Description des propriétés de la ressource de nom de réseau de cluster dans Windows Server 2003

Cet article décrit les propriétés qui sont disponibles pour la ressource de nom de réseau de Microsoft Windows Server 2003 qui n'étaient pas présentes dans les versions précédentes de Windows.

L'une des caractéristiques de la ressource de nom de réseau de Windows Server 2003 est qu'elle permet de créer un objet ordinateur dans Active Directory qui autorise les programmes à utiliser Kerberos comme protocole d'authentification lorsque le programme contacte un service en utilisant un nom virtuel de cluster. Les programmes présents sur un serveur virtuel qui sont compatibles avec Active Directory disposent maintenant d'un objet ordinateur Active Directory correctement maintenu. Les autres fonctionnalités comprennent une meilleure intégration du système DNS et trois indicateurs d'état pour NetBIOS, DNS et Kerberos. La suite de cet article décrit les procédures à suivre pour activer et utiliser ces fonctionnalités.

Activer l'authentification Kerberos

Remarque Le message d'erreur suivant s'affiche si vous essayez de définir l'option Activer l'authentification Kerberos sans mettre la ressource de nom de réseau hors connexion :Un serveur virtuel est composé d'une ressource de nom de réseau et d'une ressource d'adresse IP. La ressource de nom de réseau a été mise à jour pour Windows Server 2003 de manière à autoriser l'utilisation de l'authentification Kerberos et la création d'un objet ordinateur correspondant. Par défaut, l'authentification Kerberos et la création d'un objet ordinateur pour le serveur virtuel sont désactivées, et NTLM est utilisé pour l'authentification. Pour activer l'authentification Kerberos et la création d'un objet ordinateur :

1. Démarrez l'Administrateur de cluster, cliquez avec le bouton droit sur la ressource de nom de réseau, puis cliquez sur Déconnecter.
   
   Remarque : les clients ne peuvent maintenant pas accéder au serveur virtuel car la ressource de nom de réseau est maintenant hors connexion.
2. Double-cliquez sur la ressource de nom de réseau là où vous souhaitez activer l'authentification Kerberos pour consulter les propriétés de la ressource, puis cliquez sur l'onglet Paramètres.
3. Cliquez sur l'option Activer l'authentification Kerberos, sur OK, cliquez avec le bouton droit sur la ressource de nom de réseau, puis cliquez sur Mettre en ligne. Un client peut maintenant utiliser l'authentification Kerberos lorsqu'il se connecte au serveur virtuel. Si vous affichez la console MMC Utilisateurs et ordinateurs Active Directory, vous voyez un nouvel objet ordinateur en corrélation avec la ressource de nom de réseau.

Le service de cluster doit posséder les autorisations appropriées pour créer des objets ordinateur dans Active Directory. Ceci doit avoir lieu par défaut car le Service de cluster doit au minimum être un utilisateur du domaine. Par défaut, ce groupe possède le privilège "Ajouter des stations de travail à un domaine".

Par défaut, les utilisateurs de domaine sont limités à la création de dix objets ordinateur dans Active Directory. Pour créer davantage d'objets ordinateur, vous devez augmenter cette limite ou l'administrateur du domaine peut pré-créer les objets ordinateur. Si l'administrateur du domaine accorde des droits "Créer des objets Ordinateur" explicites au compte du Service de cluster, le quota est ignoré. Si l'objet ordinateur est pré-créé, le compte de service de cluster aura besoin des autorisations adéquates pour pouvoir « détourner » l'objet de sorte qu'il puisse y écrire les attributs corrects.

Les trois attributs écrits dans l'objet ordinateur du serveur virtuel sont les suivants :

• DnsHostName - il est créé à partir de la ressource de nom de réseau et du suffixe DNS principal du cluster.
• ServicePrincipalName - tout comme DnsHostName, il est créé à partir de la ressource de nom de réseau et du suffixe DNS principal du cluster dans le format suivant :
  
  HOST/nom_NetBIOS_du_serveur_virtuel
  HOST/nom_de_domaine_complet_pour_le_serveur_virtuel
  MSClusterVirtualServer/nom_NetBIOS_du_serveur_virtuel
  MSClusterVirtualServer/nom_de_domaine_complet_pour_le_serveur_virtuel
  MSServerCluster/nom_NetBIOS_du_serveur_virtuel (Ce SPN n'est créé que pour le nom de cluster par défaut.)
  MSServerCluster/nom_de_domaine_complet_pour_le_serveur_virtuel (Ce SPN n'est créé que pour le nom de cluster par défaut.)
• DisplayName - il s'agit du nom convivial de l'objet ordinateur tel qu'il apparaît dans l'annuaire ou le carnet d'adresses. C'est le nom NetBIOS de la ressource de nom de réseau. L'accès par défaut peut empêcher la mise à jour de DisplayName. Cela ne pose cependant pas de problème si la modification ne peut pas être écrite et la ressource est mise en ligne.

De plus, un mot de passe est défini sur l'objet ordinateur.

Vous pouvez afficher ces attributs à l'aide de l'utilitaire Adsiedit.msc inclus sur le CD-ROM Windows Server 2003 dans le dossier SUPPORT.

Vous pouvez afficher le suffixe DNS principal en exécutant la commande ipconfig /all à l'invite de commandes. Sous Configuration IP de Windows, la section Suffixe DNS principal contient le suffixe DNS principal utilisé pour l'objet ordinateur. Notez que les différentes cartes réseau peuvent posséder différents suffixes spécifiques. Cependant, la ressource de nom de réseau utilise le suffixe DNS principal.

Renommer le nom de réseau et l'objet ordinateur correspondant

Le processus de modification du nom d'un serveur virtuel auquel est associé un objet ordinateur est semblable à la modification du nom d'une ressource de nom de réseau standard, à l'exception du fait que la ressource doit être hors connexion pour effectuer la modification. Déconnectez la ressource de nom de réseau, puis attribuez le nouveau nom à la propriété Paramètres. La ressource de nom de réseau contacte automatiquement Active Directory et modifie le nom de l'objet ordinateur. Pour que la modification du nom réussisse, le Nom de réseau sur le cluster et le nom d'ordinateur dans Active Directory doivent être modifiés. Si ces deux noms ne peuvent pas être modifiés, le nom original est restauré et la modification n'a pas lieu. Le compte de service de cluster nécessite des droits d'accès « Écrire toutes les propriétés » pour modifier l'objet ordinateur. Les objets ordinateur ne peuvent pas être renommés manuellement dans la console MMC Utilisateurs et ordinateurs Active Directory.

Désactivation de l'authentification Kerberos

Le service de cluster ne supprime jamais un objet ordinateur d'Active Directory. Au lieu de cela, le service de cluster le désactive. Pour désactiver l'objet ordinateur, désactivez la case à cocher Activer l'authentification Kerberos. Une fois l'objet ordinateur désactivé, la ressource de nom de réseau n'est pas mise en ligne tant que vous n'avez pas de nouveau activé l'option Activer l'authentification Kerberos ou supprimé manuellement l'objet ordinateur d'Active Directory.

Paramètres DNS

L'option L'inscription DNS doit réussir sur une ressource de nom de réseau permet de garantir la mise à jour du système DNS avant que la ressource ne soit mise en ligne. Si vous sélectionnez cette option, l'enregistrement DNS HOST (A) du serveur virtuel doit être enregistré sinon la ressource de nom de réseau ne peut pas se connecter. Si le serveur DNS accepte les mises à jour dynamiques, mais que l'enregistrement n'a pas pu être mis à jour, ceci est considéré comme un échec. Si le serveur DNS n'accepte pas les mises à jour dynamiques (anciennes versions de DNS) ou qu'aucun serveur DNS n'est associé au réseau associé à la ressource, le Nom de réseau sera tout de même mis en ligne. Pour activer l'option L'inscription DNS doit réussir, procédez comme suit :

1. Démarrez l'Administrateur de cluster, cliquez avec le bouton droit sur la ressource de nom de réseau, puis cliquez sur Déconnecter.
   
   Remarque Les clients ne peuvent maintenant pas accéder au serveur virtuel car la ressource de nom de réseau est hors connexion.
2. Double-cliquez sur la ressource de nom de réseau où vous souhaitez activer l'option L'inscription DNS doit réussir, puis cliquez sur l'onglet Paramètres.
3. Cliquez sur l'option L'inscription DNS doit réussir, sur OK, cliquez avec le bouton droit sur la ressource de nom de réseau, puis cliquez sur Mettre en ligne. Lorsque la ressource de nom de réseau est mise en ligne, elle vérifie qu'elle peut enregistrer le serveur virtuel avec le serveur DNS.

Remarque : le nom de réseau est enregistré dans le système DNS sous le compte de service de cluster. Assurez-vous que le compte de service de cluster possède les autorisations appropriées pour ajouter des enregistrements dans le système DNS ; sinon, l'inscription ne fonctionnera pas.

Indicateurs d'état

Lorsque vous affichez les propriétés d'une ressource de nom de réseau, trois indicateurs d'état sont disponibles : État NetBIOS, État DNS et État Kerberos. Pour afficher ces trois indicateurs :

1. Démarrez l'Administrateur de cluster.
2. Double-cliquez sur la ressource de nom de réseau, puis cliquez sur l'onglet Paramètres. Les trois indicateurs d'état apparaissent au centre de l'onglet Paramètres.

La liste suivante décrit la signification de chaque indicateur d'état. Ces indicateurs sont modifiés lorsque le Nom de réseau est mis en ligne ou déconnecté.

• État NetBIOS : l'indicateur État NetBIOS signale la réussite ou l'échec de l'inscription du nom NetBIOS auprès du redirecteur de réseau local. Une valeur 0 indique un succès ; sinon il affiche un code d'erreur. Il n'indique pas si le nom NetBIOS a été inscrit sur ses serveurs WINS ou DNS respectifs. Pour afficher le texte du code d'erreur, tapez net helpmsg %errorcode% dans une invite de commandes, puis appuyez sur ENTRÉE.
• État DNS : l'indicateur État DNS signale la réussite ou l'échec de l'inscription du Nom de réseau auprès du serveur DNS. Une valeur 0 indique un succès ; sinon il affiche un code d'erreur. Pour afficher le texte du code d'erreur, tapez net helpmsg %errorcode% dans une invite de commandes, puis appuyez sur ENTRÉE.
• État Kerberos : l'indicateur État DNS Kerberos affiche un code qui signale la réussite ou l'échec de la création ou de la mise à jour de l'objet Ordinateur. Une valeur 0 indique un succès ; sinon il affiche un code d'erreur. Pour afficher le texte du code d'erreur, tapez net helpmsg %errorcode% dans une invite de commandes, puis appuyez sur ENTRÉE.

Sept paramètres de la ressource de nom de réseau dans Windows Server 2003 qui sont absents dans les versions précédentes de Windows

Les paramètres suivants situés sous la ressource de nom de réseau sont utilisés pour prendre en charge les fonctions de la ressource de nom de réseau dans Windows Server 2003 qui sont absents dans les versions précédentes de Windows. Pour afficher ces paramètres de ressource de nom de réseau, tapez cluster res "network_name_resource" /priv dans une invite de commandes, puis appuyez sur ENTRÉE. Les paramètres se présentent comme suit :

• RequireDNS - Le paramètre RequireDNS correspond à l'option L'inscription DNS doit réussir dans l'interface utilisateur de la ressource de nom de réseau. Il peut avoir une valeur 0 ou 1 :
  • 0 - L'échec de l'inscription DNS n'empêche pas la ressource d'être en ligne.
  • 1 - Si le serveur ne peut pas être DNS mis à jour, la ressource ne peut pas être mise en ligne.
• RequireKerberos - Le paramètre RequireKerberos correspond à l'option Activer l'authentification Kerberos dans l'interface utilisateur de la ressource de nom de réseau. Il peut avoir une valeur 0 ou 1 :
  • 0 - L'authentification Kerberos n'est pas activée et aucun objet ordinateur n'est créé pour la ressource de nom de réseau.
  • 1 - L'objet Ordinateur est créé et l'authentification Kerberos est activée.
• CreatingDC - Le paramètre CreatingDC affiche le contrôleur de domaine qui a été utilisé par le serveur de clusters pour créer ou modifier l'objet ordinateur du serveur virtuel ou, si un objet ordinateur a été pré-créé par l'administrateur du domaine, le contrôleur de domaine qui a été contacté pour « détourner » l'objet ordinateur existant. Cette valeur est effacée en même temps que le paramètre RequireKerberos.
• ResourceData - La valeur ResourceData contient le mot de passe crypté. L'accès à la valeur ResourceData du Registre est limité à l'administrateur local, au système et au propriétaire créateur.
• StatusNetBIOS - Il correspond à ce qui est affiché dans l'interface utilisateur sous la ressource de nom de réseau.
• StatusDNS - Il correspond à ce qui est affiché dans l'interface utilisateur sous la ressource de nom de réseau.
• StatusKerberos - Il correspond à ce qui est affiché dans l'interface utilisateur sous la ressource de nom de réseau.

Options de ligne de commande

De même que pour la plupart des tâches administratives d'un cluster de serveurs, vous pouvez activer les fonctions « L'inscription DNS doit réussir » et « Activer l'authentification Kerberos » à partir d'une invite de commandes à l'aide de l'outil Cluster.exe. Cluster.exe est installé par défaut. Ainsi, pour l'utiliser, vous devez émettre les commandes suivantes à partir d'une invite de commandes (à condition que vous exécutiez ces commandes à partir de l'un des n?uds du cluster).

Pour activer l'option L'inscription DNS doit réussir à partir de l'invite de commandes, tapez la commande suivante : Définissez RequireDNS=0 pour désactiver RequireDNS.

Pour activer l'option Activer l'authentification Kerberos à partir de l'invite de commandes, tapez la commande suivante : Définissez RequireKerberos=0 pour désactiver RequireKerberos.

Pour afficher les indicateurs d'état à partir de Cluster.exe, tapez la commande suivante : Pour plus d'informations sur Cluster.exe et ses autres utilisations, consultez « Aide et support » et effectuez une recherche sur Cluster.exe.

Service de réplication de fichiers et clusters de serveurs

Le service de réplication de fichiers ne réplique pas avec un partage de fichiers qui se trouve sur un cluster de serveurs sous l'objet ordinateur d'un serveur virtuel. Le service de réplication de fichiers recherche uniquement les informations sur l'abonnement sous l'objet ordinateur du n?ud. Le service de réplication de fichiers n'analyse pas l'objet ordinateur du serveur virtuel. Le système de fichiers DFS (Distributed File System) utilise le service de réplication de fichiers pour répliquer des données parmi plusieurs serveurs lorsqu'une stratégie de réplication est activée. Si le lien DFS avec la stratégie de réplication est un serveur virtuel, les données ne sont pas répliquées avec un autre partenaire, quel qu'il soit. Vous devrez peut-être utiliser une autre méthode pour répliquer les données. Par exemple, il vous faudra peut-être utiliser un script de copie de fichiers.

Dépannage

Pour plus d'informations sur la résolution des problèmes de création et de manipulation d'objets ordinateur à partir du compte de service de cluster, consultez l'article suivant dans la Base de connaissances Microsoft :