Cómo solucionar problemas de la cuenta del Servicio de Cluster Server cuando modifica objetos de equipo

Seleccione idioma Seleccione idioma
Id. de artículo: 307532 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo solucionar problemas del servicio de Cluster Server cuando crea o modifica un objeto de equipo en Active Directory para un clúster de servidor (servidor virtual). Para obtener información adicional acerca de los objetos de equipo en relación con el servicio de Cluster Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
302389 Descripción de las propiedades del recurso de nombre de red de clústeres en Windows Server 2003

Más información

Derechos de acceso de Active Directory para crear un objeto de equipo

De manera predeterminada, los miembros del grupo Usuarios del dominio poseen derechos de usuario para agregar estaciones de trabajo a un dominio. Si no se modifica el valor predeterminado, este derecho de usuario tiene asignada una cuota máxima de diez objetos de equipo en Active Directory. Si excede esta cuota, se registrará el siguiente mensaje de identificador de sucesos:

Origen del suceso: ClusSvc

Categoría del suceso: recurso Nombre de red

Id. del suceso: 1194



Descripción:

No ha podido crearse la cuenta de equipo para el recurso de clúster 'recurso Nombre de red' en el dominio microsoft.com por la siguiente razón: No se puede crear la cuenta de equipo.



El texto del código de error asociado es: Su equipo no se puede unir al dominio. Ha excedido el número máximo de cuentas de equipo que puede crear en este dominio. Póngase en contacto con el administrador del sistema para que restablezca o incremente este límite.



Es posible a que la cuenta de servicio de clúster le falten los derechos de acceso correspondientes a Active Directory. Póngase en contacto con el administrador de dominio para que le ayude a resolver el problema.

Si varios clústeres utilizan la misma cuenta de dominio como cuenta del Servicio de Cluster Server, es posible que reciba este mensaje de error antes de crear diez objetos de equipo en un clúster determinado. Una forma de resolver este problema es conceder el permiso Crear objetos de equipo a la cuenta del Servicio de Cluster Server en el contenedor Equipos. Este permiso reemplaza el derecho de usuario Agregar estaciones de trabajo a un dominio, cuya cuota predeterminada es de diez. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
251335 Los usuarios de dominio no pueden unir la estación de trabajo o el servidor a un dominio
Para comprobar que la cuenta de servicio de Cluster Server tiene el derecho de usuario Agregar estaciones de trabajo a un dominio:
  1. Inicie sesión en el controlador de dominio donde está almacenada la cuenta de servicio de Cluster Server.
  2. Inicie el programa Directiva de seguridad del controlador de dominio desde Herramientas administrativas.
  3. Haga clic para expandir Directivas locales y, a continuación, expanda Asignaciones de derechos de usuario.
  4. Haga doble clic en Agregar estaciones de trabajo a un dominio y anote las cuentas que aparecen enumeradas.
  5. El grupo Usuarios autenticados (el grupo predeterminado) debe aparecer en la lista. Si no aparece, deberá otorgar este derecho de usuario a la cuenta del servicio de Cluster Server o a un grupo que contenga la cuenta del servicio de Cluster Server en los controladores de dominio.

    Nota
    Debe otorgar este derecho de usuario a los controladores de dominio, ya que los objetos de equipo se crean en los controladores de dominio.
  6. Si agrega explícitamente la cuenta de servicio de Cluster Server a este derecho de usuario, ejecute gpupdate en el controlador de dominio (o ejecute secedit para Windows 2000) para que el nuevo derecho de usuario se replique en todos los controladores de dominio.
  7. Compruebe que ninguna otra directiva sobrescribe esta directiva. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    250842 Solución de problemas de aplicación de la directiva de grupos

La cuenta del Servicio de Cluster Server no tiene los derechos de usuario adecuados en el nodo local

Compruebe que la cuenta del Servicio de Cluster Server tiene los derechos de usuario apropiados en cada nodo del clúster. La cuenta del Servicio de Cluster Server debe estar en el grupo local Administradores y debe poseer los derechos enumerados a continuación. Estos derechos se otorgan a la cuenta del Servicio de Cluster Server durante la configuración del nodo del clúster. Es posible que una directiva de nivel superior esté sobrescribiendo la directiva local o que una actualización de un sistema operativo anterior no agregue todos los derechos necesarios. Para comprobar que estos derechos están otorgados en el nodo local, siga estos procedimientos:
  1. Inicie la consola Configuración de seguridad local desde el grupo Herramientas administrativas.
  2. En Directivas locales, vaya a Asignaciones de derechos de usuario.
  3. Compruebe que se han otorgado explícitamente los siguientes derechos a la cuenta del Servicio de Cluster Server:
    • Iniciar sesión como servicio
    • Actuar como parte del sistema operativo
    • Hacer copia de seguridad de archivos y directorios
    • Ajustar cuotas de memoria para un proceso
    • Aumentar prioridad de programación
    • Restaurar archivos y directorios


    Nota
    Si la cuenta del Servicio de Cluster Server se ha quitado del grupo local Administradores, vuelva a crearla manualmente y conceda al Servicio de Cluster Server los derechos necesarios. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    269229 Cómo volver a crear manualmente la cuenta del Servicio de Cluster Server
Si falta alguno de estos derechos, otorgue a la cuenta del Servicio de Cluster Server derechos explícitos para ello, y detenga el Servicio de Cluster Server y reinícielo. Los derechos agregados no entrarán en vigor hasta que reinicie el Servicio de Cluster Server. Si la cuenta del Servicio de Cluster Server sigue sin poder crear un objeto de equipo, compruebe que ninguna directiva de grupo esté sobrescribiendo la directiva local. Para ello, puede escribir gpresult en el símbolo del sistema si está en un dominio de Windows 2000 o puede ejecutar la herramienta Conjunto resultante de directivas (RSOP) desde un complemento de MMC si está en un dominio de Windows Server 2003. Para obtener información adicional acerca de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
250842 Solución de problemas de aplicación de la directiva de grupos
Si está en un dominio de Windows Server 2003, busque "RSOP" en Ayuda y soporte técnico para ver instrucciones de cómo utilizar Conjunto resultante de directivas.

Si la cuenta del Servicio de Cluster Server no tiene el derecho "Actuar como parte del sistema operativo", el recurso Nombre de red generará un error y el archivo Cluster.log registrará lo siguiente:

Failed to enable TCB privilege, status C0000061

ERR Network Name Cluster Name: Failed to add credentials

to LSA for computer account Cluster status 1314

Utilice los pasos anteriores para comprobar que la cuenta del Servicio de Cluster Server tiene todos los derechos necesarios. Si una directiva de grupo de un dominio o una unidad organizativa está sobrescribiendo las directivas de seguridad locales, hay varias opciones. Puede colocar los nodos del clúster en una unidad organizativa propia que no tenga seleccionada la opción "Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto".

Derechos de acceso necesarios cuando se utiliza un objeto de equipo creado previamente

En caso de que los miembros del grupo Usuarios autenticados o la cuenta del Servicio de Cluster Server no puedan crear un objeto de equipo, si usted es el administrador del dominio, debe crear previamente el objeto de equipo del servidor virtual. Debe otorgar ciertos derechos de acceso a la cuenta del Servicio de Cluster Server para el objeto de equipo creado previamente. El Servicio de Cluster Server intenta actualizar el objeto de equipo que coincide con el nombre NetBIOS del servidor virtual. Puede aparecer uno de los siguientes mensajes de identificador de sucesos en el registro del sistema si existe algún problema con los permisos:

Mensaje de suceso 1

Origen del suceso: ClusSvc

Categoría del suceso: recurso Nombre de red

Id. de suceso: 1194



Descripción:

No ha podido crearse la cuenta de equipo para el recurso de clúster 'recurso Nombre de red' en el dominio microsoft.com por la siguiente razón: No se puede actualizar la contraseña.



El texto del código de error asociado es: Acceso denegado.

Mensaje de suceso 2

Origen del suceso: ClusSvc

Categoría del suceso: recurso Nombre de red

Id. de suceso: 1194



Descripción:

No ha podido crearse la cuenta de equipo para el recurso de clúster 'recurso Nombre de red' en el dominio microsoft.com por la siguiente razón: No se puede establecer el atributo ServicePrincipalName.



El texto del código de error asociado es: Los derechos de acceso son insuficientes para realizar la operación.

Mensaje de suceso 3

Origen del suceso: ClusSvc

Categoría del suceso: recurso Nombre de red

Id. de suceso: 1194



Descripción:

No ha podido crearse la cuenta de equipo para el recurso de clúster 'recurso Nombre de red' en el dominio microsoft.com por la siguiente razón: No se puede establecer el atributo DnsHostName.



El texto del código de error asociado es: Acceso denegado.

Para comprobar que la cuenta del Servicio de Cluster Server tiene los permisos apropiados en el objeto de equipo:
  1. Inicie el complemento Usuarios y equipos de Active Directory desde Herramientas administrativas.
  2. En el menú Ver, haga clic en Características avanzadas.
  3. Busque el objeto de equipo que desea que utilice la cuenta del Servicio de Cluster Server.
  4. Haga clic con el botón secundario en el objeto de equipo y, a continuación, haga clic en Propiedades.
  5. Haga clic en la ficha Seguridad y, a continuación, haga clic en Agregar.
  6. Agregue la cuenta del Servicio de Cluster Server o un grupo del que sea miembro dicha cuenta.
  7. Otorgue los permisos siguientes al usuario o al grupo:
    • Restablecer contraseña
    • Escritura validada en el nombre de host DNS
    • Escritura validada en el nombre principal del servicio
  8. Haga clic en Aceptar.
Si hay varios controladores de dominio, quizás tenga que esperar a que el cambio del permiso se replique a los demás controladores de dominio (de forma predeterminada se realiza un ciclo de replicación cada 15 minutos).

El recurso de nombre de red no se pone en conexión cuando se deshabilita Kerberos

Un recurso de nombre de red no se pone en conexión si existe un objeto de equipo pero no se activa la opción Habilitar autenticación Kerberos. Para resolver este problema, utilice uno de los procedimientos siguientes:
  • Elimine el objeto de equipo correspondiente en Active Directory.
  • Haga clic en Habilitar autenticación Kerberos en el recurso de nombre de red.
Si no activa la opción Habilitar autenticación Kerberos en el recurso de nombre de red y no existe ningún objeto de equipo en Active Directory, consulte el siguiente artículo de Microsoft Knowledge Base para obtener información acerca de cómo solucionar problemas del recurso de nombre de red:
257903 El nombre de red del clúster no se puede poner en conexión y aparece el Id. de suceso 1052

Propiedades

Id. de artículo: 307532 - Última revisión: viernes, 24 de noviembre de 2006 - Versión: 13.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Palabras clave: 
kberrmsg kbinfo kbenv KB307532

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com