Поделиться через

Подготовка кластерных объектов-компьютеров в доменных службах Active Directory

В этом разделе показан порядок подготовки кластерных объектов-компьютеров в доменных службах Active Directory (AD DS). Эту процедуру можно использовать, чтобы дать возможность пользователю или группе создавать отказоустойчивые кластеры, если у них нет разрешений на создание объектов-компьютеров в AD DS.

При создании отказоустойчивого кластера с помощью мастера создания кластера или Windows PowerShell укажите имя кластера. Если у вас достаточно разрешений, процесс создания кластера автоматически создает объект компьютера в AD DS, соответствующий имени кластера. Этот объект называется объектом имени кластера или CNO. С помощью CNO объекты виртуальных компьютеров автоматически создаются при настройке кластеризованных ролей, использующих точки доступа клиента. Например, если создать высокодоступный файловый сервер с точкой доступа клиента с именем FileServer1, CNO создает соответствующую виртуальную машину в AD DS.

Note

Вы можете создать отсоединяемый от Active Directory кластер, где в AD DS не создаются CNO или VCOS. Этот параметр предназначен для определенных типов развертываний кластера. Дополнительные сведения см. в разделе Deploy an Active Directory-Detached Cluster.

Чтобы автоматически создать CNO, пользователю, создающему отказоустойчивый кластер, требуется разрешение "Создать объекты компьютеров " для подразделения или контейнера, на котором находятся серверы, формируемые кластером. Чтобы разрешить пользователю или группе создавать кластер без этого разрешения, пользователь с соответствующими разрешениями в AD DS (обычно администратор домена) может предустановить CNO в AD DS. Этот подход также предоставляет администратору домена больше контроля над соглашением об именах для кластера и тем, в каком OU содержатся объекты кластера.

Шаг 1. Подготовка CNO в AD DS

Прежде чем начать, убедитесь, что вы знаете следующее:

  • Имя, которое нужно назначить кластеру
  • Имя учетной записи пользователя или группы, которую вы хотите разрешить создать кластер

В качестве лучшей практики создайте организационную единицу для объектов кластера. Если подразделение уже существует, минимальным требованием для завершения этого шага является членство в группе операторов учетных записей. Если необходимо создать OU для объектов кластера, членство в группе "Администраторы домена " или эквивалентная группа, это минимальное требование для завершения этого шага.

Note

Если вы создаете CNO в контейнере компьютеров по умолчанию вместо ОЕ, вам не нужно выполнять шаг 3 данной темы. В этом сценарии администратор кластера может создавать до 10 VCOS без дополнительной настройки.

Подготовка CNO в AD DS

  1. На компьютере с инструментами AD DS из набора средств удалённого администрирования серверов или на контроллере домена откройте Active Directory Пользователи и компьютеры. Для этого на сервере запустите диспетчер серверов, а затем в меню "Сервис " выберите "Пользователи и компьютеры Active Directory".

  2. Чтобы создать организационную единицу для объектов компьютера кластера, щелкните правой кнопкой мыши доменное имя или существующую организационную единицу, наведите указатель на "Создать", а затем выберите Организационную единицу. В поле "Имя" введите имя подразделения, а затем нажмите кнопку "ОК".

  3. В дереве консоли щелкните правой кнопкой мыши организационную единицу, в которой нужно создать CNO, наведите указатель на "Создать", а затем выберите "Компьютер".

  4. В поле "Имя компьютера " введите имя, которое будет использоваться для отказоустойчивого кластера, а затем нажмите кнопку "ОК".

    Note

    Это имя кластера, которое пользователь, создающий кластер, укажет в мастере создания кластеров на странице Точка доступа для администрирования кластера или укажет как значение параметра –Name для командлета New-Cluster Windows PowerShell.

  5. В качестве рекомендации щелкните правой кнопкой мыши созданную учетную запись компьютера, выберите "Свойства" и выберите вкладку "Объект ". На вкладке "Объект" установите флажок "Защитить объект от случайного удаления " и нажмите кнопку "ОК".

  6. Щелкните правой кнопкой мыши созданную учетную запись компьютера и выберите команду "Отключить учетную запись". Нажмите кнопку "Да" , чтобы подтвердить, и нажмите кнопку "ОК".

    Note

    Учетную запись необходимо отключить, чтобы во время создания кластера соответствующий процесс подтвердил, что учетная запись не используется в данный момент существующим компьютером или кластером в домене.

    Снимок экрана отключенного CNO в примере OU кластеров.

Рис. 1. Отключенный CNO в примере подразделения кластеров

Шаг 2. Предоставление пользователю разрешений на создание кластера

Необходимо настроить разрешения, чтобы учетная запись пользователя, которая будет использоваться для создания отказоустойчивого кластера, имела полный доступ к CNO.

Членство в группе операторов учетных записей является минимальным обязательным для выполнения этого шага.

Вот как предоставить пользователю разрешения на создание кластера:

  1. В разделе "Пользователи и компьютеры Active Directory", в меню «Вид» убедитесь, что выбраны «Дополнительные возможности».

  2. Найдите и щелкните правой кнопкой мыши CNO, а затем выберите "Свойства".

  3. На вкладке Безопасность щелкните Добавить.

  4. В диалоговом окне выбора пользователей, компьютеров или групп укажите учетную запись пользователя или группу, которой требуется предоставить разрешения, а затем нажмите кнопку "ОК".

  5. Выберите только что добавленную учетную запись пользователя или группу, а затем рядом с полным элементом управления установите флажок "Разрешить ".

    Снимок экрана: предоставление полного управления пользователю или группе, которая создаст кластер.

    Рис. 2. Предоставление полного доступа пользователю или группе, которые будут создавать кластер

  6. Нажмите ОК.

После завершения этого шага пользователь, которому вы предоставили разрешение, сможет создать отказоустойчивый кластер. Однако если CNO расположен в подразделении, до завершения вами шага 3 пользователь не сможет создавать кластерные роли, которые требуют точку доступа клиента.

Note

Если CNO находится в контейнере компьютеров по умолчанию, администратор кластера может создать до 10 VCO без какой-либо дополнительной настройки. Чтобы добавить более 10 VCO, необходимо явно предоставить разрешение на создание объектов-компьютеров объекту имени кластера для контейнера компьютеров.

Шаг 3. Предоставление разрешений CNO подразделению или подготовка VCO для кластерных ролей

Когда вы создаете кластерную роль с точкой доступа клиента, кластер создает VCO в том же подразделении, что и CNO. Чтобы это происходило автоматически, CNO должен иметь разрешения на создание объектов-компьютеров в подразделении.

Если вы подготовили CNO в AD DS, для создания VCO можно сделать следующее.

  • Вариант 1: Grant the CNO permissions to the OU. Если вы воспользуетесь этим вариантом, кластер сможет автоматически создавать VCO в AD DS. Таким образом, администратор отказоустойчивого кластера сможет создавать кластерные роли, не отправляя вам запрос на подготовку VCO в AD DS.

Note

Членство в группе администраторов домена или эквивалентное ей является минимальным обязательным для выполнения действий для этого параметра.

  • Вариант 2. Подготовка виртуальной машины для кластеризованной роли. Используйте этот вариант, если есть необходимость в подготовке учетных записей для кластерных ролей из-за требований в вашей организации. Например, если вы хотите контролировать использование имен или создание кластерных ролей.

Note

Членство в группе операторов учетных записей является минимальным обязательным для выполнения действий для этого параметра.

Предоставление разрешений CNO подразделению

  1. В разделе "Пользователи и компьютеры Active Directory", в меню «Вид» убедитесь, что выбраны «Дополнительные возможности».

  2. Щелкните правой кнопкой мыши подразделение, в котором вы создали CNO на шаге 1. Подготовка CNO в AD DS и выберите пункт "Свойства".

  3. На вкладке Безопасность нажмите кнопку Дополнительно.

  4. В диалоговом окне "Дополнительные параметры безопасности" нажмите кнопку "Добавить".

  5. Рядом с принципалом выберите Выбрать принципала.

  6. В диалоговом окне "Выбор пользователя", "Компьютер", "Учетная запись службы" или "Группы" выберите "Типы объектов", установите флажок "Компьютеры" и нажмите кнопку "ОК".

  7. В разделе "Введите имена объектов" для выбора, введите имя CNO, выберите "Проверить имена" и нажмите кнопку "ОК". В ответ на предупреждение, которое говорит, что вы хотите добавить отключенный объект, нажмите кнопку "ОК".

  8. В диалоговом окне "Разрешения" убедитесь, что в списке "Тип" задано значение "Разрешить", а в списке "Применяется к" выбрано "Этот объект и все объекты-потомки".

  9. В разделе "Разрешения" установите флажок "Создать объекты компьютера ".

    Снимок экрана: предоставление разрешения на создание объектов компьютера для CNO.

    Рис. 3. Предоставление CNO разрешения на создание объектов-компьютеров

  10. Нажимайте ОК, пока не вернётесь к оснастке "Пользователи и компьютеры Active Directory".

Теперь администратор отказоустойчивого кластера может создать кластерные роли с точкой доступа клиента и подключить ресурсы.

Подготовка виртуальной машины для кластеризованной роли

  1. Прежде чем начать подготовку, убедитесь, что знаете имя кластера и имя, которое будет иметь кластерная роль.

  2. В разделе "Пользователи и компьютеры Active Directory", в меню «Вид» убедитесь, что выбраны «Дополнительные возможности».

  3. В Active Directory Users and Computers щелкните правой кнопкой мыши на объект, где находится CNO для кластера, наведите указатель мыши на Создать и выберите Компьютер.

  4. В поле "Имя компьютера " введите имя, которое будет использоваться для кластеризованной роли, а затем нажмите кнопку "ОК".

  5. В качестве рекомендации щелкните правой кнопкой мыши созданную учетную запись компьютера, выберите "Свойства" и выберите вкладку "Объект ". На вкладке "Объект" установите флажок "Защитить объект от случайного удаления " и нажмите кнопку "ОК".

  6. Щелкните правой кнопкой мыши созданную учетную запись компьютера и выберите пункт "Свойства".

  7. На вкладке Безопасность щелкните Добавить.

  8. В диалоговом окне "Выбор пользователя", "Компьютер", "Учетная запись службы" или "Группы" выберите "Типы объектов", установите флажок "Компьютеры" и нажмите кнопку "ОК".

  9. В разделе "Введите имена объектов" для выбора, введите имя CNO, выберите "Проверить имена" и нажмите кнопку "ОК". Если появится предупреждение о том, что вы хотите добавить отключенный объект, нажмите кнопку "ОК".

  10. Убедитесь, что выбран CNO, а затем напротив Полный доступ установите флажок Разрешить.

  11. Нажмите ОК.

Теперь администратор отказоустойчивого кластера может создать кластерную роль с точкой доступа клиента, которая соответствует подготовленному имени VCO, и подключить ресурсы.

Связанный контент