Como recriar manualmente a conta do serviço de cluster

Durante o processo de instalação para o serviço Cluster da Microsoft, a conta de domínio especificado é concedida direitos necessários para o serviço Cluster para funcionar corretamente. Se você tiver que alterar ou recrie a conta, você deve conceder esses direitos de volta à conta de domínio que é usado para iniciar o serviço de cluster em cada nó do cluster manualmente. Além disso, certifique-se de que as diretivas de segurança não remover direitos ou permissões de conta do serviço de cluster. Se direitos ou permissões forem removidas da conta de serviço de cluster, o serviço de cluster não funcionem.

A conta que é usada para iniciar o serviço de cluster deve ser um mínimo de uma conta de usuário de nível de domínio e deve ser adicionado ao grupo administrativo local em cada nó no cluster. Adicione a conta ao grupo Administradores Local em cada nó no cluster usando a ferramenta Gerenciador de usuários no Microsoft Windows NT 4.0, ou gerenciamento do computador no Microsoft Windows 2000 Server ou no Microsoft Windows Server 2003.

Observação Muitos dos direitos que são mencionados nesta seção são atribuídos "por proxy." A conta do serviço de cluster deve ser um membro do grupo Administradores locais no nó. Portanto, se o grupo Administradores local possui um direito específico, normalmente você não é necessário que adicionar a conta de serviço Cluster. No entanto, se você estiver tendo dificuldades com os direitos para a conta do serviço de cluster, você pode conceder explicitamente todos os direitos diretamente à conta que inicia o serviço de cluster. No Windows Server 2003, você deve atribuir explicitamente a conta do serviço de cluster ao grupo Administradores local de cada nó. Para obter mais informações sobre um tópico relacionado, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Certifique-se de que os seguintes direitos de usuário são concedidos para o grupo Administradores local ou a conta de serviço de cluster nível do domínio.

Windows Server 2003

Observação Se você alterar a conta que é usada para iniciar o serviço de cluster, você deve usar o Gerenciamento do computador para o Windows Server 2003 para alterar as informações da conta em cada nó no cluster. Para fazer isso, execute as seguintes etapas:

1. Iniciar o gerenciamento de computador para o Windows Server 2003, expanda a ramificação Serviços e aplicativos e, em seguida, clique em ramificação serviços .
2. No painel direito, clique duas vezes Serviço de cluster . Selecione a guia Logon e atualize as informações da conta.

Para funcionar corretamente no Microsoft Windows Server 2003, a conta de serviço de cluster explicitamente requer os seguintes direitos para todos os nós do cluster:

• Atuar como parte do sistema operacional
• Ajustar cotas de memória para um processo
• Fazer backup de arquivos e diretórios
• Aumentar as prioridades de agendamento
• Faça logon como um serviço
• Restaurar arquivos e diretórios

Além disso, certifique-se que o grupo Administradores Local possui acesso aos seguintes direitos do usuário:

• Depurar programas
• Representar um cliente após autenticação
• Gerenciar logs de auditoria e segurança

Você pode conceder esses direitos nos seguintes locais: Observação Se você criar uma configuração de diretiva de grupo para atualizar a configuração de diretiva representar um cliente após autenticação direitos , certifique-se de que o cluster do serviço conta está listado na configuração de diretiva além para o grupo de administradores locais e a conta que é chamada de serviço. Se a conta do serviço de cluster não estiver listada, o computador pode não ter acesso a WMI (Instrumentação de gerenciamento do Windows). Por padrão, essas contas são listadas na diretiva representar um cliente após autenticação direitos . No entanto, se você criar uma configuração de diretiva de grupo sem adicionar a conta do serviço de cluster, a configuração de diretiva local será substituída e acesso WMI falha.

Windows 2000 Server

Observação Se você alterar a conta que é usada para iniciar o serviço de cluster, execute estas etapas:

1. Da área de trabalho, clique em Iniciar e, em seguida, clique em Todos os programas .
2. Clique em Ferramentas administrativas e em seguida, clique em serviços . No painel direito, clique duas vezes Serviço de cluster .
3. Selecione a guia Logon e atualize as informações da conta.

A conta de serviço de cluster requer os seguintes direitos para funcionar corretamente em todos os nós do cluster:

• Agir como parte do sistema operacional.
• Fazer backup de arquivos e diretórios.
• Aumente cotas.
• Aumente prioridade de agendamento.
• Carregar e descarregar drivers de dispositivo.
• Bloquear páginas na memória.
• Faça logon como um serviço.
• Restaure arquivos e diretórios.

Além disso, certifique-se que o grupo Administradores Local possui acesso aos seguintes direitos do usuário:

• Depurar programas
• Representar um cliente após autenticação
• Gerenciar logs de auditoria e segurança

Você pode conceder esses direitos no seguinte local:

Windows NT 4.0

Para configurar os direitos de usuário em um nó de cluster do Windows NT 4.0, clique em Gerenciador de usuários , clique em diretivas , clique em Direitos do usuário . Certifique-se de que clicar em Mostrar direitos avançados do usuário .

A conta de serviço de cluster requer os seguintes direitos para funcionar corretamente em todos os nós do cluster:

• Fazer backup de arquivos e diretórios
• Aumentar cotas
• Aumentar prioridade de agendamento
• Carregar e descarregar drivers de dispositivo
• Bloquear páginas na memória
• Faça logon como um serviço
• Restaurar arquivos e diretórios

Pontos adicionais a serem considerados

Quando você remove um necessário à direita da conta de serviço de cluster, você poderá causar um comportamento inesperado. O serviço de cluster pode não iniciar, ou o serviço não pode criar determinados recursos de cluster ou coloque esses recursos on-line. Por exemplo, se o serviço de cluster ou do grupo administrador local não tiver um direito de usuário específico, a atribuição de direitos de usuário Gerenciar auditoria e log de segurança não é possível criar um recurso MSDTC (Coordenador de transações distribuídas da Microsoft) porque o serviço de cluster não é possível criar as configurações de verificação de criptografia necessário.

Outro exemplo desse problema pode ocorrer quando você modifica o direito de usuário acesso a este computador da rede . Você pode modificar esse direito de usuário no seguinte local:Por padrão, todos e ambos os grupos de administrador são atribuídos esse direito. No entanto, se você remover esse direito desses grupos, e você não adicionar especificamente a conta do serviço de cluster, talvez não seja possível associar nós a um cluster existente. Além disso, você pode receber um erro "Acesso negado" ao tentar acessar o cluster usando o administrador de cluster (CluAdmin.exe).

Se uma organização implemente objetos de diretiva de grupo que substituem as diretivas de segurança local e que remover um direito de usuário o serviço de cluster, alterar direitos de usuário eficaz, o serviço de cluster falhará em algum momento. Para resolver esse problema, execute essas etapas:

1. Criar uma unidade organizacional (OU) no domínio ou na floresta e, em seguida, bloquear herança de diretiva dessa OU.
2. Mova os nós de cluster para a OU.
3. Para herdar os novos direitos do usuário, pare e reinicie o serviço Cluster em cada nó.

Se você tem a autenticação Kerberos ativada para qualquer um dos servidores virtuais do cluster e alterar a conta do serviço de cluster, você pode afetar o acesso ao objeto de computador no serviço de diretório do Active Directory. Antes de ativar o protocolo Kerberos para todos os servidores virtuais, consulte o seguinte artigo da Base de dados de Conhecimento Microsoft: Além disso, certifique-se que o serviço de cluster possui os seguintes direitos de usuário para objetos de computador na UO apropriado:

• Redefinir senha
• Alterar a senha
• Gravação validada para nome de host DNS
• Gravação validada para ServicePrincipalName