Устранение неполадок учетной записи службы кластера при изменении объектов компьютера

В этой статье описывается, как устранить неполадки службы кластера при создании или изменении объекта компьютера в Active Directory для кластера серверов (виртуального сервера).

Исходный номер базы знаний: 307532

Права доступа Active Directory на создание объекта компьютера

По умолчанию члены группы "Пользователи домена" предоставляют пользователю право добавлять рабочие станции в домен. По умолчанию этот пользователь имеет максимальную квоту 10 объектов компьютера в Active Directory. При превышении этой квоты регистрируется следующее сообщение идентификатора события:

Если несколько кластеров используют ту же учетную запись домена, что и учетная запись службы кластера, вы можете получить это сообщение об ошибке перед созданием десяти объектов компьютера в данном кластере. Одним из способов устранения этой проблемы является предоставление учетной записи службы кластера разрешение "Создание объектов компьютеров" в контейнере "Компьютеры". Это разрешение переопределяет право пользователя домена на добавление рабочих станций, которое имеет квоту по умолчанию в десять.

Чтобы убедиться, что у учетной записи службы кластера есть право на добавление рабочих станций для пользователя домена:

1. Войдите в контроллер домена, на котором хранится учетная запись службы кластера.

2. Запустите программу политики безопасности контроллера домена из средств администрирования.

3. Щелкните, чтобы развернуть локальные политики, а затем щелкните, чтобы развернуть назначения прав пользователя.

4. Дважды щелкните " Добавить рабочие станции" в домен и запишите перечисленные учетные записи.

5. Должна быть указана группа прошедших проверку подлинности пользователей (группа по умолчанию). Если он не указан, необходимо предоставить этому пользователю право на учетную запись службы кластера или группу, содержащую учетную запись службы кластера на контроллерах домена.

   Примечание.

   Этот пользователь должен предоставить этому пользователю право на контроллеры домена, так как объекты компьютера создаются на контроллерах домена.

6. Если вы явно добавите учетную запись службы кластера в это право пользователя, запустите на контроллере домена (или запустите gpupdate secedit для Windows 2000), чтобы новый пользователь реплицировался на все контроллеры домена.

7. Убедитесь, что политика не будет перезаписана другой политикой.

Учетная запись службы кластера не имеет надлежащих прав пользователя на локальном узле

Убедитесь, что учетная запись службы кластеров имеет соответствующие права пользователя на каждом узле кластера. Учетная запись службы кластера должна находиться в группе локальных администраторов и иметь указанные ниже права. Эти права предоставляются учетной записи службы кластера во время настройки узла кластера. Возможно, что политика более высокого уровня перезаписывайте локальную политику или что обновление с предыдущей операционной системы не добавляет все необходимые права. Чтобы убедиться, что эти права предоставлены на локальном узле, выполните следующие действия.

1. Запустите консоль "Локальные параметры безопасности" из группы администрирования .

2. Перейдите к назначениям прав пользователей в разделе "Локальные политики".

3. Убедитесь, что учетная запись службы кластера явно получила следующие права:

   • Выполнять вход в качестве службы
   • Работа в режиме операционной системы
   • Архивация файлов и каталогов
   • Назначение квот памяти процессам
   • Увеличение приоритета выполнения
   • Восстановление файлов и каталогов

   Примечание.

   Если учетная запись службы кластеров удалена из локальной группы администраторов, вручную создайте учетную запись службы кластера и предоставьте службе кластера необходимые права.

   Если отсутствуют какие-либо права, предоставьте учетной записи службы кластера явные права для нее, остановите и перезапустите службу кластера. Добавленные права не вступают в силу, пока не перезапустите службу кластера. Если учетная запись службы кластера по-прежнему не может создать объект компьютера, убедитесь, что групповая политика не записывает локальную политику. Для этого можно ввести gpresult в командной строке, если вы находитесь в домене Windows 2000 или результирующем наборе политик (RSOP) из оснастки MMC, если вы находитесь в домене Windows Server 2003.

   Если вы находитесь в домене Windows Server 2003, выполните поиск в справке и поддержке в RSOP, чтобы получить инструкции по использованию результирующей группы политик.

   Если у учетной записи службы кластера нет права "Акт в составе операционной системы", ресурс имени сети завершится ошибкой, и Cluster.log зарегистрирует следующее сообщение:

   Чтобы убедиться, что учетная запись службы кластера имеет все необходимые права, выполните указанные выше действия. Если локальные политики безопасности перезаписываются групповой политикой домена или подразделения , то существует несколько вариантов. Узлы кластера можно поместить в собственное подразделение с разрешением "Разрешить наследуемые разрешения от родительского объекта распространяться на этот объект" без выбора.

Необходимые права доступа при использовании заранее созданного объекта компьютера

Если члены группы прошедших проверку подлинности пользователей или учетной записи службы кластера заблокированы для создания объекта компьютера, если вы являетесь администратором домена, необходимо предварительно создать объект виртуального сервера. Необходимо предоставить определенные права доступа учетной записи службы кластера на предварительно созданном объекте компьютера. Служба кластера пытается обновить объект компьютера, соответствующий имени NetBIOS виртуального сервера.

Чтобы убедиться, что у учетной записи службы кластера есть соответствующие разрешения для объекта компьютера:

1. Запустите оснастку Пользователи и компьютеры Active Directory из администрирования.

2. В меню "Вид" выберите "Дополнительные функции".

3. Найдите объект компьютера, который требуется использовать учетной записи службы кластера.

4. Щелкните правой кнопкой мыши объект компьютера и выберите пункт "Свойства".

5. Перейдите на вкладку "Безопасность " и нажмите кнопку "Добавить".

6. Добавьте учетную запись службы кластера или группу, в которую входит учетная запись службы кластера.

7. Предоставьте пользователю или группе следующие разрешения:

   • Сброс пароля
   • Проверенное имя узла DNS
   • Проверенное запись в имя субъекта-службы

8. Нажмите кнопку ОК. Если существует несколько контроллеров домена, может потребоваться ждать репликации изменения разрешений на другие контроллеры домена (по умолчанию цикл репликации происходит каждые 15 минут).

Ресурс сетевого имени не входит в сеть при отключении kerberos

Ресурс сетевого имени не подключен, если объект компьютера существует, но не выбран параметр "Включить проверку подлинности Kerberos". Чтобы устранить проблему, используйте один из следующих процедур:

• Удалите соответствующий объект компьютера в Active Directory.
• Выберите включить проверку подлинности Kerberos в ресурсе сетевого имени.