Устранение неполадок с учетной записью службы кластеров для изменения объектов компьютеров

Переводы статьи Переводы статьи
Код статьи: 307532 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описана процедура устранения неполадок в службе кластеров при создании или изменении объекта компьютера в Active Directory для кластера серверов (виртуального сервера). Дополнительные сведения об объектах компьютеров в службе кластеров см. в следующей статье базы знаний Майкрософт:
302389 Свойства ресурса сетевого имени в кластере в Windows 2003

Дополнительная информация

Права доступа к Active Directory для создания объекта компьютера

По умолчанию члены группы «Пользователи домена» наделены правами на добавление рабочих станций к домену. По умолчанию максимальная квота для этого права пользователя равна десяти объектам компьютеров в Active Directory. При превышении этой квоты в журнале регистрируется следующее событие:

Источник: ClusSvc

Категория: Ресурс сетевого имени

Код события: 1194



Описание:

Учетная запись компьютера для ресурса кластера «Ресурс сетевого имени» в домене microsoft.com не может быть создана по следующей причине: невозможно создать учетную запись компьютера.



Текст для кода ошибки: Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.



Данный сбой может быть вызван отсутствием надлежащего доступа для учетной записи службы кластеров к Active Directory. Для устранения данной проблемы следует обратиться за помощью к администратору домена.

Если несколько кластеров в качестве учетной записи службы кластеров используют одну и ту же учетную запись домена, то это сообщение об ошибке может появиться до того, как будет создано десять объектов компьютеров в определенном кластере. Единственным способом устранения этой проблемы является предоставление учетной записи службы кластеров разрешение на создание объектов компьютеров в контейнере «Computers». Это разрешение имеет преимущество над правом пользователя на добавление рабочих станций к домену, квота для которого по умолчанию равна десяти. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
251335 Не удается подключить к домену рабочую станцию или сервер
Чтобы убедиться, что учетная запись службы кластеров наделена правом добавлять рабочие станции к домену, выполните следующие действия:
  1. Войдите в контроллер домена, на котором хранится учетная запись службы кластеров.
  2. В окне «Администрирование» запустите программу «Политика безопасности контроллера домена».
  3. Разверните пункт Локальные политики, а затем Назначение прав пользователя.
  4. Дважды щелкните значок Добавление рабочих станций к домену и просмотрите учетные записи в списке.
  5. В списке должна присутствовать группа пользователей «Прошедшие проверку» (группа по умолчанию). При ее отсутствии в списке этим правом пользователей следует наделить либо учетную запись службы кластеров, либо группу, включающую учетную запись службы кластеров на контроллерах домена.

    Примечание. Это право следует предоставить контроллерам домена, поскольку объекты компьютеров создаются на них.
  6. Если учетная запись службы кластеров явно наделяется этим правом, выполните команду gpupdate (или secedit для Windows 2000) на контроллере домена, чтобы реплицировать новое право пользователя на все контроллеры домена.
  7. Убедитесь, что данная политика не будет изменена другой политикой. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    250842 Устранение неполадок, связанных с применением групповой политики

Для учетной записи службы кластеров отсутствуют надлежащие права пользователя на локальном узле

Убедитесь, что учетная запись службы кластеров наделена надлежащими правами пользователей на всех узлах кластера. Учетная запись службы кластеров должна быть включена в локальную группу администраторов и иметь перечисленные ниже права, которые предоставляются во время настройки узла кластера. Однако возможно, что локальная политика будет заменена политикой более высокого уровня, или при обновлении предыдущей версии операционной системы не будут добавлены все необходимые права. Чтобы проверить, предоставлены ли эти права на локальном узле, выполните следующие действия:
  1. В группе Администрирование запустите консоль «Локальные параметры безопасности».
  2. В группе Локальные политики перейдите к пункту Назначение прав пользователя.
  3. Убедитесь, что учетной записи службы кластеров явно назначены следующие права:
    • Вход в качестве службы
    • Работа в режиме операционной системы
    • Архивирование файлов и каталогов
    • Настройка квот памяти для процесса
    • Увеличение приоритета диспетчирования
    • Восстановление файлов и каталогов


    Примечание. Если учетная запись службы кластеров удалена из локальной группы «Администраторы», необходимо вручную создать эту запись и предоставить службе кластеров необходимые права. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    269229 Повторное создание учетной записи службы кластеров вручную
Если какое-либо из перечисленных прав отсутствует, предоставьте учетной записи службы кластеров это право в явном виде, а затем перезапустите службу кластеров. Добавленные права вступают в действие только после перезапуска службы кластеров. Если с учетной записью службы кластеров по-прежнему не удается создать объект компьютера, то следует убедиться в том, что локальная политика не заменяется групповой политикой. Для этого введите команду gpresult в командной строке (в домене Windows 2000) или в окне «Модуль результирующей политики» (RSOP) в консоли MMC (в домене Windows Server 2003). Дополнительные сведения о системе Windows 2000 см. в следующей статье базы знаний Майкрософт:
250842 Устранение неполадок, связанных с применением групповой политики
Инструкции по работе со средством «Модуль результирующей политики» для домена Windows Server 2003 содержатся в разделе «RSOP» центра справки и поддержки.

Если учетная запись службы кластеров не наделена правом «Работа в режиме операционной системы», то в ресурсе «Сетевое имя» произойдет сбой и в журнале Cluster.log будет зарегистрирована следующая ошибка:

Не удалось включить привилегии TCB, состояние C0000061

Имя кластера для сетевого имени ERR: Ошибка при добавлении учетных данных

к LSA для учетной записи компьютера кластера, состояние 1314

Убедитесь, что учетная запись службы кластеров имеет все необходимые права, выполнив указанные выше действия: Если локальные политики безопасности были изменены групповой политикой домена или подразделения, доступно несколько возможностей. Узлы кластера можно разместить в отдельном подразделении с отключенным параметром «Переносить наследуемые от родительского объекта разрешения на этот объект».

Необходимые права доступа при использовании предварительно созданного объекта компьютера

Если для членов группы «Прошедшие проверку» или учетной записи службы кластеров возможность создавать объекты компьютеров заблокирована, и вы являетесь администратором домена, то следует предварительно создать объект компьютера виртуального сервера. Учетной записи службы кластеров следует предоставить определенные права доступа для предварительно созданного объекта компьютера. Службой кластеров производится попытка обновления объекта компьютера, соответствующего имени NetBIOS виртуального сервера. При возникновении проблем с разрешениями в системном журнале могут быть созданы следующие записи с сообщениями:

Сообщение 1

Источник: ClusSvc

Категория: Ресурс сетевого имени

Код события: 1194



Описание:

Учетная запись компьютера для ресурса кластера «Ресурс сетевого имени» в домене microsoft.com не может быть создана по следующей причине: не удается обновить пароль.



Текст для кода ошибки: отказано в доступе.

Сообщение 2

Источник: ClusSvc

Категория: Ресурс сетевого имени

Код события: 1194



Описание:

Учетная запись компьютера для ресурса кластера «Ресурс сетевого имени» в домене microsoft.com не может быть создана по следующей причине: не удается задать атрибут ServicePrincipalName.



Текст для кода ошибки: для выполнения операции права недостаточны.

Сообщение 3

Источник: ClusSvc

Категория: Ресурс сетевого имени

Код события: 1194



Описание:

Учетная запись компьютера для ресурса кластера «Ресурс сетевого имени» в домене microsoft.com не может быть создана по следующей причине: не удается задать атрибут DnsHostName.



Текст для кода ошибки: отказано в доступе.

Чтобы убедиться в наличии для учетной записи службы кластеров необходимых разрешений для объекта компьютера, выполните следующие действия:
  1. Из группы программ «Администрирование» запустите оснастку «Пользователи и компьютеры Active Directory».
  2. В меню Вид выберите пункт Дополнительные параметры.
  3. Найдите объект компьютера, который требуется использовать для учетной записи службы кластеров.
  4. Щелкните объект компьютера правой кнопкой мыши и выберите пункт Свойства.
  5. Откройте вкладку Безопасность и нажмите кнопку Добавить.
  6. Добавьте учетную запись службы кластеров или группу, включающую учетную запись службы кластеров.
  7. Предоставьте пользователю или группе следующие разрешения:
    • Смена пароля
    • Удостоверенная запись на узел с DNS-именем
    • Удостоверенная запись на узел с именем участника службы
  8. Нажмите кнопку ОК.
При наличии нескольких контроллеров домена может потребоваться некоторое время для репликации измененного разрешения на другие контроллеры домена (по умолчанию период репликации равен 15 минутам).

Ресурс сетевого имени не переходит в оперативный режим при отключенном протоколе Kerberos

Ресурс сетевого имени не переходит в оперативный режим, если компьютерный объект существует, но не был выбран параметр Включить проверку подлинности по протоколу Kerberos. Для устранения этой проблемы можно использовать любой из перечисленных способов.
  • Удалите соответствующий объект компьютера в Active Directory.
  • Установите параметр Включить проверку подлинности по протоколу Kerberos для ресурса сетевого имени.
Если параметр Включить проверку подлинности по протоколу Kerberos не выбран, и объект компьютера отсутствует в Active Directory, обратитесь к следующей статье базы знаний Майкрософт за сведениями по устранению неполадок с ресурсом сетевого имени:
257903 Сетевое имя кластера не подключается, и в журнале регистрируется событие с кодом 1052 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 307532 - Последний отзыв: 24 февраля 2006 г. - Revision: 13.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Ключевые слова: 
kberrmsg kbinfo kbenv KB307532

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com