuration des données partagées IIS.

Actuellement, les données sont locales sur le serveur et disposent des autorisations pour les utilisateurs intégrés, les systèmes, les administrateurs, TrustedInstaller et IUSR sont définis pour les autorisations d'écriture sur certains dossiers. ApplicationPoolIdentifyIYIY est utilisé avec authentification transparente. L'authentification anonyme est définie sur IUSR.

Pour les données partagées, je n'ai obtenu que mes sites Web pour travailler après avoir défini le pool d'applications pour utiliser un utilisateur de domaine et définir l'authentification anonyme pour utiliser ApplicationPooolcidité. J'ai ajouté l'utilisateur de domaine pour avoir des autorisations complètes sur le partage SMB. J'ai également constaté certaines recommandations d'ajout du compte d'ordinateur aux autorisations et de respecter les comptes du système local des pools d'applications, à l'exception de l'IUSR, ne doit toujours pas être modifiée en appidentité pour l'authentification Anon. Est une méthode préférée? Quels autorisations NTFS et SMB sont nécessaires et qui ont besoin d'un accès en écriture lorsque IUSR a été utilisé auparavant?

Aussi, y a-t-il des préoccupations avec les fichiers partagés dans IIS? Les dossiers de session peuvent-ils être partagés, la mise en cache et la session PHP? J'ai actuellement des erreurs d'autorisation d'écriture sur les journaux et la mise en cache malgré les autorisations complètes.

Toute aide, pensées et opinions seraient grandement appréciées!

7
Justin M

Les autorisations NTFS/SMB pour Shared IIS Stockage sont décrites dans le Guide de la MS: https://docs.microsoft.com/en-us/iis/web-hosting/configuring -Servers-in-the-windows-windows-plate-forme/configuration-partager-et-ntfs-autorisations

Si vous avez des webApp/scripts, qui devraient écrire des données dans le dossier sur le serveur de fichiers, vous devez configurer des autorisations appropriées pour ce dossier.

La configuration Web-Farm vaut mieux stocker sur le lecteur partagé. Voici un lien:

https://docs.microsoft.com/ru-ru/iis/web-hosting/configuring-server-servers-in-the-windows-web-platform/shared-configuration_211

En ce qui concerne les données non teneurs (journaux, sessions de cache, etc.), vous n'obtiendrez pas un grand avantage de les stocker sur la part. C'est à vous de répondre.

6
batistuta09