群集网络名称资源,在 Windows Server 2003 中的属性的说明

文章翻译 文章翻译
文章编号: 302389 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了在 Microsoft Windows Server 2003 中的网络名称资源可用的未包括在 Windows 的早期版本中的该属性。

更多信息

在 Windows Server 2003 中网络名称资源的功能之一是能够使程序能够使用作为身份验证协议 Kerberos,当程序通过使用群集的虚拟名称联系服务的 Active Directory 中创建计算机对象。在虚拟服务器上的 Active Directory 注意程序现在有一个正确维护 ds 计算机对象。其他功能包括 NetBIOS 和 DNS,Kerberos 的更好的 DNS 集成和三个状态指示器。本文的其余部分描述如何启用和使用这些功能。

启用 Kerberos 身份验证

注意如果试图设置启用 Kerberos 身份验证选项,而无须使网络名称资源脱机,您会收到以下错误消息:
试图设置属性时出现错误: 的组或资源不是正确的状态,以执行所请求的操作。错误 ID: 5023 (0000139f)
一个 VirtualServer 组成网络名称和 IP 地址资源。网络名称资源已被更新为启用 Kerberos 身份验证的使用和相应的计算机对象创建的 Windows Server 2003。默认情况下,Kerberos 身份验证的计算机创建对象,用于在 VirtualServer 被禁用,NTLM 用于身份验证。若要启用 Kerberos 身份验证,并创建一个计算机对象,请执行下列操作:
  1. 启动群集管理器,用鼠标右键单击网络名称资源,然后单击 脱机

    注意访问客户端 VirtualServer 现在不能发生,因为网络名称资源现在处于脱机状态。
  2. 双击您要启用 Kerberos 身份验证,以查看有关资源属性的网络名称资源,然后单击 参数 选项卡。
  3. 单击 启用 Kerberos 身份验证 选项,单击 确定,用鼠标右键单击网络名称资源并再单击 联机。现在,客户端可以使用 Kerberos 身份验证连接到该 VirtualServer 时。如果您查看 Active Directory 用户和计算机 MMC,一个新的计算机对象,该对象对应于网络名称资源是可见的。
群集服务必须有适当的权限在 ds 中创建计算机对象。之所以发生这种应情况默认情况下,是因为群集服务,至少必须是域用户。默认状态下,此组具有"域中添加工作站"特权。

默认状态下,域用户仅限于在 ds 中创建 10 个计算机对象。若要进行更多的计算机对象必须增加限制,或域管理员可以预先创建计算机对象。如果域管理员提供了显式创建计算机对象的权限,才能在群集服务帐户配额被覆盖。如果计算机对象先前创建的群集服务帐户需要适当的权限,可以"劫持"对象,以便它可以向其中写入正确的属性。

三个属性写入到 VirtualServer 的计算机对象是:
  • DnsHostName-这创建网络名称资源和群集的主 DNS 后缀。
  • 这创建 ServicePrincipalName-Like DnsHostName,从网络名称资源和群集的主 DNS 后缀以下列格式:

    HOST / VirtualServer's NetBIOS name
    HOST / FQDN for the VirtualServer
    MSClusterVirtualServer / VirtualServer's NetBIOS name
    MSClusterVirtualServer / FQDN for the VirtualServer
    MSServerCluster / VirtualServer's NetBIOS name (此 SPN 只创建的默认群集名称)
    MSServerCluster / FQDN for the VirtualServer (此 SPN 只创建的默认群集名称)
  • 显示名称-在目录或通讯簿中显示,这是计算机对象的好记的名称。这是网络名称资源的 NetBIOS 名称。默认访问权限可能会阻止该显示名称进行更新。但是,它不是有问题如果它不能写入该的更改,并且该资源将联机。
此外,计算机对象上设置一个密码。

您可以通过使用该 Adsiedit.msc 来查看这些属性包括在 Windows Server 2003 安装光盘中所支持的实用程序文件夹。

您可以查看主 DNS 后缀,通过运行在 ipconfig/all 命令在命令提示符处。在 Windows IP 配置,下 主 DNS 后缀 部分中包含用于计算机对象的主 DNS 后缀。请注意在单个网络适配器可能有不同的特定后缀,但是,网络名称资源使用主 DNS 后缀。

重命名网络名称和其相应的计算机对象

重命名具有相关联的计算机对象的 VirtualServer 的过程是类似于重命名一个标准的网络名称资源,但该资源已为脱机进行更改。使网络名称资源脱机,然后将参数属性更改为新名称。网络名称资源将自动与 Active Directory 和更改计算机对象的名称。对于要成功,重命名操作必须更改两个群集上的网络名称和在 ds 中的计算机名称。如果两者都不能更改原来的名称都将回退,则不完成该更改。群集服务帐户需要在"写入所有属性访问权利对计算机对象进行更改。 计算机对象不能手动重命名在活动目录计算机和用户 MMC 中。

禁用 Kerberos 身份验证

群集服务永远不会从 Active Directory 中删除计算机对象。而是,$ 群集服务禁用它。若要使计算机对象单击以清除 启用 Kerberos 身份验证 选项。禁用计算机对象后,网络名称资源不会联机直到您选择 启用 Kerberos 身份验证 选项再次或从 Active Directory 中手动删除计算机对象。

DNS 设置

在网络名称资源上的 DNS 注册必须成功 选项有助于确保将该资源联机之前,会更新 DNS。如果选中了此选项必须注册该 VirtualServer DNS HOST (A) 记录,或网络名称资源联机失败。如果 DNS 服务器接受动态更新,但不是能更新该记录的被视为失败。如果 DNS 服务器不接受动态更新 (旧版本的 DNS),或者没有与该资源的相关网络相关联的 DNS 服务器将仍然联机网络名称。若要在 DNS 注册必须成功 选项,请按照下列步骤操作:
  1. 启动群集管理器,用鼠标右键单击网络名称资源,然后单击 脱机

    注意访问客户端 VirtualServer 现在不能发生,因为网络名称资源处于脱机状态。
  2. 双击要启用 DNS 注册必须成功 选项的位置的网络名称资源,然后单击 参数 选项卡。
  3. 单击 DNS 注册必须成功,选项,单击 确定,用鼠标右键单击网络名称资源并再单击 联机。联机网络名称资源时它将验证它可以用 DNS 注册该 VirtualServer 服务器。
注意: 在群集服务帐户下在 DNS 中注册的网络名称。请确保群集服务帐户具有正确的权限以在 DNS 中注册记录,或注册将不起作用。

状态指示器

当您查看的网络名称资源属性时,三个状态指示器都可用,NetBIOS 状态、 DNS 状态和 Kerberos 状态。若要查看这些指示符,请执行下列操作:
  1. 启动群集管理器。
  2. 双击网络名称资源,然后单击 参数 选项卡。参数 选项卡中的中间部分列出了三个状态指示器。
下面的列表描述了每个状态指示器的显示。网络名称被联机或脱机时,会更改这些指示符。
  • NetBIOS 状态: 的 NetBIOS 状态指示器反映了成功或失败的 NetBIOS 名称注册,与本地网络重定向器。值为 0 是成功 ; 否则它将显示一个错误代码。 这并不表示 NetBIOS 名称是否已注册到各自的 WINS 或 DNS 服务器。若要查看的错误代码文本、 一个命令提示符下键入 net helpmsg %errorcode% 然后按 ENTER 键。
  • DNS 状态: 该 DNS 状态指示器反映了网络名称已注册的 DNS 服务器成功与否。值为 0 是成功 ; 否则它将显示一个错误代码。若要查看的错误代码文本、 一个命令提示符下键入 net helpmsg %errorcode% 然后按 ENTER 键。
  • Kerberos 状态: 的 Kerberos 状态指示器显示一个指示是否成功创建或更新的计算机对象的代码或不。值为 0 是成功 ; 否则它将显示一个错误代码。若要查看的错误代码文本、 一个命令提示符下键入 net helpmsg %errorcode% 然后按 ENTER 键。

在 Windows Server 2003 中的网络名称资源不包括在 Windows 的早期版本的七个参数

在网络名称资源下的以下参数用于支持在不包括在 Windows 的早期版本的 Windows Server 2003 中的网络名称资源的功能。若要访问这些网络名称资源参数在命令提示符下键入 群集 res"network_name_resource"/priv,然后按 ENTER 键。参数如下所示:
  • RequireDNS-RequireDNS 参数匹配的网络名称资源在用户界面中的 DNS 注册必须成功 选项。它可以具有值为 0 或 1:
    • 0-失败的 DNS 注册不能防止资源联机。
    • 1 如果 DNS 服务器不能更新,则资源将无法联机。
  • RequireKerberos-RequireKerberos 参数匹配在用户界面中的网络名称资源 启用 Kerberos 身份验证 选项。它可以具有值为 0 或 1:
    • 0-未启用 Kerberos 身份验证,并没有为网络名称资源创建计算机对象。
    • 1-创建对象的计算机和 Kerberos 身份验证已启用。
  • CreatingDC-CreatingDC 参数显示在群集服务器创建或修改 VirtualServer 计算机对象所使用的域控制器。CreatingDC 还显示了"劫持"现有计算机对象如果计算机对象先前创建的域管理员联系的域控制器。当清除 RequireKerberos 参数时,该值将被清除。如果网络名称资源上永远不会启用 kerberos,则可能会看到以下条目 cluster.log 文件中:
    无法读取 CreatingDC 参数错误 = 2
    您可以忽略此项。虽然您看到条目,但实际不存在该 extry,因此,这不表示有问题。
  • ResourceData-ResourceData 值包含加密的密码。要在注册表中的 ResourceData 的访问会受到限制,本地管理员、 系统管理员和创建者所有者。如果网络名称资源上永远不会启用 kerberos,则可能会看到以下条目 cluster.log 文件中:
    无法读取 ResourceData 参数错误 = 2
    您可以忽略此项。因为虽然您看到条目,但实际不存在该条目,这不表示有问题。
  • StatusNetBIOS-该匹配项,在网络名称资源下的用户界面中显示的内容。
  • StatusDNS-该匹配项,在网络名称资源下的用户界面中显示的内容。
  • StatusKerberos-该匹配项,在网络名称资源下的用户界面中显示的内容。

命令行选项

像大多数服务器群集的管理任务,您可以通过使用 Cluster.exe 工具来启用从命令提示符"DNS 注册必须成功"和"启用 Kerberos 身份验证"功能。默认情况下,安装 Cluster.exe,因此要使用它,发出下列命令在命令提示符处 (假设您从一个群集节点运行这些命令)。

若要能够 DNS 注册必须成功 选项从命令提示符处键入以下命令:
群集 res"NETWORK_NAME_RESOURCE"/priv RequireDNS = 1
设置 RequireDNS = 0 以禁用 RequireDNS。

若要能够 启用 Kerberos 身份验证 选项,在命令提示符下的键入以下命令:
群集 res"NETWORK_NAME_RESOURCE"/priv RequireKerberos = 1
设置 RequireKerberos = 0 以禁用 RequireKerberos。

若要访问状态指示器,从 Cluster.exe 键入以下命令:
cluster.exe res"NETWORK_NAME_RESOURCE"/priv
有关 Cluster.exe 和其他用途的详细信息请参阅"帮助和支持,",然后搜索 Cluster.exe。

文件复制服务和服务器群集

文件复制服务 (FRS) 不会复制与在虚拟服务器的计算机对象下一个服务器群集上的文件共享。FRS 服务查找只在该节点的计算机对象的订阅信息。FRS 服务不会扫描虚拟服务器的计算机对象。分布式文件系统 (DFS) 使用 FRS 复制多个服务器之间的数据,启用复制策略时。如果 DFS 链接,使用复制策略是一个虚拟服务器,数据不与任何其他伙伴进行复制。您可能不得不使用另一个方法来复制数据。 例如对于您可能不得不使用文件复制脚本。

故障排除

有关疑难解答的群集服务帐户的创建和操作的计算机对象的信息,请参阅下面 Microsoft 知识库中相应的文章:
307532群集服务帐户进行疑难解答的计算机对象的操作

属性

文章编号: 302389 - 最后修改: 2007年3月2日 - 修订: 10.4
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
关键字:?
kbmt kbinfo kbnetwork kbtool KB302389 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 302389
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com