如何排解叢集服務帳戶修改電腦物件時所遇到的疑難

文章翻譯 文章翻譯
文章編號: 307532 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將說明如何排解叢集服務在為伺服器叢集 (虛擬伺服器) 建立或修改 Active Directory 中的電腦物件時,所遇到的疑難問題。

如需有關叢集服務相關電腦物件的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
302389 Description of the Properties of the Cluster Network Name Resource in Windows Server 2003

其他相關資訊

建立電腦物件的 Active Directory 存取權

依照預設值,Domain Users 群組的成員擁有將工作站加入網域的使用者權限。依照預設值,這項使用者權限已設定為在 Active Directory 最多擁有 10 個電腦物件的配額。如果您超過這項配額,便會記錄下列事件 ID 訊息:
事件來源:ClusSvc

事件類別:網路名稱資源

事件識別碼: 1194



描述:

microsoft.com 網域中 Network Name Resource 叢集資源的電腦帳戶,因為下列原因而無法建立:無法建立電腦帳戶。



錯誤碼的文字為:您的電腦無法加入網域。 因為您已經超過這個網域所允許建立的電腦帳戶上限。請連絡您的系統管理員,重設或提高這個限制。



這項失敗的原因可能是叢集服務帳戶對 Active Directory 不能適當存取。此時應該連絡網域系統管理員,以要求協助解決這項問題。
如果有幾個叢集在使用相同的網域帳戶做為自己的叢集服務帳戶,在指定叢集中建立 10 個電腦物件以前,可能就會收到這道錯誤訊息。 解決這個問題的方法之一,就是把在電腦容器上的「建立電腦物件」權限,授予叢集服務帳戶。這項權限會覆寫「新增工作站至網域」的使用者權限,此權限具有的預設配額為 10 個。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
251335 網域使用者無法將工作站或伺服器加入網域
如果要確認叢集服務帳戶具有「新增工作站至網域」的使用者權限:
  1. 登入存放叢集服務帳戶的網域控制站。
  2. 從系統管理工具啟動網域控制站安全性原則程式。
  3. 按一下以展開 [本機原則],然後按一下以展開 [使用者權限指派]
  4. 按兩下 [新增工作站至網域] 並記下列出的帳戶。
  5. 應該會列出 Authenticated Users 群組 (預設群組)。 如果沒有列出,您就必須對叢集服務帳戶,或是在網域控制站上包含叢集服務帳戶的群組,授予這項使用者權限。

    注意:由於電腦物件是在網域控制站上建立的,您必須將這項使用者權限授予給網域控制站。
  6. 如果您對叢集服務帳戶明確地加入這項使用者權限,請在網域控制站上執行 gpupdate (或是執行 Windows 2000 的 secedit),以便將新的使用者權限複寫到所有的網域控制站。
  7. 請確定此原則不會被其他原則覆寫。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    250842 Troubleshooting Group Policy Application Problems

叢集服務帳戶在區域節點沒有適當的使用者權限

確認叢集服務帳戶在叢集的每個節點,都具有適當的使用者權限。叢集服務帳戶必須在本機系統管理員群組中,而且應該具有以下列出的權限。 這些權限是在設定叢集節點時,授予給叢集服務帳戶的。 也可能發生下列情況:較高等級的原則覆寫了本機原則,或是從舊版作業系統升級而來的本機原則沒有加入所有必要的權限。 如果要確認有在區域節點授予這些權限,請遵循以下程序:
  1. [系統管理工具] 群組啟動 [本機安全性設定值] 主控台。
  2. 瀏覽到 [本機原則] 下的 [使用者權限指派]
  3. 確認已明確對叢集服務帳戶授予下列權限:
    • 以服務方式登入
    • 做為作業系統的一部分
    • 備份檔案及目錄
    • 調整處理程序記憶體配額
    • 增加排程優先權
    • 還原檔案及目錄
如果遺漏任何權限,請明確給予叢集服務帳戶該項權限,然後停止並重新啟動叢集服務。 在重新啟動叢集服務之前,新增的權限都不會產生效用。如果叢集服務帳戶依然無法建立電腦物件,請確認群組原則沒有覆寫本機原則。如果要執行這項操作,若是在 Windows 2000 網域可在 [命令提示字元] 輸入 gpresult,在 Windows Server 2003 網域上則可從 MMC 嵌入式管理單元的原則結果組 (RSOP) 進行。如需有關 Windows 2000 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
250842 Troubleshooting Group Policy Application Problems
如果您在 Windows Server 2003 網域,請在 [說明及支援] 搜尋 RSOP 以取得使用原則結果組的指示。



如果叢集服務帳戶沒有「做為作業系統的一部分」權限,網路名稱資源便會失敗,Cluster.log 則會註冊下列資訊:
Failed to enable TCB privilege, status C0000061 (啟用 TCB 權限失敗,狀態 C0000061)

ERR Network Name Cluster Name: (ERR 網路名稱叢集名稱:) Failed to add credentials (無法新增憑證)

to LSA for computer account Cluster status 1314 (至電腦帳戶叢集狀態 1314 的 LSA)
請使用以上步驟來確認叢集服務帳戶具備所有的必要權限。如果本機安全性原則被網域或組織單位 (OU) 群組原則覆寫,就會有幾個選項可供選擇。您可以將叢集節點放置在自己的 OU 中,這些 OU 都必須取消選取 [允許來自父項的可繼承權限可以傳播至此物件]。

在使用預先建立電腦物件時需要存取權

如果 Authenticated Users 群組的成員或叢集服務帳戶遭到封鎖而無法建立電腦物件,身為網域系統管理員的您,就必須預先建立虛擬的伺服器電腦物件。 您必須將預先建立的電腦物件上的一些存取權授予叢集服務帳戶。叢集服務會嘗試更新符合虛擬伺服器 NetBIOS 名稱的電腦物件。 如果這些權限出現問題,在系統記錄檔中就可能記錄下列的事件識別碼訊息:
事件來源: ClusSvc

事件類別:網路名稱資源

事件識別碼:1194



描述:

microsoft.com 網域中 Network Name Resource 叢集資源的電腦帳戶,因為下列原因而無法建立: 無法更新密碼。



錯誤碼的文字為:Access is denied. (拒絕存取)。
- 或 -
事件來源:ClusSvc

事件類別:網路名稱資源

事件識別碼:1194



描述:

microsoft.com 網域中 Network Name Resource 叢集資源的電腦帳戶,因為下列原因而無法建立:無法設定 ServicePrincipalName 屬性。



錯誤碼的文字為:Insufficient access rights to perform the operation. (存取權不足,無法執行作業)。
- 或 -
事件來源:ClusSvc

事件類別:網路名稱資源

事件識別碼:1194



描述:

microsoft.com 網域中 Network Name Resource 叢集資源的電腦帳戶,因為下列原因而無法建立:無法設定 DnsHostName 屬性。



錯誤碼的文字為:Access is denied. (拒絕存取)。
如果要確認叢集服務帳戶在電腦物件具有適當權限:
  1. 從 [系統管理工具] 啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。
  2. [檢視] 功能表上,按一下 [進階功能]
  3. 找到您要叢集服務帳戶使用的電腦物件。
  4. 用滑鼠右鍵按一下電腦物件,然後按一下 [內容]
  5. 按一下 [安全性] 索引標籤,再按一下 [新增]
  6. 新增叢集服務帳戶,或新增叢集服務帳戶為其成員之一的群組。
  7. 授予使用者或群組下列權限:
    • 重設密碼
    • 已確認寫入 DNS 主機名稱
    • 已確認寫入服務主要名稱
  8. 按一下 [確定]
如果有多部網域控制站,您可能需要等待權限變更,以複寫到其他的網域控制站 (依照預設值,每 15 分鐘會發生一次複寫周期)。



網域名稱資源在停用 Kerberos 時無法連線

如果電腦物件存在,不過您卻沒有選取 [啟用 Kerberos 驗證] 選項,網路名稱資源就會無法連線。如果要解決這個問題,請使用下列任一項程序:
  • 刪除在 Active Directory 中的對應電腦物件



    - 或 -
  • 在網路名稱資源中,按一下 [啟用 Kerberos 驗證]
如果您沒有在網路名稱資源選取 [啟用 Kerberos 驗證] 選項,而且電腦物件不存在於 Active Directory 中,請參考下列「Microsoft 知識庫文件」,以取得有關如何疑難排解網路名稱資源的詳細資訊。

257903 Cluster Network Name May Not Come Online with Event ID 1052

屬性

文章編號: 307532 - 上次校閱: 2004年9月20日 - 版次: 12.2
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
關鍵字:?
kberrmsg kbhowto kbinfo kbenv KB307532
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com