Windows Server 2016: Cluster ohne AD in einer Workgroup erstellen

    Workgroup-Cluster ohne AD in Windows Server 2016Windows Server 2016 setzt die Ent­wick­lung der vorigen OS-Ver­sionen fort, Failover-Cluster unab­hängig vom Active Direc­tory zu machen. Ein Server-Ver­bund für Hyper-V und SQL Server kann nun ohne AD-Inte­gration inner­halb einer Work­group einge­richtet und be­trieben werden.

    Grundsätzlich hängen Windows Server Cluster, speziell bei der Hoch­ver­füg­barkeit von Hyper-V, stark vom Active Directory und seinem Kerberos-Protokoll ab. Über mehrere Genera­tionen von Windows Server wurden diese Verbin­dungen beim Failover-Clustering jedoch mehr und mehr gelockert.

    Cluster-Knoten müssen keiner Domäne beitreten

    So muss seit der Version 2012 für die Hochver­fügbarkeit von virtuellen Maschinen beim Boot-Vorgang der Cluster-Knoten kein Domänen-Controller mehr erreichbar sein (Cluster Bootstapping). Damit löste Microsoft das Henne-Ei-Problem bei voll virtua­lisierten Umgebungen und Domänen-Controllern.

    Windows Server 2012 R2 brachte dann zusätzlich die Möglichkeit, einen Detached Cluster für die wichtigsten Workloads zu formen, ohne dass man dafür Computer-Objekte im AD (Cluster Name Object, CNO und Virtual Computer Objects, VCO) anlegen musste. Für die Cluster-Knoten war die Mitgliedschaft in einer AD-Domäne aber weiterhin erforderlich.

    Windows Server 2016 geht noch einen Schritt weiter und benötigt für die Bildung eines Clusters kein AD mehr. Nun ist es möglich, Cluster in Arbeitsgruppen (Workgroups) oder bei Knoten­mitgliedschaft über mehrere Domänen hinweg (Multi-domain Cluster) zu erstellen. Der Cluster-Netzwerkname (Administrative Access Point) wird auch hier nur über DNS registriert.

    Gründe für eine AD-Unabhängigkeit

    Welche Gründe für ein vom Active Directory unabhängiges Cluster gibt es aber nun? Folgende Einsatzszenarien lassen sich daraus ableiten:

    • Die Möglichkeit zur Erstellung kleinerer Umgebungen (Beispiel: Außen­stellen)
    • Eine Konfiguration in der DMZ
    • Die Nichterreichbarkeit einer Kundendomäne
    • Domäne aus Sicherheitsgründen nicht zugänglich
    • Ein Azure Deployment mit IaaS-Maschinen fällt kleiner aus, da Domänen-VMs nicht benötigt werden
    • AlwaysOn Availibility Groups (AG) über verschiedene Domänen und Workgroup Nodes

    Unterstützte Workloads für unabhängige Cluster

    Betrachten wir speziell die Hochver­fügbarkeit von virtuellen Maschinen mit Hyper-V, dann lässt sich erkennen, dass man die Unabhängigkeit vom Active Directory und dem Kerberos-Protokoll mit Funktionsverlusten bezahlen muss. Die folgende Tabelle enthält die unterstützten Workloads bei losgelösten Clustern und zeigt Einschränkungen im Betrieb:

    Cluster-WorkloadUnterstützungZusätzliche Informationen
    SQL Server Unterstützt SQL Server Authentifizierung wird hier empfohlen.
    Hyper-V Unterstützt, jedoch nicht empfohlen Live Migration wird nicht unterstützt, Quick Migration dagegen schon.
    File-Server Unterstützt, jedoch nicht empfohlen Kerberos-Authentifizierung wird bevorzugt beim SMB-Verkehr verwendet, Kerberos fehlt jedoch aufgrund der Nichtmitgliedschaft in der Domäne.

    Bereitstellen eines Clusters in einer Arbeitsgruppe

    Die Knoten des unab­hän­gigen Ver­bundes werden Mit­glied in der gleichen Arbeits­gruppe, ein Domänen­beitritt ist wie bereits erwähnt nicht erfor­der­lich. Über System­steuerung => System lassen sich diese Ein­stel­lungen wie ge­wohnt anpas­sen. Mein Labor-Cluster besteht aus zwei Knoten.

    Domänen-Suffix bei der Konfiguration der Cluster-Knoten anfügenEs ist darauf zu achten, dass die Nodes ein DNS-Suf­fix mit ange­hängt be­kom­men, die­ses lässt sich über die Schalt­fläche Weitere konfi­gu­rieren.

    Um den Cluster zu formen, er­hal­ten die Knoten das Feature Failover­clustering über den Server-Manager => Rollen und Features hinzufügen oder mit dem PowerShell-Befehl

    Install-WindowsFeature -Name Failover-Clustering -IncludeManagementTools

    Feature Failoverclustering über den Server Manager hinzufügen

    Zusätzlich erstelle ich am DNS-Server in der Forward-Lookup Zone zwei Host (A)-Einträge für die zukünftigen Cluster-Nodes. Die Netzwerk­konfiguration der Knoten muss natürlich dem DNS-Eintrag entsprechen.

    Host (A)-Einträge im DNS für die Knoten des Workgroup-Clusters

    Nachdem das Feature Failoverclustering auf den beiden Laborknoten installiert wurde, starte ich den Failovercluster-Manager und validiere den Verbund grundlegend auf Tauglichkeit (Konfiguration überprüfen).

    Konfiguration des Workgroup-Clusters überprüfen.

    Dabei fällt die Nichtzuge­hörigkeit zu einer Domäne sofort auf. Nachdem alle Warnungen und Fehler überprüft und korrigiert wurden, kann der Cluster mit Cluster erstellen konfiguriert werden. Beide Knoten werden mit aufgenommen und bereits über die GUI-Bestätigung lässt sich erkennen, dass die Registrierung nur über DNS erfolgt.

    Cluster-Erstellung über die GUI mit DNS Registrierung

    Der analoge PowerShell Befehl in diesem Beispiel lautet:

    New-Cluster -Name DetachedCluster -Node IndeNode01, IndeNode02 -AdministrativeAccessPoint DNS

    Ein

    Get-Cluster | fl *

    kann hier nach erfolgreicher Erstellung unteranderem die Methode für den Access Point anzeigen.

    6 Kommentare

    Bild von Thomas
    Thomas sagt:
    16. März 2017 - 19:15

    Hallo Marcel,

    ich habe den Cluster genau so im Lab nachgebildet. Die Clustererstellung hat auch ohne Probleme genau so funktioniert. Ein verschieben von Ressourcen zwischen den beiden Nodes im Clustermanager wird ohne Probleme vollzogen. Bei einem simulierten Ausfall der Netzwerkverbindung (Kabel einfach ziehen)funktioniert die Funktionalität des Clusters meist nur einmal. Nach dem wiederherstellen der Netzwerkverbindung und des Unterbrechen der Verbindung auf dem zweiten Node geht es nicht mehr. Der Prozess RSH.exe stürzt ab und erzeugt ein Error Report. er wird zwar neu gestartet, aber die Ressource IP-Adresse kann dann nicht automatisch von dem anderen Node übernommen werden und ein manueller Eingriff ist notwendig. (Verschieben über den Clustermanager oder einfach nur den Node neu starten. Hast Du in deiner Installation vielleicht den selben Fehler feststellen können?

    viele Grüße Thomas

    Bild von Marcel Küppers
    16. März 2017 - 19:41

    Hallo Thomas,

    ad hoc: hast Du auch das Quorum konfiguriert und einen Witness wie Azure eingebunden:

    https://www.windowspro.de/marcel-kueppers/failover-cluster-windows-serve...

    Gruß,
    Marcel

    Bild von Thomas
    Thomas sagt:
    16. März 2017 - 20:12

    Hallo Marcel,

    Quorum ist konfiguriert, iSCSI-Lun auf separatem Netz. Das Quorum wird auch sauber gewechselt, nur mit der IP gibt es Probleme. Witness ist das Quorum.

    Gruß Thomas

    Bild von Marcel Küppers
    17. März 2017 - 7:58

    Validiere den Verbund erneut. Gibt es hier Fehler? Zieh ein Cluster.log zusammen:

    https://www.windowspro.de/marcel-kueppers/windows-server-2016-failover-c...

    und sieh Dir zum Zeitpunkt die Meldungen an. Über eine Rückmeldung freue ich mich.

    "Der Prozess RSH.exe stürzt ab und erzeugt ein Error Report."

    Add: Ich denke Du meinst den rhs.exe (Ressourcenhost). Schau mal mit einem Procmon drauf.

    Gruß,
    Marcel

    Bild von Marcel Küppers
    17. März 2017 - 12:00

    "Hast Du in deiner Installation vielleicht den selben Fehler feststellen können?"

    Nachdem ich mein zugehöriges Lab wieder importiert habe, konnte ich diesen Fehler nicht reproduzieren.

    Bild von Thomas Ricken
    Thomas Ricken sagt:
    18. März 2017 - 10:41

    Hallo Marcel,

    die Clustervalidierung zeigt nur die bekannten Warnungen keiner AD Zugehörigkeit und der Registrierung nur DNS. Werde Anfang der Woche die Tests wiederholen und die Logs durchsuchen. Mal sehen was dabei raus kommt. Es ist natürlich RHS.exe, da waren die Finger schneller als der Kopf. Werde auch hier mal mit einem ProcMon nachschauen. Melde mich wenn ich Ergebnisse dazu habe. Danke das du in deinem Lab nochmal getestet hast. In einer Hyper-V Umgebung hatte ich den Fehler auch nicht, aber auf den physischen Dell Servern passiert dieses.

    Gruß Thomas