Como solucionar problemas da conta de serviço de cluster ao modificar objetos de computador

  • Artigo

Este artigo descreve como solucionar problemas do serviço cluster quando ele cria ou modifica um objeto de computador no Active Directory para um cluster de servidor (servidor virtual).

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 307532

Direitos de acesso do Active Directory para criar um objeto de computador

Por padrão, os membros do grupo Usuários de Domínio recebem o direito do usuário de adicionar estações de trabalho a um domínio. Por padrão, esse direito de usuário é definido como uma cota máxima de 10 objetos de computador no Active Directory. Se você exceder essa cota, a seguinte mensagem de ID do evento será registrada:

Se vários clusters estiverem usando a mesma conta de domínio que sua conta de serviço de cluster, você poderá receber essa mensagem de erro antes de criar dez objetos de computador em um determinado cluster. Uma maneira de resolve esse problema é conceder à conta de serviço de cluster a permissão Criar Objetos de Computador no contêiner computadores. Essa permissão substitui o direito Adicionar Estações de Trabalho a um usuário do Domínio, que tem uma cota padrão de dez.

Para verificar se a conta de serviço cluster tem o direito Adicionar Estações de Trabalho a um usuário do Domínio:

  1. Entre no controlador de domínio no qual a conta de serviço cluster é armazenada.

  2. Inicie o programa Política de Segurança do Controlador de Domínio a partir de Ferramentas Administrativas.

  3. Clique para expandir políticas locais e clique em expandir atribuições de direitos do usuário.

  4. Clique duas vezes em Adicionar Estações de Trabalho a um Domínio e observe as contas listadas.

  5. O grupo Usuários Autenticados (o grupo padrão) deve ser listado. Se ele não estiver listado, você deverá conceder esse direito de usuário à conta de serviço cluster ou a um grupo que contém a conta de serviço cluster nos controladores de domínio.

    Observação

    Você deve conceder esse direito de usuário aos controladores de domínio porque os objetos de computador são criados nos controladores de domínio.

  6. Se você adicionar explicitamente a conta de serviço cluster a esse usuário à direita, execute gpupdate no controlador de domínio (ou execute secedit para Windows 2000) para que o novo direito do usuário seja replicado para todos os controladores de domínio.

  7. Verifique se a política não será substituída por outra política.

A conta do Serviço de Cluster não tem direitos de usuário adequados no nó local

Verifique se a conta do Serviço de Cluster tem os direitos de usuário apropriados em cada nó do cluster. A conta do Serviço de Cluster deve estar no grupo de administradores locais e deve ter os direitos listados abaixo. Esses direitos são dados à conta do Serviço de Cluster durante a configuração do nó Cluster. É possível que uma política de nível superior esteja escrevendo demais a política local ou que uma atualização de um sistema operacional anterior não adicione todos os direitos necessários. Para verificar se esses direitos são dados no nó local, siga estes procedimentos:

  1. Inicie o console Configurações de Segurança Local do grupo Ferramentas Administrativas .

  2. Navegue até atribuições de direitos de usuário em Políticas Locais.

  3. Verifique se a conta do Serviço de Cluster recebeu explicitamente os seguintes direitos:

    • Entrar como um serviço
    • Atuar como parte do sistema operacional
    • Fazer backup de arquivos e diretórios
    • Ajustar cotas de memória para um processo
    • Aumentar a prioridade de agendamento
    • Restaurar arquivos e diretórios

    Observação

    Se a conta do Serviço de Cluster tiver sido removida do Grupo de Administradores local, recrie manualmente a conta de serviço cluster e forneça ao Serviço de Cluster os direitos necessários.

    Se algum dos direitos estiver ausente, forneça à conta do Serviço de Cluster direitos explícitos para ele e, em seguida, pare e reinicie o Serviço de Cluster. Os direitos adicionados não entrarão em vigor até que você reinicie o Serviço de Cluster. Se a conta do Serviço de Cluster ainda não puder criar um Objeto de Computador, verifique se um Política de Grupo não está escrevendo demais a Política Local. Para fazer isso, você pode digitar gpresult no Prompt de Comando se estiver em um Domínio do Windows 2000 ou conjunto resultante de política (RSOP) de um Snap-in do MMC se estiver em um domínio do Windows Server 2003.

    Se você estiver em um domínio do Windows Server 2003, pesquise em Ajuda e suporte em "RSOP" para obter instruções sobre como usar o Conjunto resultante de política.

    Se a conta do Serviço de Cluster não tiver o "Agir como parte do sistema operacional" direito, o recurso Nome da Rede falhará e o Cluster.log registrará a seguinte mensagem:

    Use as etapas acima para verificar se a conta do Serviço de Cluster tem todos os direitos necessários. Se as políticas de segurança locais estiverem sendo superescritas por uma política de Grupo de Domínio ou Unidade Organizacional (UO), haverá várias opções. Você pode colocar os nós de Cluster em sua própria U que tenha as permissões "Permitir permissões herdáveis do pai para propagar para este objeto" desmarcada.

Direitos de acesso necessários ao usar um objeto de computador pré-criado

Se os membros do grupo Usuários Autenticados ou da conta de serviço cluster forem impedidos de criar um objeto de computador, se você for o administrador de domínio, você deverá criar o objeto de computador do servidor virtual. Você deve conceder certos direitos de acesso à conta de serviço cluster no objeto de computador pré-criado. O serviço cluster tenta atualizar o objeto de computador que corresponde ao nome NetBIOS do servidor virtual.

Para verificar se a conta de serviço cluster tem as permissões adequadas no objeto do computador:

  1. Inicie o snap-in Usuários e Computadores do Active Directory das Ferramentas Administrativas.

  2. No menu Exibir , selecione Recursos Avançados.

  3. Localize o objeto de computador que você deseja que a conta de serviço do Cluster use.

  4. Clique com o botão direito do mouse no objeto do computador e selecione Propriedades.

  5. Selecione a guia Segurança e selecione Adicionar.

  6. Adicione a conta de serviço cluster ou um grupo do qual a conta do Serviço de Cluster é membro.

  7. Conceda ao usuário ou ao grupo as seguintes permissões:

    • Redefinir senha
    • Gravação validada para o nome do host DNS
    • Gravação validada para o nome da entidade de serviço

  8. Selecione OK. Se houver vários controladores de domínio, talvez seja necessário aguardar que a alteração de permissão seja replicada para os outros controladores de domínio (por padrão, um ciclo de replicação ocorrerá a cada 15 minutos).

O recurso de nome de rede não fica online quando kerberos é desabilitado

Um recurso Nome de Rede não será online se um objeto de computador existir, mas você não selecionar a opção Habilitar Autenticação Kerberos . Para resolve o problema, use um dos seguintes procedimentos:

  • Exclua o objeto de computador correspondente no Active Directory.
  • Selecione Habilitar Autenticação Kerberos no recurso Nome da Rede.