クラスタ サービス アカウントを手動で再作成する方法

文書翻訳 文書翻訳
文書番号: 269229 - 対象製品
この記事は、以前は次の ID で公開されていました: JP269229
すべて展開する | すべて折りたたむ

目次

概要

Microsoft クラスタ サービスのインストール中、指定したドメイン アカウントに対して、クラスタ サービスを正常に動作させるために必要な権利が与えられます。アカウントを変更または再度作成する必要がある場合は、クラスタの各ノードで、クラスタ サービスの開始に使用するドメイン アカウントにこれらの権利を手動で与える必要があります。また、セキュリティ ポリシーによってクラスタ サービス アカウントから権利やアクセス許可が削除されていないことを確認してください。クラスタ サービス アカウントから権利またはアクセス許可が削除されると、クラスタ サービスが動作しなくなることがあります。

詳細

クラスタ サービスの開始に使用するアカウントは、少なくともドメイン レベルのユーザー アカウントである必要があり、クラスタの各ノードのローカル管理者グループに追加する必要があります。クラスタの各ノードのローカル管理者グループにアカウントを追加するには、Microsoft Windows NT 4.0 の場合はユーザー マネージャ、Microsoft Windows 2000 Server と Microsoft Windows Server 2003 の場合はコンピュータの管理を使用します。

: ここで説明している権利の多くは "代理で" 与えられます。クラスタ サービス アカウントは、ノードのローカル管理者グループのメンバである必要があります。そのため、ローカル管理者グループに必要な権利が与えられていれば、通常、クラスタ サービス アカウントを作成する必要はありません。一方、クラスタ サービス アカウントの権利を管理することが難しい場合は、クラスタ サービスを開始するアカウントにすべての権利を直接、明示的に与える方法もあります。Windows Server 2003 では、各ノードのローカル管理者グループにクラスタ サービス アカウントを明示的に割り当てる必要があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
812877 Windows Server 2003 Enterprise Edition にアップグレード後、クラスタ サービスが開始されない
ローカル管理者グループまたはドメイン レベルのクラスタ サービス アカウントに以下のユーザー権利が与えられていることを確認します。

Windows Server 2003

: クラスタ サービスの開始に使用するアカウントを変更する場合は、Windows Server 2003 のコンピュータの管理を使用して、クラスタの各ノードのアカウント情報を変更する必要があります。これを行うには、以下の手順を実行します。
  1. Windows Server 2003 のコンピュータの管理を起動し、[サービスとアプリケーション] を展開し、[サービス] をクリックします。
  2. 右側のウィンドウで [Cluster Service] をダブルクリックします。[ログオン] タブをクリックし、アカウント情報を変更します。
Microsoft Windows Server 2003 でクラスタが正常に動作するためには、すべてのノードのクラスタ サービス アカウントに以下の権利が明示的に与えられている必要があります。
  • オペレーティング システムの一部として機能
  • プロセスのメモリ クォータの増加
  • ファイルとディレクトリのバックアップ
  • スケジューリング優先順位の繰り上げ
  • サービスとしてログオン
  • ファイルとディレクトリの復元
また、ローカル管理者グループに以下のユーザー権利が与えられていることを確認します。
  • プログラムのデバッグ
  • 認証後にクライアントを偽装
  • 監査とセキュリティ ログの管理
これらの権利は、以下の場所で与えることができます。
ローカル セキュリティ ポリシー\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
: グループ ポリシー設定を作成して、ポリシー設定の "認証後にクライアントを偽装" 権利を更新する場合は、ポリシー設定の一覧に、ローカル管理者グループと SERVICE というアカウントに加えてクラスタ サービス アカウントが表示されることを確認してください。クラスタ サービス アカウントが一覧に表示されない場合、そのコンピュータは Windows Management Instrumentation (WMI) にアクセスできないことがあります。デフォルトでは、これらのアカウントはポリシー設定の "認証後にクライアントを偽装" 権利の一覧に表示されます。ただし、グループ ポリシー設定を作成するときにクラスタ サービス アカウントを追加しないと、ローカルのポリシー設定が上書きされ、WMI へのアクセスに失敗します。

Windows 2000 Server

: クラスタ サービスの開始に使用するアカウントを変更する場合は、以下の手順を実行します。
  1. デスクトップで、[スタート] ボタンをクリックし、[プログラム] をポイントします。
  2. [管理ツール] をポイントし、[サービス] をクリックします。右側のウィンドウで、[Cluster Service] をダブルクリックします。
  3. [ログオン] タブをクリックし、アカウント情報を変更します。
クラスタが正常に動作するためには、すべてのノードのクラスタ サービス アカウントに以下の権利が与えられている必要があります。
  • オペレーティング システムの一部として機能
  • ファイルとディレクトリのバックアップ
  • クォータの増加
  • スケジューリング優先順位の繰り上げ
  • デバイス ドライバのロードとアンロード
  • メモリ内のページのロック
  • サービスとしてログオン
  • ファイルとディレクトリの復元
また、ローカル管理者グループに以下のユーザー権利が与えられていることを確認します。
  • プログラムのデバッグ
  • 認証後にクライアントを偽装
  • 監査とセキュリティ ログの管理
これらの権利は、以下の場所で与えることができます。
ローカル セキュリティ ポリシー\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

Windows NT 4.0

Windows NT 4.0 クラスタ ノードでユーザー権利を構成するには、ユーザー マネージャを起動し、[原則] メニューの [ユーザーの権利] をクリックします。[高度なユーザー権利の表示] チェック ボックスをオンにします。

クラスタが正常に動作するためには、すべてのノードのクラスタ サービス アカウントに以下の権利が与えられている必要があります。
  • ファイルとディレクトリのバックアップ
  • クォータの増加
  • スケジューリング優先順位の繰り上げ
  • デバイス ドライバのロードとアンロード
  • メモリ内のページのロック
  • サービスとしてログオン
  • ファイルとディレクトリの復元

その他の注意事項

クラスタ サービス アカウントから必要な権利を削除すると、予期しない現象が発生することがあります。クラスタ サービスが開始しない、特定のクラスタ リソースが作成されない、特定のクラスタ リソースがオンラインにならないなどの現象が発生することがあります。たとえば、クラスタ サービスまたはローカル管理者グループに特定のユーザー権利がない場合、クラスタ サービスで必要な暗号化チェックポイントの設定を作成できないため、"監査とセキュリティ ログの管理" が割り当てられていても Microsoft 分散トランザクション コーディネータ (MSDTC) リソースを作成できません。

予期しない現象は、ユーザー権利 "ネットワーク経由でコンピュータへアクセス" を変更した場合にも発生することがあります。このユーザー権利は次の場所で変更できます。
コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
デフォルトでは、Everyone グループと Administrator グループの両方にこの権利が割り当てられます。ただし、これらのグループからこの権利を削除し、クラスタ サービス アカウントを追加しない場合、既存のクラスタにノードを追加できないことがあります。また、クラスタ アドミニストレータ (Cluadmin.exe) を使用してクラスタにアクセスするときに、アクセス拒否のエラーが発生することがあります。

組織で実装されているグループ ポリシー オブジェクトによって、ローカル セキュリティ ポリシーが変更される場合や、有効なユーザー権利が変更され、クラスタ サービスからユーザー権利が削除される場合は、ある時点で、クラスタ サービスに障害が発生することがあります。この問題を解決するには、以下の手順を実行します。
  1. ドメインまたはフォレストで組織単位 (OU) を作成し、その OU がポリシーを継承しないように設定します。
  2. クラスタ ノードを新しい OU 内に移動します。
  3. 新しいユーザー権利を継承するため、各ノードでクラスタ サービスを停止した後、再開します。
クラスタのいずれかの仮想サーバーで Kerberos 認証が有効になっている場合、クラスタ サービス アカウントを変更すると、Active Directory ディレクトリ サービス内のコンピュータ オブジェクトへのアクセスに影響が出ることがあります。仮想サーバーの Kerberos プロトコルを有効にする場合は、事前に「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
307532 コンピュータ オブジェクト変更時のクラスタ サービス アカウントのトラブルシューティング方法
また、対応する OU に含まれるコンピュータ オブジェクトのクラスタ サービスに以下のアクセス許可が与えられていることを確認します。
  • パスワードのリセット
  • パスワードの変更
  • DNS ホスト名への検証された書き込み
  • サービス プリンシパル名への検証された書き込み

プロパティ

文書番号: 269229 - 最終更新日: 2007年10月26日 - リビジョン: 8.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
キーワード:?
kbhowto kbclustering kbproductlink KB269229
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com