Comment faire pour dépanner le compte de service de cluster lorsqu'il modifie des objets ordinateur

Traductions disponibles Traductions disponibles
Numéro d'article: 307532 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment faire pour résoudre les problèmes du service de cluster lorsqu'il crée ou modifie un objet ordinateur dans Active Directory pour un cluster de serveurs (serveur virtuel). Pour plus d'informations sur les objets ordinateur et le service de cluster, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
302389 Description des propriétés de la ressource de nom de réseau de clusters dans Windows Server 2003

Plus d'informations

Droits d'accès Active Directory pour créer un objet ordinateur

Par défaut, les membres du groupe Utilisateurs du domaine disposent des droits d'ajout des stations de travail à un domaine. Par défaut, ce droit d'utilisateur est défini sur un quota maximal de dix objets ordinateur dans Active Directory. Si vous dépassez ce quota, le message d'ID événement suivant est consigné :

Source de l'événement : ClusSvc

Catégorie de l'événement : Ressource Nom réseau

ID d'événement : 1194



Description :

Le compte d'ordinateur pour la ressource de cluster « Ressource Nom réseau » dans le domaine microsoft.com n'a pas pu être créé pour la raison suivante : Impossible de créer le compte d'ordinateur.



Texte du code d'erreur : Votre ordinateur n'a pas pu joindre le domaine. Vous avez dépassé le nombre maximal de comptes d'ordinateur que vous êtes autorisé à créer dans ce domaine. Contactez votre administrateur système pour que cette limite soit réinitialisée ou augmentée.



Cela peut indiquer que le compte de service de cluster ne dispose pas des droits d'accès suffisants à Active Directory. Contactez l'administrateur de domaine pour résoudre ce problème.

Si plusieurs clusters utilisent le même compte de domaine que leur compte du service de cluster, ce message d'erreur peut s'afficher avant la création de dix objets ordinateur dans un cluster donné. L'une des façons de résoudre ce problème consiste à accorder les droits de création d'objets ordinateur au compte du service de cluster dans le conteneur Ordinateurs. Ces droits remplacent les droits d'ajout de station de travail à un domaine, dont le quota est fixé à dix par défaut. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
251335 Les utilisateurs d'un domaine ne peuvent pas joindre une station de travail ou un serveur à un domaine
Pour vérifier que le compte du service de cluster dispose des droits d'ajout de stations de travail à un domaine :
  1. Ouvrez une session sur le contrôleur de domaine sur lequel le compte du service de cluster est stocké.
  2. Démarrez le programme Stratégie de sécurité du contrôleur de domaine dans Outils d'administration.
  3. Développez Stratégies locales, puis Attribution des droits d'utilisateurs.
  4. Double-cliquez sur Ajouter des stations de travail à un domaine et consultez les comptes énumérés.
  5. Le groupe Utilisateurs authentifiés (par défaut) doit figurer dans la liste. Si ce n'est pas le cas, vous devez accorder ces droits d'utilisateur au compte du service de cluster ou au groupe contenant le compte du service de cluster sur les contrôleurs de domaine.

    Remarque Vous devez accorder ces droits d'utilisateur aux contrôleurs de domaine parce que les objets ordinateur sont créés sur les contrôleurs de domaine.
  6. Si vous ajoutez explicitement le compte du service de cluster à ces droits, exécutez gpupdate sur le contrôleur de domaine (ou secedit pour Windows 2000) afin que ces nouveaux droits soient répliqués sur tous les contrôleurs de domaine.
  7. Vérifiez que la stratégie n'est pas remplacée par une autre. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    250842 Dépannage des problèmes liés à l'application des paramètres de stratégie de groupe

Le compte du service de cluster ne dispose pas droits d'utilisateur suffisants sur le noeud local

Vérifiez que le compte du service de cluster dispose des droits d'utilisateur suffisants sur chaque noeud du cluster. Ce compte doit figurer dans le groupe local des administrateurs et doit disposer des droits ci-après. Ces droits sont accordés au compte du service de cluster lors de la configuration du noeud de cluster. Il est possible qu'une stratégie supérieure remplace la stratégie locale ou qu'une mise à niveau d'un système d'exploitation antérieur n'ajoute pas tous les droits requis. Pour vérifier ces droits sur le noeud local, procédez comme suit :
  1. Démarrez la console Paramètres de sécurité locaux à partir du groupe Outils d'administration.
  2. Recherchez Attribution des droits utilisateur dans Stratégies Locales.
  3. Vérifiez que le compte du service de cluster dispose des droits suivants :
    • Ouvrir une session en tant que service
    • Agir en tant que partie du système d'exploitation
    • Sauvegarder des fichiers et des répertoires
    • Ajuster les quotas de mémoire d'un processus
    • Augmenter la priorité de planification
    • Restaurer des fichiers et des répertoires


    Remarque Si le compte du service de cluster a été supprimé du groupe d'administrateurs locaux, recréez-le manuellement et accordez-lui les droits de service de cluster requis. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    269229 Comment faire pour recréer manuellement le compte du service de cluster
Si l'un des droits est manquant, accordez des droits explicites au compte du service de cluster, puis arrêtez et redémarrez le service de cluster. Les droits ajoutés sont effectifs après le redémarrage du service de cluster. Si le compte du service de cluster ne peut toujours pas créer d'objet ordinateur, vérifiez qu'aucune stratégie de groupe n'a remplacé la stratégie locale. Pour de faire, tapez gpresult au niveau d'une invite de commande si vous êtes dans un domaine Windows 2000 ou Jeu de stratégie résultant (RSOP) dans un composant logiciel enfichable MMC pour un domaine Windows Server 2003. Pour plus d'informations sur Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
250842 Dépannage des problèmes liés à l'application des paramètres de stratégie de groupe
Dans un domaine Windows Server 2003, consultez l'aide et le support sur le jeu de stratégie résultant pour obtenir des instructions sur leur utilisation.

Si le compte du service de cluster ne dispose pas des droits « Agir en tant que partie du système d'exploitation », la ressource de nom de réseau n'est pas ajoutée et le fichier Cluster.log enregistre les éléments suivants :

Impossible d'activer les privilèges TCB, état C0000061

ERR Nom réseau Nom cluster : Impossible d'ajouter les informations d'identification

à LSA pour le compte d'ordinateur état du cluster 1314

Les étapes ci-dessus permettent de vérifier que le compte du service de cluster dispose de tous les droits requis. Si les stratégies de sécurité locale sont remplacées par une stratégie de groupe de domaine ou d'unité organisationnelle (UO), plusieurs solutions s'offrent à vous. Vous pouvez placer les noeuds de cluster dans leur propre UO pour laquelle l'option « Permettre aux autorisations héritées du parent de se propager à cet objet » est désactivée.

Droits d'accès requis pour l'utilisation d'un objet ordinateur pré-créé

Si les membres du groupe Utilisateurs authentifiés ou du compte du service de cluster ne peuvent pas créer d'objet ordinateur, vous devez pré-créer l'objet ordinateur du serveur virtuel si vous êtes l'administrateur du domaine, . Vous devez accorder certains droits d'accès au compte du service de cluster sur l'objet ordinateur pré-créé. Le service de cluster tente de mettre à jour l'objet ordinateur correspondant au nom NetBIOS du serveur virtuel. L'un des messages d'ID d'événement suivants peut être consigné dans le journal système en cas de problème d'autorisation :

Message d'événement 1

Source de l'événement : ClusSvc

Catégorie de l'événement : Ressource Nom réseau

ID d'événement : 1194



Description :

Le compte d'ordinateur pour la ressource de cluster « Ressource Nom réseau » dans le domaine microsoft.com n'a pas pu être créé pour la raison suivante : Impossible de mettre à jour le mot de passe.



Texte du code d'erreur : Accès refusé.

Message d'événement 2

Source de l'événement : ClusSvc

Catégorie de l'événement : Ressource Nom réseau

ID d'événement : 1194



Description :

Le compte d'ordinateur pour la ressource de cluster « Ressource Nom réseau » dans le domaine microsoft.com n'a pas pu être créé pour la raison suivante : Impossible de définir l'attribut ServicePrincipalName.



Texte du code d'erreur : Droits d'accès insuffisants pour effectuer cette opération.

Message d'événement 3

Source de l'événement : ClusSvc

Catégorie de l'événement : Ressource Nom réseau

ID d'événement : 1194



Description :

Le compte d'ordinateur pour la ressource de cluster « Ressource Nom réseau » dans le domaine microsoft.com n'a pas pu être créé pour la raison suivante : Impossible de définir l'attribut DnsHostName.



Texte du code d'erreur : Accès refusé.

Pour vérifier que le compte du service de cluster dispose de droits suffisants sur l'objet ordinateur :
  1. Démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans Outils d'administration.
  2. Dans le menu Affichage, cliquez sur Fonctionnalités avancées.
  3. Localisez l'objet ordinateur pour le compte du service de cluster.
  4. Cliquez avec le bouton droit sur l'objet, puis cliquez sur Propriétés.
  5. Cliquez sur l'onglet Sécurité, puis sur Ajouter.
  6. Ajoutez le compte du service de cluster ou un groupe dont le compte du service de cluster est membre.
  7. Accordez les autorisations suivantes à l'utilisateur ou au groupe :
    • Réinitialiser le mot de passe
    • Écriture validée vers le nom d'hôte DNS
    • Écriture validée vers le nom principal du service
  8. Cliquez sur OK.
S'il existe plusieurs contrôleurs de domaine, vous devrez peut-être attendre que la modification des autorisations soit répliquée sur les autres contrôleurs de domaine (par défaut, un cycle de réplication se produit toutes les 15 minutes).

La ressource de nom de réseau n'est pas mise en ligne lorsque l'authentification kerberos est désactivée

Une ressource Nom réseau n'est pas mise en ligne si un objet ordinateur existe, mais que vous ne sélectionnez pas l'option Activer l'authentification Kerberos. Pour résoudre ce problème, appliquez l'une des méthodes suivantes :
  • Supprimez l'objet ordinateur correspondant dans Active Directory.
  • Cliquez sur Activer l'authentification Kerberos dans la ressource Nom réseau.
Si vous ne sélectionnez pas l'option Activer l'authentification Kerberos sur la ressource Nom réseau et si aucun objet ordinateur n'existe pas dans Active Directory, consultez l'article suivant de la Base de connaissances Microsoft pour obtenir plus d'informations sur la résolution des problèmes de ressource Nom réseau :
257903 La ressource Nom réseau de cluster n'est pas mise en ligne avec l'ID d'événement 1052

Propriétés

Numéro d'article: 307532 - Dernière mise à jour: lundi 23 janvier 2006 - Version: 13.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Mots-clés : 
kberrmsg kbinfo kbenv KB307532
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com