Kerberos-Unterstützung auf Windows 2000-Serverclustern

Dieser Artikel beschreibt die Kerberos-Authentifizierungsunterstützung für Windows 2000-basierten Servercluster, die in Windows 2000 Service Pack 3 (SP3) hinzugefügt wurde. Mit Windows 2000-Versionen als SP3 werden der Clusterdienst nicht Computerobjekte für virtuelle Server in Active Directory veröffentlicht. Dies bedeutet, dass virtuelle Server authentifizieren nur mithilfe NTLM oder NTLM Version 2. Mit Windows 2000 SP3 können Sie virtuelle Server für Clients die Authentifizierung mithilfe des Kerberos-Authentifizierungsprotokolls ermöglichen konfigurieren. Wenn dies aktiviert ist, wird ein Computer-Objekt für jedes entsprechende Netzwerk erstellt Name Ressource.

Kerberos-Authentifizierung für die Netzwerknamenressource, von der Microsoft Exchange 2000 abhängig ist, wird auf einem Servercluster nicht unterstützt. Exchange 2000 wurde nicht mit der Erwartung, dass ein virtueller Clusterserver Kerberos-Authentifizierung unterstützen würde getestet; diese Konfiguration möglicherweise nicht einwandfrei. Zukünftige Versionen von Exchange Server möglicherweise nutzen Kerberos-Authentifizierung für Servercluster.

wichtig : Beachten Sie, dass Kerberos auf einem SQL Server-Cluster unterstützt wird.

Weitere Informationen zur Kerberos-Authentifizierung für Windows 2000 SP3 finden Sie im folgenden Artikel der Microsoft Knowledge Base: Weitere Informationen zum Kerberos-Authentifizierung in SQL Server verwenden finden Sie im folgenden Artikel der Microsoft Knowledge Base:

In den folgenden Abschnitten wie aktivieren Kerberos unterstützen und Beschreiben Sie einige bekannte Probleme, die mit Windows 2000 SP3-Serverclustern und Kerberos auftreten.

Aktivieren der Kerberos-Unterstützung auf einem vorhandenen Cluster mit SP3 installiert

Auf Kerberos aktivieren, damit ein Computerobjekt für einen bestehenden virtuellen Server erstellt wird:

Hinweis: In diesem Abschnitt verweist "network Name-Clusterressource" auf die Clusterressource für den Netzwerknamen wie angezeigt auf der Registerkarte Allgemein in den Eigenschaften der gruppierten Netzwerknamenressource.

1. Sollten Sie auf jedem Knoten im Cluster prüfen Sie, dass das Clusterdienstkonto den Benutzer "Einsetzen als Teil des Betriebssystems" rechts auf den lokalen Knoten verfügt.
   
   Befolgen Sie hierzu Sie die im Abschnitt "Service Konto wird nicht haben richtigen Benutzer zuweisen auf lokalen Clusterknoten" im folgenden Artikel der Microsoft Knowledge Base beschrieben werden:
   307532

   (http://support.microsoft.com/kb/307532/ )

   Behebung das Clusterdienstkonto von Computerobjekten
2. Überprüfen Sie, ob das Clusterdienstkonto erforderlichen Berechtigungen in Active Directory verfügt. Folgen Sie hierzu Sie den Anweisungen im folgenden Artikel der Microsoft Knowledge Base:
   302389

   (http://support.microsoft.com/kb/302389/ )

   Beschreibung der Eigenschaften des Cluster-Netzwerknamenressource in Windows Server 2003
3. SP3 auf allen Knoten im Cluster anwenden.
4. Starten Sie die Clusterverwaltung, wählen aus die entsprechende Netzwerknamenressource für die Sie die Kerberos-Unterstützung aktivieren möchten und führen Sie die Ressource offline.
5. Öffnen Sie eine Eingabeaufforderung auf einem der Clusterknoten, und geben Sie folgenden Befehl:
   cluster Res "Netzwerk-Namensressource" / priv Requirekerberos = 1:dword
6. Schalten Sie in der Clusterverwaltung die Netzwerknamenressource online.

Dieses Verfahren können auch die Eigenschaft RequireDNS aktivieren. Um dies tun, durch Ersetzen Sie RequireDNS , in denen RequireKerberos angegeben ist. Wenn Sie die RequireDNS -Eigenschaft verwenden, können Sie sicherstellen, geht die Ressource online, nur wenn Sie den virtuellen Server DNS-Einträgen erfolgreich registriert sind. Wenn die RequireDNS -Eigenschaft auf 1 festgelegt ist, muss der DNS-HOST (A) Eintrag für den virtuellen Server registriert werden. Ist dies nicht der Fall, wird die Netzwerknamenressource nicht online geschaltet. Wenn der DNS-Server dynamische Updates akzeptiert jedoch der Datensatz aktualisiert ist, gilt dies einen Fehler. Wenn der DNS-Server keine dynamische Aktualisierungen (ältere Versionen von DNS) akzeptiert, oder es sind keine DNS-Server, die mit der Ressource zugeordneten Netzwerk verbunden sind, wird die Netzwerknamenressource trotzdem online geschaltet.

In der Regel: Wenn eine Netzwerknamenressource nicht online geschaltet, nach dem Einschalten auf Kerberos-Unterstützung, das Cluster-Dienstkonto möglicherweise nicht über das richtigen Berechtigungen, Active Directory. Wenn die Ressource nicht online geschaltet, finden Sie im folgenden Knowledge Base-Artikel Weitere Informationen zur Problembehandlung Schritte und wie Sie überprüfen das Cluster-Dienstkonto über Schreibzugriff auf Active Directory verfügt:

Hinweis: Wenn dieser bestimmten Installation von Windows 2000 eine Aktualisierung von Microsoft Windows NT 4.0 ist, überprüfen Sie die "Service Konto wird nicht haben richtigen Benutzer zuweisen auf lokalen Clusterknoten" in Q307532. Windows NT 4.0 gewährt keinen rechts "Als Teil des Betriebssystems handeln", um das Clusterdienstkonto. Daher wird Aktualisierung auf Windows 2000 dieses Recht zugewiesen. Dieses Recht muss für die neue Kerberos-Funktionalität arbeiten angewendet werden. Neue Installationen von Serverclustern in Windows 2000 gewähren dieses Recht, das Clusterdienstkonto während der Cluster Setup.

So die RequireKerberos-Eigenschaft vor dem Anwenden von SP3

Wenn Sie die RequireKerberos -Eigenschaft vor dem festlegen, Aktualisierung und wenn Sie einen Knoten auf SP3 aktualisiert haben, können Clientcomputer Authentifizierungsprobleme auf Clusterressourcen auftreten, während die übrigen Knoten im Cluster auf SP3 aktualisiert werden. Dieses Verhalten kann in folgenden Fällen auftreten:

• Die RequireKerberos -Eigenschaft wird auf 1 auf eine Netzwerknamenressource festgelegt.
• Ein Clusterknoten wird auf SP3 aktualisiert.
• Die Netzwerknamenressource wird auf dem aktualisierten Knoten gehostet, wodurch ein Computerobjekt in Active Directory erstellt werden.
• Der Netzwerkname Ressource auf einem Clusterknoten nicht SP3 entweder verschieben weil der aktualisierte Knoten fehlschlägt oder der Ressourcengruppe wurde verschoben.
• Ein Client, der mit der Cluster-Knoten mithilfe der Netzwerknamenressource verbunden erhält ein Kerberos-Ticket an den virtuellen Server aufgrund des Vorhandenseins des Computerobjekts.
• Die Netzwerknamenressource, die auf dem Clusterknoten nicht SP3 gehostet wird unterstützt keine Kerberos-Authentifizierung und der Client kann nicht authentifizieren.

Wenn Sie die RequireKerberos -Eigenschaft auf 1 setzen haben, bevor Sie SP3 angewendet, müssen Sie den Typ-Eigenschaft auf DWORD festlegen. Wenn Sie nicht so, und installieren Sie SP3, den Netzwerknamen Ressource nicht online gehen wird. Zur Wiederherstellung dieser Situation können Sie die Netzwerknamenressource löschen und erstellen Sie ihn neu; jedoch, wenn dieses Problem bei der Clusternamenressource auftritt, Sie den Cluster neu installieren.

Die RequireKerberos -Eigenschaft festgelegt vor der Aktualisierung auf SP3, führen Sie den folgenden Befehl aus: Um zu überprüfen, dass die RequireKerberos -Eigenschaft einen DWORD-Wert ist, führen Sie den folgenden Befehl aus: Wenn "D" in ganz linken Spalte für erscheint der RequireKerberos = 1 -Eigenschaft diese Eigenschaft ist ein DWORD-Wert. Nachdem Sie die Eigenschaft überprüft haben, folgen Sie den Anweisungen im Abschnitt "Aktivieren auf Kerberos Support auf einem vorhandenen Cluster, hat SP3 installiert" zum Aktivieren der Kerberos-Unterstützung.

Gewusst wie: Umbenennen ein virtuelles Servers mit Kerberos-Unterstützung aktiviert

Sie können eine der zwei Methoden, die beschrieben werden in diesem Abschnitt einen virtuellen Server benennen, wenn Kerberos-Authentifizierung aktiviert ist. Wenn Sie die Netzwerknamenressource in der Clusterverwaltung im Netzwerk ändern Netzwerknamenressource fehlschlägt, weil das Computerobjekt nicht umbenannt wird. Windows 2003-Servercluster können jedoch den Namen des entsprechenden Computerobjekts ändern.

Sie können feststellen, dass Methode 1 leichter ist zu vervollständigen, aber diese Methode setzt voraus, dass keine untergeordneten Objekte das Computerobjekt in Active Directory zugeordnet sind. Message Queuing (auch als MSMQ bezeichnet) ist ein Beispiel für ein Programm, das untergeordnete Objekte erstellt. Wenn Sie Methode 2 verwenden, müssen Sie ADSIEdit.msc, verwenden die in Windows 2000 enthalten ist.

Methode 1

Wenn Sie diese Methode durchführen, Sie vorübergehend deaktivieren Kerberos-Unterstützung für den virtuellen Server, löschen Sie das entsprechende Computerobjekt, und dann aktivieren und neu erstellen, das Computerobjekt:

1. Nutzen das entsprechende Netzwerk mithilfe der Clusterverwaltung Name Ressource offline.
2. Öffnen Sie eine Eingabeaufforderung auf einer der Clusterknoten, und geben den folgenden Befehl:
   cluster Res "Netzwerk-Namensressource" / priv Requirekerberos = 0
3. Starten Sie Active Directory-Benutzer und-Computer, und suchen Sie dann die Organisationseinheit ? Computers.
4. Im Menü Ansicht klicken Sie auf Benutzer, Gruppen und Computer als Container , und vergewissern Sie sich, dass keine untergeordneten Objekte vorhanden sind.
   
   Hinweis : Wenn untergeordnete Objekte vorhanden sind, erhalten Sie vom Programmanbieter, die diese untergeordneten Objekte vorhanden, und bitten, stellen Sie sicher, dass eine Möglichkeit, nach den virtuellen Server-Computerobjekt gelöscht neu erstellt und wurde hat das untergeordnete Objekt neu erstellen dann. Wenn Sie das untergeordnete Objekt können nicht neu erstellen, verwenden Sie Methode 2.
5. Löschen Sie die Netzwerknamenressourcen das entsprechende Computerobjekt aus Active Directory-Benutzer und-Computer.
6. Während die entsprechende Netzwerknamenressource trotzdem offline ist, mithilfe der Clusterverwaltung auf der Seite Parameter von der Netzwerknamenressource angezeigt und anschließend den Namen des virtuellen Servers ändern.
7. Öffnen Sie eine Eingabeaufforderung auf einer der Clusterknoten, und geben den folgenden Befehl:
   cluster Res "Netzwerk-Namensressource" / priv Requirekerberos = 1
8. Mithilfe der Clusterverwaltung schalten Sie die Ressource online.
   
   Hinweis: Microsoft unterstützt nur das Ausführen von Microsoft Distributed Transaction Coordinator (MSDTC) auf Clusterknoten als gruppierte Ressource. Microsoft empfiehlt keine MSDTC auf einem Cluster im eigenständigen Modus ausgeführt. Microsoft unterstützt diese Konfiguration nicht. Wenn Sie MSDTC in einer nicht gruppierten Ressourcen in einem Cluster (Microsoft Cluster Service, MSCS) verwenden, können Transaktionen verwaist. Dies führt zu Datenbeschädigung tritt ein Cluster-Failover.

Methode 2

Wenn Sie diese Methode ausführen, Sie verwenden, ADSIEdit.msc um das Computerobjekt in Active Directory umzubenennen, so dass er die entspricht Ressource in der Clusterverwaltung. Installieren Sie ADSIEdit.msc auf jeder Mitgliedsserver oder Domänencontroller. So installieren Sie ADSIEdit, führen Sie das Setup-Programm in die Unterstützung Ordner auf der Windows 2000-CD.

1. Starten Sie Cluster Administrator, und schalten Sie die entsprechende Netzwerknamenressource offline.
2. In der Clusterverwaltung die Seite Parameter von der Netzwerknamenressource anzeigen und anschließend den Namen des virtuellen Servers ändern.
3. Starten Sie ADSIEdit.msc, erweitern Sie die Domäne, und suchen Sie dann die Organisationseinheit ? Computers.
4. Klicken Sie mit der rechten Maustaste auf die entsprechenden Netzwerknamenressource Computerobjekt, und klicken Sie dann auf Umbenennen .
5. Benennen der allgemeine Name (auch bekannt als CN) des Objekts, und drücken Sie anschließend die [EINGABETASTE].
6. Mit der rechten Maustaste auf die entsprechenden Netzwerknamenressource Computerobjekt, und klicken Sie dann auf Eigenschaften .
7. Klicken Sie im Select a Property to anzeigen auf Anzeigename .
8. In der Select which Properties to anzeigen Feld, klicken Sie auf beide .
9. Geben Sie in der Zeile Attribut bearbeiten den neuen Namen des virtuellen Servers.
10. Wiederholen Sie die Schritte 5 bis 7 für DNSHostName (im vollständigen DNS-Format) und SamAccountName (die angefügt wird ein $).
11. Schalten Sie in der Clusterverwaltung die Netzwerknamenressource online.
    
    Hinweis : Nachdem Sie ADSIEdit, verwenden um den virtuellen Server-Computerobjekt umzubenennen, müssen Sie möglicherweise warten, Replikation für alle Domänencontroller die Änderungen zu erhalten.

Sie müssen das High Encryption Pack installieren.

Sie müssen das 128-Bit-High-Encryption Pack auf allen Knoten des Clusters installieren. Weitere Informationen über das High Encryption Pack und das High Encryption Pack downloaden finden Sie unter der folgenden Microsoft-Website: Wenn Sie das High Encryption Pack nicht installieren, kann nicht schalten Sie die Kerberos-fähigen Netzwerknamens-Ressource online, und die folgenden Daten im das Clusterdiagnoseprotokoll (Cluster.log) protokolliert werden: 2148073497 Decimal Status den Wert konvertiert, die 0 x 80090019 hexadezimaler Wert, der NTE_KEYSET_NOT_DEF angibt.

Mehrere Namen Netzwerkressourcen nicht online stammen.

Wenn Sie mehrere Netzwerknamenressourcen, die in der, die Kerberos-Unterstützung aktiviert ist und Sie versuchen, diese online schalten Sie zur gleichen Zeit, eine Racebedingung auftreten, und einige der Ressourcen Netzwerkname kann anfänglich ausfallen. Da standardmäßig die Ressource neu startet, Sie können nicht feststellen, dass das Netzwerk Name Ressourcen ist fehlgeschlagen. Wenn dieses Problem auftritt, werden die folgenden Daten in das Clusterdiagnoseprotokoll protokolliert: Hinweis : Dieser Fehler ist der gleiche Fehler, das auftritt, wenn das Clusterdienstkonto nicht über das Recht "Einsetzen als Teil des Betriebssystems" verfügt. Verwenden Sie das im folgenden Knowledge Base-Artikel um zu überprüfen, ob die richtigen Berechtigungen zugewiesen wurden beschriebene Verfahren:

Message Queuing-Servercluster und Windows 2000 SP3

Aktualisierungen von Windows 2000 SP1 und SP2

Wenn Sie einen Message Queuing-Servercluster auf SP3 aktualisieren, wird ein separates Dienstprogramm, mit dem Namen msmqprop.exe automatisch während der Aktualisierung ausgeführt. Dieses Dienstprogramm scannt den Cluster automatisch und legt die RequireKerberos -Eigenschaft auf 1 auf alle Message Queuing-Ressource abhängig ist Netzwerknamenressource fest. Für msmqprop.exe zum Ausführen der Clusterdienst, die auf Windows 2000 installiert ist ausgeführt werden muss, SP1 oder SP2 (keine RTM). Msmqprop.exe erstellt eine Protokolldatei im Ordner mit dem Namen msmqprop.log, womit alle Aktionen, die Ausführung Windows_folder.

Berechtigungen für das Computerobjekt

Windows 2000 Message Queuing-Servercluster mit Service Pack 3 erforderlich Berechtigungen in der Domäne. Das Clusterdienstkonto muss die "Untergeordnete Objekte erstellen" für den virtuellen Server-Computerobjekt Berechtigung. Diese zusätzliche Berechtigung ist erforderlich, da Message Queuing untergeordnete Objekte unterhalb des virtuellen Servers Computerobjekt erstellt. Diese Berechtigungen hinzufügen möchten, führen Sie diese Schritte auf der Domänencontroller:

1. Starten Sie Active Directory-Benutzer und -Computer aus dem Ordner Verwaltung.
2. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen .
3. Erweitern Sie die Domäne, und doppelklicken Sie auf den virtuellen Server-Computerobjekt, die Message Queuing abhängig werden.
4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann auf Hinzufügen .
5. Erweitern Sie die Domäne, doppelklicken Sie auf das Clusterdienstkonto, und klicken Sie dann auf OK .
6. Klicken Sie auf das Clusterdienstkonto, wählen Sie die für Alle untergeordneten Objekte erstellen Kontrollkästchen, und klicken Sie dann auf OK .

Das Cluster-Dienstkonto verfügt jetzt untergeordnete Objekte auf dem Computerobjekt virtueller Server erstellen ermöglicht die Erstellung des Objekts Message Queuing Berechtigungen. Wenn mehrere Domänencontroller vorhanden sind, müssen Sie möglicherweise warten, damit die Änderungen auf alle Domänencontroller angewendet werden-Replikation.

Neue Installation eines Message Queuing-Serverclusters

Zum Erstellen eines Message Queuing-Server-Clusters mithilfe von Kerberos-Authentifizierung durch Windows 2000 SP3 ausführen:

1. Installieren Sie Windows 2000 auf allen Knoten im Cluster.
   
   Eine schrittweise Anleitung zum Ausführen dieser Aufgabe die folgenden Microsoft-Website:
   http://technet.microsoft.com/en-us/library/Bb727114.aspx

   (http://technet.microsoft.com/en-us/library/Bb727114.aspx)
2. Deaktivieren Sie alle Knoten außer Node_A.
3. Konfigurieren Sie den freigegebenen Datenträger aus Node_A.
4. Mit Hilfe der Systemsteuerung installieren und Konfigurieren von Microsoft-Clusterdienst und Message Queuing auf Node_A.
   
   Hinweis: Installieren Sie Message Queuing mithilfe des Tools Software, aber eine Message Queuing-Clusterressource für Message Queuing zu diesem Zeitpunkt nicht erstellt.
5. Aktivieren Sie die anderen Knoten im Cluster.
6. Mit Hilfe der Systemsteuerung installieren und konfigurieren Microsoft-Clusterdienst und Message Queuing auf den verbleibenden Knoten im cluster
   
   Hinweis : Microsoft Cluster Service Verknüpfung der vorhandenen cluster installieren Sie Message Queuing, und Message Queuing-Clusterressource für Message Queuing zu diesem Zeitpunkt nicht machen lassen.
7. Anwenden von SP3 auf Node_A, und starten Sie den Computer neu.
   
   Jede Gruppe, die Besitzer Node_A wurde wird auf einem anderen Knoten im Cluster ausgeführt.
8. SP3 auf allen Knoten im Cluster anwenden.
9. Führen Sie Comclust zum Konfigurieren von Microsoft Distributed MSDTC (Transaction Coordinator)-Ressource auf dem Cluster. Weitere Informationen zum Verwenden von Comclust finden Sie im folgenden Artikel der Microsoft Knowledge Base:
   243204

   (http://support.microsoft.com/kb/243204/ )

   Wiederherstellungstechniken in Windows 2000 Cluster Server Microsoft Distributed Transaction Coordinator (MSDTC)
10. Umbenennen einer vorhandenen Gruppe (andere als die Cluster-Gruppe) eine Datenträgerressource zu einem entsprechenden Namen (z. B. Message Queuing Group.
11. Erstellen Sie in Message Queuing Group eine IP-Adressressource und eine Netzwerknamenressource (Message Queuing Cluster Name), und lassen Sie Sie offline.
12. Führen Sie eine Eingabeaufforderung auf Node_A den folgenden Befehl aus:
    cluster Res "Message Queuing-Cluster-Name" / priv Requirekerberos = 1:dword
13. Stellen Sie sicher, dass die RequireKerberos korrekt festgelegt wurde und es einen DWORD-Wert ist. Dazu an einer Eingabeaufforderung den folgenden Befehl:
    Cluster Res "Message Queuing-Cluster-Name" / Priv
    Wenn "D" in der äußersten linken Spalte für erscheint der RequireKerberos = 1 , Eigenschaft, diese Eigenschaft ist ein DWORD-Wert.
14. Erhalten Sie online Message Queuing Group für Node_A.
    
    Hinweis: Wenn Message Queuing Cluster Name nicht online geschaltet, überprüfen Sie die Schritte in den folgenden Microsoft Knowledge Base-Artikeln zur Problembehandlung:
    302389

    (http://support.microsoft.com/kb/302389/ )

    Beschreibung der Eigenschaften des Cluster-Netzwerknamenressource in Windows Server 2003
    307532

    (http://support.microsoft.com/kb/307532/ )

    Behebung das Clusterdienstkonto von Computerobjekten
15. Starten Sie Active Directory-Benutzer und-Computer, und dann überprüfen Sie, ob ein Computerobjekt für Message Queuing Cluster Name erstellt wurde.
16. Verschieben Sie Message Queuing Group, die alle Knoten im Cluster um zu überprüfen, dass Kerberos-Unterstützung auf allen Knoten ordnungsgemäß ausgeführt wird.
17. Folgen Sie den Anweisungen in der in diesem Artikel im Abschnitt "Berechtigungen auf dem Computer Objekt" dem Clusterdienstkonto die richtigen Berechtigungen zum Erstellen des Message Queuing-Objekts erteilen.
18. Erstellen Sie eine Message Queuing-Ressource in Message Queuing Group, und schalten Sie diese Ressource online.
19. Verschieben Sie Message Queuing Group auf alle Knoten im Cluster um sicherzustellen, dass Message Queuing-Ressource auf allen Knoten im Cluster ausgeführt wird.

Der Dateireplikationsdienst und Servercluster

Der Dateireplikationsdienst (FRS) repliziert nicht mit einer Dateifreigabe, die auf einem Servercluster unter Computerobjekt virtueller Server ist. Der Dateireplikationsdienst sucht nur nach Abonnementinformationen unter dem Knoten Computerobjekt und durchsucht nicht Computerobjekt des virtuellen Servers. Das verteilte Dateisystem (DFS) verwendet FRS zum Replizieren von Daten zwischen mehreren Servern Wenn eine Replikationsrichtlinie für die aktiviert ist. Wenn die DFS-Verknüpfung mit der Replikationsrichtlinie einen virtuellen Server handelt, ist Daten nicht mit anderen Partner repliziert. Sie müssen möglicherweise eine andere Methode (z. B. eine Datei kopieren Skript) replizieren die Daten verwenden.

Aufgaben von Windows Installer-Paketen, die auf Computern mit Gruppenrichtlinien jetzt zugewiesen sind

In früheren Versionen von Windows 2000 kann nicht Windows Installer-Paket, das auf einem Server Cluster-Dateifreigabe gespeichert ist bereitgestellt werden, da das Computerkonto, das das Paket empfängt nur mithilfe von Kerberos und nicht NTLM authentifiziert. In Windows 2000 SP3 Wenn der Wert der RequireKerberos -Eigenschaft auf 1 für die Netzwerknamenressource, die die Datei freigeben freigeben Ressource abhängig, der Windows Installer wird mithilfe von Gruppenrichtlinien bereitgestellt. Siehe Abschnitt von der "aktivieren auf Kerberos Support auf einer vorhandenen Cluster, wird SP3 installiert" in diesem Artikel Weitere Informationen zum Aktivieren von Kerberos unterstützen.

Deaktivieren von Kerberos-Unterstützung für einen virtuellen Server

Wenn treten Authentifizierungsprobleme, nachdem Sie die Kerberos aktiviert die Unterstützung für den virtuellen Server, können Sie die Unterstützung deaktivieren. Kerberos-Unterstützung deaktivieren, müssen Sie das entsprechende Computerobjekt manuell löschen.

1. Starten Sie der Clusterverwaltung, wählen Sie die entsprechende Namen-Ressource für die Sie die Kerberos-Unterstützung deaktivieren möchten, und schalten Sie die Ressource offline.
2. Öffnen Sie eine Eingabeaufforderung auf einem der Clusterknoten, und geben Sie folgenden Befehl:
   cluster Res "Netzwerk-Namensressource" / priv Requirekerberos = 0
3. Starten Sie Active Directory-Benutzer und-Computer, und löschen Sie das entsprechende Computerobjekt.
4. In der Clusterverwaltung die Netzwerknamenressource wieder online zu schalten.

Ändern von Domänen mit Kerberos aktiviert

Wenn Sie versuchen, die Domäne zu ändern, der die Clusterknoten Mitglied sind, nachdem Kerberos aktiviert wurde, wird die nicht online geschaltet. Um dieses Problem zu beheben, legen RequireKerberos = 0 einmal in der neuen Domäne online zu bringen, und legen Sie dann RequireKerberos = 1, so dass der Clusterdienst kein neues Computerobjekt in der neuen Domäne erstellt wird. Möglicherweise müssen zum Löschen des Eintrags in DNS, und überprüfen, ob es aktualisiert wird.

Allgemeine Informationen zu Domänen für Cluster-Knoten ändern finden Sie die Artikel der Microsoft Knowledge Base:

Informationsquellen