Manuelles Neuerstellen eines Cluster-Dienstkontos

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 269229 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
269229 How to manually re-create the Cluster service account
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Bei der Installation des Microsoft Cluster-Dienstes werden dem ausgewählten Domänenkonto Rechte zugewiesen, die erforderlich sind, damit der Cluster-Dienst ordnungsgemäß funktioniert. Soll das Konto einmal geändert oder neu erstellt werden, müssen Sie dem Domänenkonto, mit dem der Cluster-Dienst gestartet wird, diese Rechte auf jedem Clusterknoten wieder zuweisen. Stellen Sie außerdem sicher, dass die Sicherheitsrichtlinien keine Berechtigungen vom Cluster-Dienstkonto entfernen. Werden Berechtigungen vom Cluster-Dienstkonto entfernt, funktioniert der Cluster-Dienst möglicherweise nicht mehr.

Weitere Informationen

Das Konto, mit welchem der Cluster-Dienst gestartet wird, muss mindestens ein Benutzerkonto auf Domänenebene sein und es muss zur lokalen Administratorengruppe auf jedem Knoten im Cluster hinzugefügt werden. Fügen Sie das Konto zur lokalen Administratorengruppe auf jedem Knoten im Cluster hinzu. Verwenden Sie hierfür entweder das Benutzer-Manager-Tool in Microsoft Windows NT 4.0, oder die Computerverwaltung in Microsoft Windows 2000 Server oder Microsoft Windows Server 2003.

Hinweis: Viele der in diesem Abschnitt erwähnten Rechte werden "stellvertretend" erteilt. Das Cluster-Dienstkonto muss Mitglied der lokalen Administratorengruppe auf dem Knoten sein. Wenn die lokale Administratorengruppe über eine bestimmte Berechtigung verfügt, müssen Sie daher normalerweise nicht das Cluster-Dienstkonto hinzufügen. Wenn Sie Schwierigkeiten mit den Rechten für das Cluster-Dienstkonto haben, können Sie alle Rechte explizit dem Konto erteilen, das den Cluster-Dienst startet. In Windows Server 2003 müssen Sie das Cluster-Dienstkonto explizit der lokalen Administratorengruppe von jedem Knoten zuordnen. Weitere Informationen zu einem verwandten Thema finden Sie im folgenden Artikel der Microsoft Knowledge Base:
812877 Clusterdienst wird nach Aktualisierung auf Windows Server 2003 Enterprise Edition nicht mehr gestartet
Stellen Sie sicher, dass die folgenden Benutzerrechte entweder der lokalen Administratorengruppe oder dem Cluster-Dienstkonto auf Domänenebene gewährt werden.

Windows Server 2003

Hinweis: Wenn Sie das Konto ändern, mit dem der Cluster-Dienst gestartet wird, müssen Sie die Computerverwaltung für Windows Server 2003 verwenden, um die Kontoinformationen auf jedem Knoten im Cluster zu ändern. Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie die Computerverwaltung für Windows Server 2003, erweitern Sie den Zweig Dienste und Anwendungen, und klicken Sie dann auf den Zweig Dienste.
  2. Doppelklicken Sie im rechten Fensterbereich auf Cluster-Dienst. Wählen Sie die Registerkarte Anmelden und aktualisieren Sie anschließend die Kontoinformationen.
Damit das Cluster-Dienstkonto ordnungsgemäß in Microsoft Windows Server 2003 funktioniert, benötigt das Konto explizit die folgenden Rechte für alle Knoten im Cluster:
  • Einsetzen als Teil des Betriebssystems
  • Anpassen von Speicherkontingenten für einen Prozess
  • Sichern von Dateien und Verzeichnissen
  • Anheben der Zeitplanungsprioritäten
  • Anmelden als Dienst
  • Wiederherstellen von Dateien und Verzeichnissen
Stellen Sie auch sicher, dass die lokale Administratorengruppe Zugriff auf die folgenden Benutzerrechte hat:
  • Programme debuggen
  • Identität des Clients nach Authentifizierung übernehmen
  • Verwalten von Überwachungs- und Sicherheitsprotokollen
Sie können diese Rechte in den folgenden Verzeichnissen erteilen:
Lokale Sicherheitsrichtlinie\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Hinweis: Wenn Sie eine Gruppenrichtlinieneinstellung erstellen, um die Richtlinieneinstellung Berechtigung zum Annehmen der Identität des Clients nach Authentifizierung zu aktualisieren, sorgen Sie dafür, dass das Cluster-Dienstkonto nicht nur in der lokalen Administratorengruppe und in dem Konto "SERVICE", sondern auch in der Richtlinieneinstellung aufgeführt ist. Wenn das Cluster-Dienstkonto nicht aufgeführt wird, hat der Computer möglicherweise keinen Zugriff mehr auf Windows Management Instrumentation (WMI). Standardmäßig werden diese Konten in der Richtlinie Berechtigung zum Annehmen der Identität des Clients nach Authentifizierung aufgelistet. Wenn Sie jedoch eine Gruppenrichtlinieneinstellung erstellen, ohne das Cluster-Dienstkonto hinzuzufügen, wird die lokale Richtlinieneinstellung überschrieben und der WMI-Zugriff schlägt fehl.

Windows 2000 Server

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie das Konto ändern, mit dem der Cluster-Dienst gestartet wird:
  1. Klicken Sie auf dem Desktop auf Start und dann auf Alle Programme.
  2. Klicken Sie auf Verwaltung, und klicken Sie dann auf Dienste. Doppelklicken Sie im rechten Fensterbereich auf Cluster-Dienst.
  3. Wählen Sie die Registerkarte Anmelden und aktualisieren Sie die Kontoinformationen.
Damit das Cluster-Dienstkonto ordnungsgemäß funktioniert, sind die folgenden Rechte auf allen Knoten im Cluster erforderlich:
  • Einsetzen als Teil des Betriebssystems.
  • Sichern von Dateien und Verzeichnissen.
  • Anheben von Quoten.
  • Anheben der Zeitplanungspriorität.
  • Laden und Entfernen von Gerätetreibern.
  • Seiten im Speicher sperren.
  • Anmelden als Dienst.
  • Wiederherstellen von Dateien und Verzeichnissen.
Stellen Sie auch sicher, dass die lokale Administratorengruppe Zugriff auf die folgenden Benutzerrechte hat:
  • Programme debuggen
  • Identität des Clients nach Authentifizierung übernehmen
  • Verwalten von Überwachungs- und Sicherheitsprotokollen
Sie können diese Rechte im folgenden Verzeichnis erteilen:
Lokale Sicherheitsrichtlinie\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Windows NT 4.0

Für die Konfiguration der Benutzerrechte auf einem Windows NT 4.0-Clusterknoten, klicken Sie auf Benutzer-Manager, klicken Sie auf Richtlinien, und klicken Sie auf Benutzerrechte. Klicken Sie auf Weitere Benutzerrechte anzeigen.

Damit das Cluster-Dienstkonto ordnungsgemäß funktioniert, sind die folgenden Rechte auf allen Knoten im Cluster erforderlich:
  • Sichern von Dateien und Verzeichnissen
  • Anheben von Quoten
  • Anheben der Zeitplanungspriorität
  • Laden und Entfernen von Gerätetreibern
  • Seiten im Speicher sperren
  • Anmelden als Dienst
  • Wiederherstellen von Dateien und Verzeichnissen

Weitere Punkte, die zu berücksichtigen sind

Wenn Sie eine erforderliche Berechtigung vom Cluster-Dienstkonto entfernen, führt dies möglicherweise zu einem unerwarteten Verhalten. Der Cluster-Dienst startet möglicherweise nicht, oder er erstellt möglicherweise keine geclusterten Ressourcen oder stellt diese Ressourcen möglicherweise nicht online zur Verfügung. Wenn der Cluster-Dienst oder die lokale Administratorengruppe beispielsweise nicht über eine bestimmte Benutzerberechtigung verfügen, kann die Benutzerrechtezuordnung Verwalten des Überwachungs- und Sicherheitsprotokolls keine MSDTC (Microsoft Distributed Transaction Coordinator)-Ressource erstellen, da der Cluster-Dienst nicht die erforderlichen Kryptografieprüfpunkt-Einstellungen erstellen kann.

Möglicherweise kann auch ein anderes Beispiel für dieses Problem auftreten, wenn Sie die Benutzerberechtigung Auf diesen Computer vom Netzwerk aus zugreifen ändern. Sie können diese Benutzerberechtigung im folgenden Verzeichnis ändern:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardmäßig wird beiden Gruppen, "Jeder" und "Administrator", diese Berechtigung erteilt. Wenn Sie jedoch diese Berechtigung von diesen Gruppen entfernen, und nicht speziell das Cluster-Dienstkonto hinzufügen, können Sie möglicherweise keine Knoten an einen bestehenden Knoten anschließen. Außerdem wird möglicherweise die Fehlermeldung "Zugriff verweigert" angezeigt, wenn Sie versuchen, mit der Clusterverwaltung (Cluadmin.exe) auf den Cluster zuzugreifen.

Wenn eine Organisation Gruppenrichtlinienobjekte implementiert, welche die lokalen Sicherheitsrichtlinien überschreiben und eine Benutzerberechtigung aus dem Cluster-Dienst durch Ändern der effektiven Benutzerrechte entfernen, funktioniert der Cluster-Dienst zu einem bestimmten Zeitpunkt nicht mehr. Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Erstellen Sie eine Organisationseinheit (OE) in der Domäne oder in der Gesamtstruktur, und sperren Sie dann das Vererben von Richtlinien in dieser OE.
  2. Verschieben Sie die Clusterknoten in diese OE.
  3. Halten Sie den Cluster-Dienst an und starten Sie ihn auf jedem Knoten neu, um die neuen Benutzerrechte zu vererben.
Wenn Sie die Kerberos-Authentifizierung für einen der virtuellen Server des Clusters aktiviert haben und Sie das Cluster-Dienstkonto ändern, hat dies möglicherweise Auswirkungen auf den Zugriff auf das Computerobjekt im Active Directory-Verzeichnisdienst. Lesen Sie den folgenden Artikel der Microsoft Knowledge Base, bevor Sie das Kerberos-Protokoll für beliebige virtuelle Server aktivieren.
307532 Problembehandlung für das Clusterdienstkonto bei Änderung von Computerobjekten
Sorgen Sie außerdem dafür, dass der Cluster-Dienst über die folgenden Benutzerrechte für Computerobjekte in der entsprechenden OE verfügt:
  • Kennwort zurücksetzen
  • Kennwort ändern
  • Bestätigter Schreibvorgang an den Hostnamen
  • Bestätigter Schreibvorgang an den ServicePrincipalName

Eigenschaften

Artikel-ID: 269229 - Geändert am: Freitag, 26. Oktober 2007 - Version: 8.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Keywords: 
kbhowto kbclustering kbproductlink KB269229
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com