Prise en charge de Kerberos sur les clusters de serveurs Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 235529 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F235529
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique la prise en charge de l'authentification Kerberos pour les clusters de serveurs Windows 2000 ajoutés au Service Pack 3 Windows 2000. Avec les versions de Windows 2000 antérieures au SP3, le service de cluster ne publie pas les objets Ordinateur des serveurs virtuels dans Active Directory. Cela signifie que les serveurs virtuels ne procèdent à l'authentification qu'à l'aide de NTLM ou NTLM version 2. Avec Windows 2000 SP3, vous pouvez configurer les serveurs virtuels de façon à ce qu'ils autorisent les clients à s'authentifier avec le protocole d'authentification Kerberos. Si cette possibilité est activée, un objet Ordinateur est créé pour chaque ressource de nom de réseau correspondante.

L'authentification Kerberos pour la ressource de nom de réseau dont dépend Microsoft Exchange 2000 n'est pas prise en charge sur un cluster de serveurs. Exchange 2000 n'a pas été testé dans la perspective qu'un serveur de clusters virtuel prenne en charge l'authentification Kerberos ; il se peut que cette configuration ne fonctionne pas correctement. Les prochaines versions d'Exchange Server pourront tirer parti de l'authentification Kerberos pour les clusters de serveurs.

Important : notez que l'authentification Kerberos est prise en charge sur un cluster SQL Server.

Pour plus d'informations sur l'authentification Kerberos pour Windows 2000 SP3, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
302389 Description des propriétés de la ressource de nom de réseau de cluster dans Windows Server 2003
Pour plus d'informations sur la prise en charge de l'authentification Kerberos dans SQL Server pour les clusters de serveurs, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
319723 Prise en charge de Kerberos dans SQL Server 2000 incluant les serveurs virtuels SQL Server de clusters de serveurs

Plus d'informations

Les sections suivantes expliquent comment activer la prise en charge de Kerberos, ainsi que certains problèmes identifiés qui se produisent avec les clusters de serveurs Windows 2000 SP3 et Kerberos.

Comment faire pour activer la prise en charge de Kerberos sur un cluster existant avec le Service Pack 3 installé

Pour activer Kerberos afin qu'un objet ordinateur soit créé pour un serveur virtuel existant :

Remarque Dans cette section « ressource de cluster de nom de réseau » fait référence au nom de ressource en cluster du nom de réseau tel qu'il apparaît sous l'onglet Général des propriétés de la ressource en cluster du nom de réseau.
  1. Sur chaque n?ud du cluster, vérifiez que le droit d'utilisateur « Agir en tant que partie du système d'exploitation » a été accordé au compte de service de cluster sur les n?uds locaux.

    À cette fin, suivez les instructions décrites dans la section « Le compte du service de cluster ne dispose pas de droits d'utilisateur suffisants sur le n?ud local » de l'article suivant dans la Base de connaissances Microsoft :
    307532 Comment faire pour dépanner le compte de service de cluster lorsqu'il modifie des objets ordinateur
  2. Vérifiez que le compte de service de cluster possède les autorisations appropriées dans Active Directory. À cette fin, suivez les instructions de l'article suivant dans la Base de connaissances Microsoft :
    302389 Description des propriétés de la ressource de nom de réseau de cluster dans Windows Server 2003
  3. Appliquez le Service Pack 3 à tous les n?uds du cluster.
  4. Démarrez l'Administrateur de cluster, sélectionnez la ressource de nom de réseau pour laquelle vous voulez activer la prise en charge Kerberos, puis placez la ressource hors connexion.
  5. Ouvrez une invite de commandes sur l'un des n?uds de cluster, puis tapez la commande suivante :
    cluster res "ressource_nom_réseau" /priv requirekerberos=1:dword
  6. À partir de l'Administrateur de cluster, placez la ressource de nom de réseau en ligne.
Vous pouvez aussi utiliser cette procédure pour activer la propriété RequireDNS. À cette fin, substituez RequireDNS à RequireKerberos quand cette dernière propriété est spécifiée. Si vous utilisez la propriété RequireDNS, vous pouvez vous assurer que la ressource ne se connecte en ligne que si les enregistrements DNS du serveur virtuel ont été correctement inscrits. Si la propriété RequireDNS est définie avec la valeur 1, l'enregistrement DNS HOST (A) du serveur virtuel doit être inscrit. Si tel n'est pas le cas, la ressource de nom de réseau n'est pas mise en ligne. Si le serveur DNS accepte les mises à jour dynamiques, mais que l'enregistrement n'est pas mis à jour, ce comportement est considéré comme un échec. Si le serveur DNS n'accepte pas les mises à jour dynamiques (anciennes versions de DNS) ou qu'aucun serveur DNS n'est associé au réseau associé de la ressource, la ressource de nom de réseau est néanmoins mise en ligne.

Généralement, si une ressource de nom de réseau n'est pas mise en ligne après que vous avez activé la prise en charge Kerberos, il se peut que le compte de service de cluster ne possède pas les autorisations appropriées sur Active Directory. Si la ressource n'est pas mise en ligne, consultez l'article suivant dans la Base de connaissances de Microsoft pour plus d'informations sur les étapes de dépannage et sur la façon de vérifier que le compte de service de cluster possède l'accès en écriture à Active Directory :

307532 Comment faire pour dépanner le compte de service de cluster lorsqu'il modifie des objets ordinateur
REMARQUE : si cette installation particulière de Windows 2000 constitue une mise à niveau de Microsoft Windows NT 4.0, consultez la section « Le compte du service de cluster ne dispose pas des droits d'utilisateur suffisants sur le n?ud local » de l'article 307532 dans la Base de connaissances Microsoft. Windows NT 4.0 n'accorde pas le droit « Agir en tant que partie du système d'exploitation » au compte de service de cluster. Par conséquent, si vous effectuez une mise à niveau vers Windows 2000, ce droit n'est pas accordé. Ce droit doit être appliqué pour que la nouvelle fonctionnalité Kerberos puisse fonctionner. Les nouvelles installations de clusters de serveurs dans Windows 2000 accordent ce droit au compte de service de cluster pendant l'installation du cluster.

Comment faire pour définir la propriété RequireKerberos avant d'appliquer le Service Pack 3

Si vous définissez la propriété RequireKerberos avant de procéder à la mise à niveau et si vous avez effectué la mise à niveau d'un n?ud vers SP3, les ordinateurs client peuvent rencontrer des problèmes d'authentification pour placer les ressources en cluster pendant que le reste des n?uds du cluster est en cours de mise à niveau vers le Service Pack 3. Ce comportement peut se produire dans les situations suivantes :
  • La propriété RequireKerberos est définie avec la valeur 1 sur une ressource de nom de réseau.
  • Un n?ud de cluster est mis à niveau vers le Service Pack 3.
  • La ressource de nom de réseau est hébergée sur le n?ud mis à niveau, ce qui entraîne la création d'un objet ordinateur dans Active Directory.
  • La ressource de nom de réseau est déplacée vers un n?ud de cluster non mis à niveau vers SP3, parce que le n?ud mis à niveau échoue ou parce que le groupe de la ressource a été déplacé.
  • Un client qui se connecte au n?ud de cluster à l'aide de la ressource de nom de réseau reçoit un ticket Kerberos pour le serveur virtuel en raison de la présence de l'objet ordinateur.
  • La ressource de nom de réseau hébergée sur le n?ud de cluster non mis à niveau vers SP3 ne prend pas en charge l'authentification Kerberos et le client ne peut pas procéder à l'authentification.
Si vous avez défini la propriété RequireKerberos avec la valeur 1 avant d'avoir appliqué le Service Pack 3, vous devez définir le type de valeur de propriété avec DWORD. Si vous ne le faites pas et que vous installez le Service Pack 3, la ressource n'est pas mise en ligne. Pour corriger cette situation, vous pouvez supprimer la ressource de nom de réseau, puis la recréez ; cependant, si ce problème se produit avec la ressource de nom de cluster, vous devez réinstaller le cluster.

Pour définir la propriété RequireKerberos avant de procéder à la mise à niveau vers le Service Pack 3, exécutez la commande suivante :
cluster res "ressource_nom_réseau" /priv requirekerberos=1:dword
Pour vérifier que la propriété RequireKerberos est une valeur DWORD, exécutez la commande suivante :
cluster res "ressource_nom_réseau" /priv
Si la lettre « D » apparaît dans la colonne à l'extrémité gauche de la propriété RequireKerberos=1, cette propriété est une valeur DWORD. Si un « S » figure dans la colonne, la propriété RequireKerberos n'est pas définie correctement. Pour rectifier la propriété, exécutez la commande suivante :
cluster res "ressource_nom_réseau" /priv requirekerberos /usedefault
Après avoir vérifié la propriété, suivez les instructions de la section « Comment faire pour activer la prise en charge de Kerberos sur un cluster existant avec le Service Pack 3 installé » du présent article pour activer la prise en charge Kerberos.

Comment faire pour renommer un serveur virtuel pour lequel la prise en charge Kerberos est activée

Vous pouvez utiliser l'une ou l'autre des deux méthodes décrites dans cette section pour renommer un serveur virtuel quand l'authentification Kerberos est activée. Si vous modifiez la ressource de nom de réseau dans l'Administrateur de cluster, la ressource de nom de réseau échoue, car l'objet ordinateur n'est pas renommé. Cependant, les clusters de serveurs Windows Server 2003 peuvent modifier le nom de l'objet ordinateur correspondant.

Vous pouvez trouver la première méthode plus facile à utiliser, mais elle suppose qu'aucun objet enfant n'est associé à l'objet ordinateur dans Active Directory. Message Queuing (ou MSMQ) est un exemple de programme créant des objets enfants. Si vous choisissez la seconde méthode, vous devez utiliser ADSIEdit.msc, fourni avec Windows 2000.

Méthode 1

Si vous exécutez cette méthode, désactivez temporairement la prise en charge Kerberos du serveur virtuel, supprimez l'objet ordinateur correspondant, puis activez et recréez l'objet ordinateur :
  1. Utilisez l'Administrateur de cluster pour placer la ressource de nom de réseau correspondante hors connexion.
  2. Ouvrez une invite de commandes sur l'un des n?uds de cluster, puis tapez la commande suivante :
    cluster res "ressource_nom_réseau" /priv requirekerberos=0
  3. Démarrez Utilisateurs et ordinateurs Active Directory, puis recherchez l'unité d'organisation Ordinateurs.
  4. Dans le menu Affichage, cliquez sur Utilisateurs, Groupes et Ordinateurs en tant que conteneurs, et vérifiez qu'il n'existe aucun objet enfant.

    REMARQUE : si des objets enfants sont présents, contactez le fournisseur de programme qui les y a placés et demandez-lui de vérifier qu'il existe un moyen de recréer l'objet enfant après que l'objet ordinateur du serveur virtuel a été supprimé et recréé. Si vous ne pouvez pas recréer l'objet enfant, utilisez la méthode 2.
  5. Supprimez des Utilisateurs et Ordinateurs Active Directory les ressources de nom de réseau de l'objet ordinateur correspondant.
  6. Tandis que la ressource de nom de réseau correspondante continue d'être hors connexion, utilisez l'Administrateur de cluster pour afficher la page Paramètres de la ressource de nom de réseau, puis changez le nom du serveur virtuel.
  7. Ouvrez une invite de commandes sur l'un des n?uds de cluster, puis tapez la commande suivante :
    cluster res "ressource_nom_réseau" /priv requirekerberos=1
  8. Utilisez l'Administrateur de cluster pour mettre en ligne la ressource de nom de réseau.

    Remarque Microsoft prend uniquement en charge l'exécution de MSDTC (Microsoft Distributed Transaction Coordinator) sur les n?uds de cluster en tant que ressource en cluster. Microsoft déconseille l'exécution de MSDTC en mode autonome sur un cluster. Microsoft ne prend pas en charge cette configuration. Quand vous utilisez MSDTC dans une ressource non-cluster d'un cluster MSCS (Microsoft Cluster Service), certaines transactions peuvent devenir orphelines. Il s'ensuit une détérioration des données en cas de basculement du cluster.

Méthode 2

Si vous sélectionnez cette méthode, utilisez ADSIEdit.msc pour renommer l'objet ordinateur dans Active Directory afin qu'il corresponde à la ressource de nom de réseau dans l'Administrateur de cluster. Installez ADSIEdit.msc sur un serveur membre ou un contrôleur de domaine. Pour installer ADSIEdit, exécutez le programme d'installation du dossier Support du CD-ROM Windows 2000.
  1. Démarrez l'Administrateur de cluster, puis placez la ressource de nom de réseau correspondante hors connexion.
  2. Dans l'Administrateur de cluster, affichez la page Paramètres de la ressource de nom de réseau, puis modifiez le nom du serveur virtuel.
  3. Démarrez ADSIEdit.msc, développez le domaine, puis recherchez l'unité d'organisation Ordinateurs.
  4. Cliquez avec le bouton droit sur l'objet ordinateur de la ressource de nom de réseau correspondante, puis cliquez sur Renommer.
  5. Renommez le nom commun (également appelé CN, Common Name) de l'objet, puis appuyez sur ENTRÉE.
  6. Cliquez avec le bouton droit sur l'objet ordinateur de la ressource de nom de réseau correspondante, puis cliquez sur Propriétés.
  7. Dans la zone Sélectionnez une propriété à afficher, cliquez sur DisplayName.
  8. Dans la zone Sélectionnez les propriétés à afficher, cliquez sur Les deux.
  9. Sur la ligne Modifier l'attribut, tapez le nouveau nom du serveur virtuel.
  10. Répétez les étapes 5 à 7 pour DNSHostName (dans le format DNS complet) et SamAccountName (complété avec un $).
  11. Dans l'Administrateur de cluster, placez la ressource de nom de réseau en ligne.

    REMARQUE : après avoir utilisé ADSIEdit pour renommer l'objet ordinateur du serveur virtuel, vous devrez peut-être attendre que la réplication ait lieu pour que tous les contrôleurs de domaine reçoivent les modifications.

Vous devez installer le pack de chiffrement élevé (High Encryption Pack).

Vous devez installer le pack de chiffrement élevé 128 bits sur tous les noeuds du cluster. Pour plus d'informations sur le pack de chiffrement élevé et pour le télécharger, consultez le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/windows2000/downloads/recommended/encryption/fr.mspx
Si vous n'installez pas le pack de chiffrement élevé, vous ne pouvez pas mettre en ligne la ressource de nom de réseau avec l'authentification Kerberos activée et les données suivantes sont enregistrées dans le journal de diagnostic du cluster (Cluster.log) :
0000032c.00000628::2001/11/29-22:33:22.703 Nom_Réseau Nom_Serveur_Virtuel : Impossible d'acquérir le contexte de chiffrement, état 2148073497.
0000032c.00000628::2001/11/29-22:33:22.703 Nom_Réseau Nom_Serveur_Virtuel : Impossible de stocker les données de la ressource, état 2148073497.
La valeur décimale d'état 2148073497 est convertie en valeur hexadécimale 0x80090019, laquelle correspond à NTE_KEYSET_NOT_DEF.

Plusieurs ressources de noms de réseau ne sont pas en ligne

Si vous avez plusieurs ressources de nom de réseau dans lesquelles la prise en charge Kerberos est activée et que vous essayez de toutes les placer en ligne en même temps, il peut se produire une situation de concurrence et certaines ressources de nom de réseau peuvent échouer la première fois. Comme la ressource redémarre par défaut, il se peut que vous ne remarquiez pas l'échec de ressources de nom de réseau. Si le problème se produit, les données suivantes sont enregistrées dans le journal de diagnostic du cluster :
Impossible d'activer les privilèges TCB, état C0000061 (STATUS_PRIVILEGE_NOT_HELD)
Impossible d'ajouter les informations d'identification à l'autorité de sécurité locale pour le compte d'ordinateur, état du cluster 1314
REMARQUE : cette erreur est la même que celle qui se produit si le compte de service de cluster ne possède pas le droit « Agir en tant que partie du système d'exploitation ». Utilisez la procédure décrite dans l'article suivant dans la Base de connaissances Microsoft pour vérifier que les droits appropriés ont été attribués :

307532 Comment faire pour dépanner le compte de service de cluster lorsqu'il modifie des objets ordinateur

Clusters de serveurs Message Queuing et Windows 2000 SP3

Mises à niveau à partir de Windows 2000 SP1 et SP2

Si vous mettez à niveau un cluster de serveur Message Queuing vers SP3, un utilitaire distinct intitulé Msmqprop.exe s'exécute automatiquement pendant la mise à niveau. Il parcourt automatiquement le cluster et définit la propriété RequireKerberos avec la valeur 1 sur toute ressource de nom de réseau dont dépend la ressource Message Queuing. Pour que Msmqprop.exe s'exécute, le service de cluster installé sur Windows 2000 doit exécuter le Service Pack 1 ou 2 (et non RTM). Msmqprop.exe crée un fichier journal dans le dossier dossier_Windows, intitulé Msmqprop.log et dans lequel sont enregistrées toutes les actions qu'il exécute.

Autorisations sur l'objet ordinateur

Les clusters de serveur Message Queuing pour Windows 2000 avec le Service Pack 3 requièrent des autorisations dans le domaine. Le compte du service de cluster doit avoir l'autorisation « Créer des objets enfants » sur l'objet ordinateur du serveur virtuel. Cette autorisation supplémentaire est exigée, car Message Queuing crée les objets enfants sous l'objet ordinateur du serveur virtuel. Pour ajouter ces autorisations, exécutez les étapes suivantes sur le contrôleur de domaine :
  1. Démarrez Utilisateurs et ordinateurs Active Directory à partir du dossier Outils d'administration.
  2. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.
  3. Développez le domaine, puis double-cliquez sur l'objet ordinateur du serveur virtuel dont dépendra Message Queuing.
  4. Cliquez sur l'onglet Sécurité, puis sur Ajouter.
  5. Développez le domaine, double-cliquez sur le compte de service de cluster, puis cliquez sur OK.
  6. Cliquez sur le compte de service de cluster, activez la case à cocher Créer tous les objets enfants, puis cliquez sur OK.
Le compte de service de cluster possède maintenant les autorisations pour créer des objets enfants sur l'objet ordinateur des serveurs virtuels qui autorise la création de l'objet Message Queuing. S'il existe plusieurs contrôleurs de domaine, vous devrez peut-être attendre que la réplication ait lieu pour que les modifications soient appliquées à tous les contrôleurs de domaine.

Nouvelle installation d'un cluster de serveur Message Queuing

Pour créer un cluster de serveur Message Queuing utilisant l'authentification Kerberos en exécutant Windows 2000 Service Pack 3 :
  1. Installez Windows 2000 sur tous les n?uds du cluster.

    Pour les instructions pas à pas permettant d'effectuer cette tâche, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/clustep.mspx
  2. Désactivez tous les n?uds à l'exception de N?ud_A.
  3. Configurez le disque partagé à partir de N?ud_A.
  4. Utilisez le Panneau de configuration pour installer et configurer le service Microsoft Cluster ainsi que Message Queuing sur N?ud_A.

    REMARQUE : installez Message Queuing à l'aide de l'outil Ajout/Suppression de programmes, mais ne créez pas pour l'instant de ressource de cluster Message Queuing pour Message Queuing.
  5. Activez les autres n?uds du cluster.
  6. Utilisez le Panneau de configuration pour installer et configurer le service Microsoft Cluster ainsi que Message Queuing sur les n?uds restants du cluster.

    REMARQUE : Faites en sorte que le service Microsoft Cluster rejoigne le cluster existant et installez Message Queuing, mais ne créez pas pour l'instant de ressource de cluster Message Queuing pour Message Queuing.
  7. Appliquez le Service Pack 3 à N?ud_A, puis redémarrez l'ordinateur.

    Tout groupe dont N?ud_A a été propriétaire échouera sur un autre n?ud du cluster.
  8. Appliquez le Service Pack 3 à tous les autres n?uds du cluster.
  9. Exécutez Comclust pour configurer une ressource MSDTC (Microsoft Distributed Transaction Coordinator) sur le cluster. Pour plus d'informations sur l'utilisation de Comclust, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    243204 Techniques de récupération MSDTC (Microsoft Distributed Transaction Coordinator) dans les serveurs de clusters Windows 2000
  10. Renommez un groupe existant (autre que le groupe de clusters) qui contient une ressource disque avec un nom approprié (par exemple, Groupe_Message_Queuing.
  11. Dans Groupe_Message_Queuing, créez une ressource IP et une ressource de nom de réseau (Nom_Cluster_Message_Queuing), puis laissez-les hors connexion.
  12. À partir de l'invite de commandes sur N?ud_A, exécutez la commande suivante :
    cluster res "Nom_Cluster_Message_Queuing" /priv requirekerberos=1:dword
  13. Vérifiez que la propriété RequireKerberos a été correctement définie et qu'il s'agit d'une valeur DWORD. À cette fin, exécutez la commande suivante à partir d'une invite :
    cluster res "Nom_Cluster_Message_Queuing" /priv
    Si la lettre « D » apparaît dans la colonne située à l'extrémité gauche de la propriété RequireKerberos=1, cette propriété est une valeur DWORD.
  14. Placez Groupe_Message_Queuing en ligne pour N?ud_A.

    REMARQUE : Si Nom_Cluster_Message_Queuing n'est pas en ligne, reportez-vous aux étapes de dépannage des articles suivants dans la Base de connaissances Microsoft :
    302389 Description des propriétés de la ressource de nom de réseau de cluster dans Windows Server 2003
    307532 Comment faire pour dépanner le compte de service de cluster lorsqu'il modifie des objets ordinateur
  15. Démarrez Utilisateurs et ordinateurs Active Directory, puis vérifiez qu'un objet ordinateur a été créé pour la ressource Nom_Cluster_Message_Queuing.
  16. Déplacez Groupe_Message_Queuing vers tous les n?uds du cluster afin de vérifier que la prise en charge Kerberos s'exécute correctement sur tous les n?uds.
  17. Suivez les instructions de la section « Autorisations sur l'objet ordinateur » de cet article pour fournir au compte de service de cluster les autorisations adéquates pour créer l'objet Message Queuing.
  18. Créez une ressource Message Queuing dans Groupe_Message_Queuing, puis placez la ressource en ligne.
  19. Déplacez Groupe_Message_Queuing vers tous les n?uds du cluster afin de vérifier que la ressource Message Queuing s'exécute sur tous les n?uds du cluster.

Service de réplication de fichiers et clusters de serveurs

Le service de réplication de fichiers n'effectue pas de réplication avec un partage de fichiers qui se trouve sur un cluster de serveurs sous l'objet ordinateur d'un serveur virtuel. Le service de réplication de fichiers (FRS) recherche seulement les informations d'inscription sous l'objet ordinateur du n?ud et ne parcourt pas l'objet d'ordinateur du serveur virtuel. Le système de fichiers DFS (Distributed File System) utilise le service de réplication de fichiers pour répliquer des données sur plusieurs serveurs quand une stratégie de réplication est activée. Si le lien DFS avec la stratégie de réplication est un serveur virtuel, les données ne sont pas répliquées avec un autre partenaire, quel qu'il soit. Vous devrez peut-être utiliser une autre méthode pour répliquer les données (un script de copie de fichiers, par exemple).

Les packages Windows Installer attribués aux ordinateurs avec une Stratégie de groupe fonctionnent désormais.

Dans les versions antérieures de Windows 2000, un package Windows Installer stocké sur le partage de fichiers d'un cluster de serveurs ne peut pas être déployé, car le compte ordinateur qui reçoit le package n'effectue l'authentification qu'à l'aide de Kerberos et pas de NTLM. Dans Windows 2000 SP3, si vous définissez la propriété RequireKerberos avec la valeur 1 pour la ressource de nom de réseau dont dépend la ressource de partage de fichiers, le package Windows Installer est déployé à l'aide de la Stratégie de groupe. Consultez la section « Comment faire pour activer la prise en charge de Kerberos sur un cluster existant avec le Service Pack 3 installé » de cet article pour plus d'informations sur l'activation de la prise en charge Kerberos.
Comment faire pour désactiver la prise en charge Kerberos sur un serveur virtuel
Si vous rencontrez des problèmes d'authentification après avoir activé la prise en charge Kerberos sur le serveur virtuel, vous pouvez désactiver la prise en charge. Pour désactiver la prise en charge Kerberos, vous devez supprimer manuellement l'objet ordinateur correspondant.
  1. Démarrez l'Administrateur de cluster, sélectionnez la ressource de nom de réseau correspondante pour laquelle vous voulez désactiver la prise en charge Kerberos, puis placez la ressource hors connexion.
  2. Ouvrez une invite de commandes sur l'un des n?uds de cluster, puis tapez la commande suivante :
    cluster res "ressource_nom_réseau" /priv requirekerberos=0
  3. Démarrez Utilisateurs et ordinateurs Active Directory, puis supprimez l'objet ordinateur correspondant.
  4. À partir de l'Administrateur de cluster, placez à nouveau la ressource de nom de réseau en ligne.

Modification de domaines avec prise en charge Kerberos activée

Si vous essayez de changer le domaine dont les n?uds de cluster sont membres après que Kerberos a été activé, le nom de réseau ne parviendra pas à se placer en ligne. Pour résoudre ce problème, spécifiez RequireKerberos=0 une fois dans le nouveau domaine, placez-le en ligne, puis spécifiez RequireKerberos=1 afin que le service de cluster crée un nouvel objet ordinateur dans le nouveau domaine. Vous devrez peut-être supprimer l'enregistrement dans DNS et vérifier qu'il a été mis à jour.

Pour plus d'informations sur la modification des domaines des n?uds de cluster, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
269196 Comment faire pour déplacer un serveur de clusters Windows NT 4.0 d'un domaine vers un autre

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
307532 Comment faire pour dépanner le compte de service de cluster lorsqu'il modifie des objets ordinateur
302389 Description des propriétés de la ressource de nom de réseau de cluster dans Windows Server 2003
303121 Comment faire pour installer BizTalk 2000 sur Microsoft Cluster Server
256975 Comment faire pour installer et configurer Message Queuing sur un cluster Windows 2000

Propriétés

Numéro d'article: 235529 - Dernière mise à jour: vendredi 26 octobre 2007 - Version: 9.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 3
Mots-clés : 
kbinfo kbwin2000sp3fix kboswin2000fix kbclustering kbproductlink KB235529
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com