Recuperación de un objeto de equipo eliminado que admite un recurso de nombre de red en un clúster de conmutación por error

  • Artículo

En este artículo se describe cómo recuperar un objeto de equipo eliminado que admite un recurso de nombre de red en un clúster de conmutación por error.

Se aplica a: Windows Server 2012 R2
Número de KB original: 950805

Resumen

De forma predeterminada, el nuevo modelo de seguridad en clústeres de conmutación por error de Windows Server 2008 o Windows Server 2008 R2 incluye la autenticación Kerberos. Para crear este modelo de seguridad, cada punto de acceso de cliente (CAP) que se crea en un clúster de conmutación por error de Windows Server 2008 o Windows Server 2008 R2 contiene un recurso de nombre de red. El recurso Nombre de red tiene una cuenta de equipo correspondiente que se crea en el servicio de directorio de Active Directory cuando el recurso está en línea por primera vez.

De forma predeterminada, la cuenta de equipo se crea en el contenedor Equipos. Sin embargo, la cuenta de equipo se puede reubicar en otra unidad organizativa (UO). La cuenta de equipo también se puede preconfigurar en una unidad organizativa antes de crear la CAP. Si estas cuentas de equipo se eliminan de Active Directory, se reducirá la disponibilidad del recurso Nombre de red.

Las cuentas de equipo que se crean en Active Directory representan los recursos de nombre de red de un clúster de conmutación por error. Estas cuentas tienen los siguientes tipos distintos:

  • La cuenta de equipo que representa el nombre del clúster se denomina objeto de nombre de clúster (CNO). Esta cuenta es el contexto de seguridad principal de un clúster.
  • Otras cuentas de equipo que pertenecen a recursos de nombre de red del mismo clúster se denominan Objetos de equipo virtual (VCO). El CNO crea estas cuentas. Si alguna de estas cuentas se elimina de Active Directory, la próxima vez que el nombre de red intente conectarse, se producirá un error en el nombre de red y se registrará el siguiente mensaje de error en el registro del sistema: Id. de evento: 1207

Nivel de evento: error

Origen de eventos: FailoverClustering

Identificador de evento: 1207

Descripción: el recurso ResourceName de nombre de red del clúster no se puede poner en línea. El objeto de equipo asociado al recurso no se pudo actualizar en domain DomainName por el siguiente motivo:

El texto del código de error asociado es: No hay ningún objeto de este tipo en el servidor.

La identidad del clúster CNO$Name puede carecer de los permisos necesarios para actualizar el objeto. Trabaje con el administrador de dominio para asegurarse de que la identidad del clúster puede actualizar objetos de equipo en el dominio.

y los siguientes mensajes se registran en el registro del clúster:

WARN [RES] Network Name <FSCAP01>: Trying to remove credentials for LocalSystem returned status C0000225, STATUS_NOT_FOUND is a non-critical failure for a remove operation INFO [RES] Network Name <FSCAP01>: Initiating the Network Name operation: 'Verifying computer object associated with network name resource FSCAP01' INFO [RES] Network Name <FSCAP01>: Trying to find computer account FSCAP01 object GUID(d66e09dd8857e84da1f3a26fb1903e38) en cualquier controlador de dominio disponible. WARN [RES] Nombre <de red FSCAP01>: error al buscar la cuenta de equipo existente. status 80072030 WARN [RES] Network Name <FSCAP01>: Error al buscar la cuenta de equipo existente. status 80072030 INFO [RES] Network Name <FSCAP01>: Trying to find object d66e09ddd8857e84da1f3a26fb1903e38 en un PDC. WARN [RES] Nombre <de red FSCAP01>: error al buscar la cuenta de equipo existente. status 80072030 INFO [RES] Network Name <FSCAP01>: Unable to find object d66e09ddd8857e84da1f3a26fb1903e38 en un PDC. INFO [RES] Nombre <de red FSCAP01>: Error de GetComputerObjectViaGUIDEx(), Estado 80072030. WARN [RES] Nombre <de red FSCAP01>: Al intentar quitar las credenciales del estado devuelto por LocalSystem C0000225, STATUS_NOT_FOUND es un error no crítico para una operación de eliminación WARN [RHS] El recurso FSCAP01 ha indicado que no se puede conectar en este nodo. WARN [RCM] HandleMonitorReply: ONLINERESOURCE for 'FSCAP01', gen(8) result 5015.

Nota: status 80072030 = No hay ningún objeto de este tipo en el servidor

Sin embargo, los problemas se producirán incluso antes de que el recurso Nombre de red se ciclo sin conexión y en línea. Por ejemplo, un usuario o una aplicación de alta disponibilidad pueden no tener acceso a los recursos cuando no se puede obtener un token de seguridad que represente el objeto de equipo del clúster en Active Directory.

Para recuperarse de la eliminación de un objeto de equipo asociado a un recurso de nombre de red de clúster es diferente para un CNO que recuperarse de la eliminación de un objeto de equipo para un VCO.

Para recuperar un objeto de equipo eliminado que corresponde al CNO, siga estos pasos:

  1. Coordine con un administrador de dominio para recuperar primero el objeto de equipo eliminado del contenedor Objetos eliminados de Active Directory.

  2. Compruebe que el objeto Computer se ha restaurado en la ubicación correcta y, a continuación, habilite la cuenta.

  3. Forzar la replicación de dominio para que se produzca o esperar el intervalo de replicación configurado.

  4. En el complemento Administración de clústeres de conmutación por error de Microsoft Management Console (MMC), haga clic con el botón derecho en el nombre de red con errores que corresponde al nombre del clúster, seleccione Más acciones y, a continuación, haga clic en Reparar objeto de Active Directory.

Nota:

El usuario que sigue estos pasos en el complemento MMC de administración de clústeres de conmutación por error también debe tener el permiso "Restablecer contraseñas" en el dominio.

Para recuperar un objeto de equipo eliminado que corresponde a un VCO, siga estos pasos:

  1. Coordine con un administrador de dominio para recuperar primero el objeto de equipo eliminado del contenedor Objetos eliminados en Active Directory.
  2. Compruebe que el objeto de equipo se ha restaurado en la ubicación correcta y, a continuación, habilite la cuenta.
  3. Vea la configuración de seguridad del objeto de equipo y, a continuación, compruebe que el CNO todavía tiene permisos para el objeto.
  4. Forzar la replicación de dominio o esperar el intervalo de replicación configurado.
  5. En el complemento MMC De administración de clústeres de conmutación por error, haga clic con el botón derecho en el recurso nombre de red con errores y, a continuación, haga clic en **Poner este recurso en línea. Si un objeto de equipo eliminado ya no existe en el contenedor Objetos eliminados, el objeto nunca existió o se eliminó y se recogió como elemento no utilizado después de reunirse o superar la duración del lápiz. Nunca restaure AD a partir de una copia de seguridad anterior a la duración del lápiz. Esto puede inducir objetos persistentes en el entorno.

Referencias

Para obtener más información, visite los siguientes sitios web de Microsoft:

Recuperación de un objeto de nombre de clúster eliminado (CNO) en un clúster de conmutación por error de Windows Server 2008

Id. de evento 1207: permisos de Active Directory para cuentas de clúster

Copia de seguridad y restauración de Active Directory