Повторное создание учетной записи службы кластеров вручную

Код статьи: 269229 - Список продуктов, к которым относится данная статья.
Развернуть все | Свернуть все

На этой странице

Аннотация

В процессе установки службы кластеров указанной учетной записи домена предоставляются права, необходимые для корректной работы службы кластеров. При необходимости изменить учетную запись или создать ее заново придется вручную предоставить эти права учетной записи домена, используемой для запуска службы кластеров, на каждом узле кластера. Кроме того, следует убедиться, что политики безопасности не удаляют права или разрешения для учетной записи службы кластеров. Удаление прав или разрешений для учетной записи службы кластеров может привести к неработоспособности службы кластеров.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Учетная запись, используемая для запуска службы кластеров, должна быть минимальной учетной записью ПОЛЬЗОВАТЕЛЯ на уровне домена и должна добавляться к локальной группе администраторов на каждом узле кластера. Чтобы добавить учетную запись к локальной группе администраторов на каждом узле кластера, воспользуйтесь диспетчером пользователей в Microsoft Windows NT 4.0 или оснасткой «Управление компьютером» в Microsoft Windows 2000 Server или Microsoft Windows Server 2003.

Примечание. Многие права, рассматриваемые в данном разделе, предоставляются «по прокси». Учетная запись службы кластеров должна входить в локальную группу администраторов узла. Следовательно, если локальной группе администраторов предоставлено определенное право, как правило, добавлять учетную запись службы кластеров не требуется. Однако при возникновении проблем с правами учетной записи службы кластеров можно явно предоставить все права непосредственно учетной записи, запускающей службу кластеров. В Windows Server 2003 необходимо явно добавить учетную запись службы кластеров к локальной группе администраторов на каждом узле. Дополнительные сведения по этой теме см. в следующей статье базы знаний Майкрософт:
812877
(http://support.microsoft.com/kb/812877/ )
Служба кластеров не запускается после обновления до Windows Server 2003, Enterprise Edition (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Убедитесь, что следующие права пользователей предоставлены либо локальной группе администраторов, либо учетной записи службы кластеров на уровне домена.

Windows Server 2003

Примечание. При изменении учетной записи, используемой для запуска службы кластеров, воспользуйтесь оснасткой Управление компьютером для Windows Server 2003, чтобы изменить сведения об учетной записи на каждом узле кластера. Для этого выполните следующие действия:
  1. Запустите оснастку «Управление компьютером» для Windows Server 2003, разверните узел Службы и приложения и щелкните узел Службы.
  2. Дважды щелкните на правой панели параметр Служба кластеров. Откройте вкладку Вход в систему и обновите сведения об учетной записи.
Для корректной работы в Microsoft Windows Server 2003 служба кластеров требует явного предоставления следующих прав на всех узлах кластера:
  • Работа в режиме операционной системы
  • Настройка квот памяти для процесса
  • Архивирование файлов и каталогов
  • Увеличение приоритета диспетчирования
  • Вход в качестве службы
  • Восстановление файлов и каталогов
Также следует убедиться, что локальная группа администраторов имеет доступ к следующим правам пользователя:
  • Отладка программ
  • Олицетворять клиента после проверки подлинности
  • Управление аудитом и журналом безопасности
Данные права можно предоставить в следующей папке:
Локальная политика безопасности\Параметры безопасности\Локальные политики\Назначение прав пользователя
Примечание. При создании параметра групповой политики для обновления параметра политики Олицетворять клиента после проверки подлинности убедитесь, что учетная запись службы кластеров указана не только в локальной группе администраторов, но и в параметре политики. В противном случае компьютер потеряет доступ к инструментарию управления Windows (WMI). По умолчанию эти учетные записи указываются в политике Олицетворять клиента после проверки подлинности. Однако, если при создании параметра групповой политики учетная запись службы кластеров не добавляется, параметр локальной политики будет заменен, что приведет к потере доступа к WMI.

Windows 2000 Server

Примечание. При изменении учетной записи, используемой для запуска службы кластеров, выполните следующие действия:
  1. Нажмите кнопку Пуск и выберите команду Все программы.
  2. Выберите раздел Администрирование и откройте оснастку Службы. Дважды щелкните на правой панели параметр Служба кластеров.
  3. Откройте вкладку Вход в систему и обновите сведения об учетной записи.
Для корректной работы учетной записи службы кластеров требуются следующие права на всех узлах кластера:
  • Работа в режиме операционной системы
  • Архивирование файлов и каталогов
  • Увеличение квот
  • Увеличение приоритета диспетчирования
  • Загрузка и выгрузка драйверов устройств
  • Блокировка страниц в памяти
  • Вход в качестве службы
  • Восстановление файлов и каталогов
Также следует убедиться, что локальная группа администраторов имеет доступ к следующим правам пользователя:
  • Отладка программ
  • Олицетворять клиента после проверки подлинности
  • Управление аудитом и журналом безопасности
Данные права можно предоставить в следующей папке:
Локальная политика безопасности\Параметры безопасности\Локальные политики\Назначение прав пользователя

Windows NT 4.0

Чтобы настроить права пользователя на узле кластера под управлением Windows NT 4.0, последовательно щелкните Диспетчер пользователей, Политики и Права пользователя. Щелкните Отображать дополнительные права пользователя.

Для корректной работы учетной записи службы кластеров требуются следующие права на всех узлах кластера:
  • Архивирование файлов и каталогов
  • Увеличение квот
  • Увеличение приоритета диспетчирования
  • Загрузка и выгрузка драйверов устройств
  • Блокировка страниц в памяти
  • Вход в качестве службы
  • Восстановление файлов и каталогов

Дополнительные рекомендации

Удаление требуемого права учетной записи службы кластеров может привести к возникновению проблем. Служба кластеров может не запускаться либо не создавать или не подключать некоторые кластерные ресурсы. Например, если служба кластеров или локальная группа администраторов не имеет определенного права, назначенное право Управление аудитом и журналом безопасности не может создавать ресурс координатора распределенных транзакций Microsoft (DTC), так как служба кластеров не может создавать требуемых параметров контрольных точек шифрования.

Данная проблема также возникает при изменении права пользователя Доступ к компьютеру из сети. Данное право можно изменить в следующей папке:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
По умолчанию это право предоставляется группам «Все» и «Администраторы». Однако, если при удалении этого права из этих групп учетная запись службы кластеров не добавляется отдельно, подключение к узлам существующего кластера может оказаться невозможным. Кроме того, при попытке доступа к кластеру с помощью средства «Администратор кластеров» (Cluadmin.exe) возможно появление сообщения «Отказано в доступе».

Если организация реализует объекты групповой политики, которые переопределяют локальные политики безопасности и удаляют право пользователя из службы кластеров посредством изменения действующих прав пользователя, в определенный момент может произойти сбой службы кластеров. Для устранения проблемы выполните следующие действия:
  1. Создайте подразделение в домене или в лесу и заблокируйте для этого подразделения наследование политики.
  2. Переместите узлы кластера в это подразделение.
  3. Для наследования новых прав пользователя остановите и заново запустите службу кластеров на каждом узле.
Если на любом из виртуальных серверов кластера используется проверка подлинности Kerberos, то изменение учетной записи службы кластеров может повлиять на доступ к объекту компьютера в службе каталогов Active Directory. Перед включением протокола Kerberos на любом виртуальном сервере обратитесь к следующей статье базы знаний Майкрософт:
307532
(http://support.microsoft.com/kb/307532/ )
Устранение неполадок с учетной записью службы кластеров для изменения объектов компьютеров
Кроме того, убедитесь, что службе кластеров предоставлены следующие права пользователя для объектов компьютера в соответствующем подразделении:
  • Сброс пароля
  • Смена пароля
  • Удостоверенная запись на узел с DNS-именем
  • Удостоверенная запись на узел с именем участника службы
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 269229 - Последнее изменение :: 26 октября 2007 г. - Редакция: 7.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Ключевые слова: 
kbhowto kbclustering kbproductlink KB269229
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы