コンピュータ オブジェクト変更時のクラスタ サービス アカウントのトラブルシューティング方法

文書翻訳 文書翻訳
文書番号: 307532 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、クラスタ サービスが Active Directory でサーバー クラスタ (仮想サーバー) のコンピュータ オブジェクトの作成や変更を行う際に発生する問題のトラブルシューティング方法について説明します。 クラスタ サービスに関連するコンピュータ オブジェクトの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
302389 Windows Server 2003 のクラスタ ネットワーク名リソースのプロパティの説明

詳細

コンピュータ オブジェクトの作成に必要な Active Directory のアクセス許可

デフォルトで、Domain Users グループのメンバには、[ドメインにワークステーションを追加] ユーザー権利が付与されています。デフォルトでは、このユーザー権利には Active Directory 内のコンピュータ オブジェクトの最大クォータとして 10 が設定されています。このクォータを超えると、次のイベント ID メッセージがログに記録されます。

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : コンピュータ アカウントを作成できません



関連するエラー コードのテキスト : コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて最大数をリセットするか、または増やしてください。



クラスタ サービス アカウントに Active Directory への正しいアクセスがない可能性があります。ドメイン管理者に連絡して問題を解決してください。

複数のクラスタでクラスタ サービス アカウントとして同じドメイン アカウントが使用されている場合、1 つのクラスタ内にコンピュータ オブジェクトを 10 個作成する前にこのエラー メッセージが表示されることがあります。この問題を解決する方法の 1 つは、Computers コンテナでクラスタ サービス アカウントに [コンピュータ オブジェクトの作成] アクセス許可を付与することです。この許可は、デフォルトのクォータが 10 に設定されている [ドメインにワークステーションを追加] ユーザー権利よりも優先されます。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
251335 ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない
クラスタ サービス アカウントに [ドメインにワークステーションを追加] ユーザー権利が付与されているかどうかを確認するには、次の手順を実行します。
  1. 対象となるクラスタ サービス アカウントが格納されているドメイン コントローラにログオンします。
  2. [管理ツール] の [ドメイン コントローラ セキュリティ ポリシー] を起動します。
  3. [ローカル ポリシー] をクリックして展開し、[ユーザー権利の割り当て] をクリックして展開します。
  4. [ドメインにワークステーションを追加] をダブルクリックし、一覧に表示されているアカウントを確認します。
  5. Authenticated Users グループ (デフォルトのグループ) が表示されます。このグループが表示されていない場合、この権利をクラスタ サービス アカウント、またはそのクラスタ サービス アカウントが所属しているドメイン コントローラ上のグループに付与する必要があります。

    : コンピュータ オブジェクトはドメイン コントローラ上に作成されるため、このユーザー権利はドメイン コントローラに対して付与する必要があります。
  6. このユーザー権利にクラスタ サービス アカウントを明示的に追加する場合、ドメイン コントローラで gpupdate (Windows 2000 の場合は secedit) を実行して、新しいユーザー権利をすべてのドメイン コントローラにレプリケートします。
  7. ポリシーが別のポリシーによって上書きされないことを確認してください。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    250842 グループ ポリシー適用の問題のトラブルシューティング

ローカル ノードでクラスタ サービス アカウントに適切なユーザー権利が付与されていない

クラスタの各ノードで、クラスタ サービス アカウントに適切なユーザー権利が付与されているかどうかを検証します。クラスタ サービス アカウントはローカルの Administrators グループに含まれている必要があり、また後述の権利が付与されている必要もあります。これらの権利は、クラスタ ノードの構成中にクラスタ サービス アカウントに付与されます。高レベルのポリシーによってローカル ポリシーが上書きされているか、以前のオペレーティング システムからのアップグレード時に必要な権利の一部が追加されていない可能性があります。これらの権利がローカル ノードに付与されていることを確認するには、次の手順を実行します。
  1. [管理ツール] グループのローカル セキュリティ ポリシー スナップインを起動します。
  2. [ローカル ポリシー] の下の [ユーザー権利の割り当て] に移動します。
  3. クラスタ サービス アカウントに明示的に次の権利が付与されているかどうか検証します。
    • サービスとしてログオン
    • オペレーティング システムの一部として機能
    • ファイルとディレクトリのバックアップ
    • プロセスのメモリ クォータの増加
    • スケジューリング優先順位の繰り上げ
    • ファイルとディレクトリの復元


    : クラスタ サービス アカウントがローカルの Administrators グループから削除されている場合は、クラスタ サービス アカウントを手動で再作成して、クラスタ サービスに対して必要な権利を付与します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    269229 クラスタ サービス アカウントを手動で再作成する方法
付与されていない権利がある場合は、明示的にクラスタ サービス アカウントにその権利を付与し、クラスタ サービスを停止してから再起動します。追加した権利は、クラスタ サービスを再起動するまで有効になりません。再起動してもクラスタ サービス アカウントがコンピュータ オブジェクトを作成できない場合、ローカル ポリシーがグループ ポリシーによって上書きされていないことを確認してください。Windows 2000 ドメインの場合はコマンド プロンプトで gpresult と入力し、Windows Server 2003 ドメインの場合は MMC スナップインのポリシーの結果セット (RSOP) を使用して確認します。 Windows 2000 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
250842 グループ ポリシー適用の問題のトラブルシューティング
Windows Server 2003 ドメインに参加している場合は、ヘルプとサポートで「RSOP」について検索し、ポリシーの結果セットの使用方法に関する説明を参照してください。

クラスタ サービス アカウントに [オペレーティング システムの一部として機能] 権利が付与されていない場合、ネットワーク名リソースは失敗し、Cluster.log に次のログが記録されます。

Failed to enable TCB privilege, status C0000061

ERR Network Name Cluster Name: Failed to add credentials

to LSA for computer account Cluster status 1314

上記の手順を使用して、必要な権利がクラスタ サービス アカウントにすべて付与されていることを確認します。ローカル セキュリティ ポリシーがドメインまたは組織単位 (OU) のグループ ポリシーによって上書きされている場合、複数のオプションがあります。[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める] が無効になっている独自の OU にクラスタ ノードを配置することもできます。

事前に作成されたコンピュータ オブジェクトを使用する場合に必要なアクセス許可

Authenticated Users グループのメンバ、またはクラスタ サービス アカウントがコンピュータ オブジェクトを作成できないようになっている場合、ドメイン管理者は仮想サーバーのコンピュータ オブジェクトを事前に作成する必要があります。この場合、事前に作成されたコンピュータ オブジェクトに対するアクセス許可をクラスタ サービス アカウントに付与する必要があります。クラスタ サービスは、仮想サーバーの NetBIOS 名と一致するコンピュータ オブジェクトを更新しようとします。アクセス許可に問題がある場合、次のいずれかのイベント ID のメッセージがシステム ログに出力されることがあります。

イベント メッセージ 1

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : コンピュータ アカウントのパスワードを更新できません。



関連するエラー コードのテキスト : アクセスが拒否されました。

イベント メッセージ 2

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : ServicePrincipalName 属性を設定できません。



関連するエラー コードのテキスト : この操作を実行するのに十分なアクセス権がありません。

イベント メッセージ 3

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : DnsHostName 属性を設定できません。



関連するエラー コードのテキスト : アクセスが拒否されました。

コンピュータ オブジェクトに対する適切なアクセス許可がクラスタ サービス アカウントに付与されているかどうかを検証するには、次の手順を実行します。
  1. [管理ツール] の [Active Directory ユーザーとコンピュータ] スナップインを起動します。
  2. [表示] メニューの [拡張機能] をクリックします。
  3. クラスタ サービス アカウントが使用するコンピュータ オブジェクトに移動します。
  4. コンピュータ オブジェクトを右クリックし、[プロパティ] をクリックします。
  5. [セキュリティ] タブをクリックし、[追加] をクリックします。
  6. クラスタ サービス アカウント、またはクラスタ サービス アカウントが所属しているグループを追加します。
  7. そのユーザーまたはグループに以下のアクセス許可を付与します。
    • パスワードのリセット
    • DNS ホスト名への検証された書き込み
    • サービス プリンシパル名への検証された書き込み
  8. [OK] をクリックします。
複数のドメイン コントローラが存在する場合、アクセス許可が他のドメイン コントローラにレプリケートされるまで待機する必要があることがあります (デフォルトでは、レプリケーション サイクルは 15 分ごとに発生します)。

Kerberos が無効になっている場合にネットワーク名リソースがオンラインにならない

コンピュータ オブジェクトが存在しても、[Kerberos 認証を有効にする] オプションが有効になっていないとネットワーク名リソースはオンラインになりません。この問題を解決するには、以下のいずれかの手順を実行します。
  • Active Directory を使用して該当するコンピュータ オブジェクトを削除します。
  • ネットワーク名リソースで [Kerberos 認証を有効にする] チェック ボックスをオンにします。
ネットワーク名リソースで [Kerberos 認証を有効にする] オプションがオンになっておらず、コンピュータ オブジェクトが Active Directory に存在しない場合、次の「サポート技術情報」 (Microsoft Knowledge Base) 資料でネットワーク名リソースのトラブルシューティング方法の情報を参照してください。
257903 クラスタ ネットワーク名がオンラインにならず、イベント ID 1052 が生成されることがある

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 307532 (最終更新日 2004-12-13) を基に作成したものです。

プロパティ

文書番号: 307532 - 最終更新日: 2005年9月27日 - リビジョン: 13.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
キーワード:?
kberrmsg kbinfo kbenv KB307532
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com