Problembehandlung für das Clusterdienstkonto beim Ändern von Computerobjekten

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Probleme mit dem Clusterdienst behandeln, wenn er ein Computerobjekt in Active Directory für einen Servercluster (virtueller Server) erstellt oder ändert.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 307532

Active Directory-Zugriffsrechte zum Erstellen eines Computerobjekts

Standardmäßig erhalten Mitglieder der Gruppe Domänenbenutzer das Benutzerrecht zum Hinzufügen von Arbeitsstationen zu einer Domäne. Standardmäßig ist dieses Benutzerrecht auf ein maximales Kontingent von 10 Computerobjekten in Active Directory festgelegt. Wenn Sie dieses Kontingent überschreiten, wird die folgende Ereignis-ID protokolliert:

Wenn mehrere Cluster dasselbe Domänenkonto wie ihr Clusterdienstkonto verwenden, erhalten Sie möglicherweise diese Fehlermeldung, bevor Sie zehn Computerobjekte in einem bestimmten Cluster erstellen. Eine Möglichkeit, dieses Problem zu beheben, besteht darin, dem Clusterdienstkonto die Berechtigung Computerobjekte erstellen für den Container Computer zu gewähren. Diese Berechtigung überschreibt das Benutzerrecht Arbeitsstationen zu einer Domäne hinzufügen, das ein Standardkontingent von zehn hat.

So überprüfen Sie, ob das Clusterdienstkonto über das Benutzerrecht Arbeitsstationen zu einer Domäne hinzufügen verfügt:

  1. Melden Sie sich bei dem Domänencontroller an, auf dem das Clusterdienstkonto gespeichert ist.

  2. Starten Sie das Programm für die Domänencontrollersicherheitsrichtlinie über die Verwaltungstools.

  3. Klicken Sie, um lokale Richtlinien zu erweitern, und erweitern Sie dann Zuweisungen von Benutzerrechten.

  4. Doppelklicken Sie auf Arbeitsstationen zu einer Domäne hinzufügen , und notieren Sie sich die aufgelisteten Konten.

  5. Die Gruppe Authentifizierte Benutzer (die Standardgruppe) sollte aufgelistet werden. Wenn es nicht aufgeführt ist, müssen Sie diesem Benutzer das Recht entweder dem Clusterdienstkonto oder einer Gruppe gewähren, die das Clusterdienstkonto auf den Domänencontrollern enthält.

    Hinweis

    Sie müssen den Domänencontrollern dieses Benutzerrecht gewähren, da Computerobjekte auf den Domänencontrollern erstellt werden.

  6. Wenn Sie diesem Benutzerrecht explizit das Clusterdienstkonto hinzufügen, führen Sie gpupdate auf dem Domänencontroller aus (oder führen Sie für Windows 2000 aus secedit ), damit das neue Benutzerrecht auf alle Domänencontroller repliziert wird.

  7. Stellen Sie sicher, dass die Richtlinie nicht von einer anderen Richtlinie überschrieben wird.

Das Clusterdienstkonto verfügt nicht über die richtigen Benutzerrechte auf dem lokalen Knoten.

Vergewissern Sie sich, dass das Clusterdienstkonto über die entsprechenden Benutzerrechte für jeden Knoten des Clusters verfügt. Das Clusterdienstkonto muss sich in der lokalen Administratorgruppe befinden und sollte über die unten aufgeführten Rechte verfügen. Diese Rechte werden dem Clusterdienstkonto während der Konfiguration des Clusterknotens erteilt. Es ist möglich, dass eine Richtlinie auf höherer Ebene die lokale Richtlinie überschreibt oder dass bei einem Upgrade eines vorherigen Betriebssystems nicht alle erforderlichen Rechte hinzugefügt werden. Führen Sie die folgenden Verfahren aus, um zu überprüfen, ob diese Rechte auf dem lokalen Knoten erteilt werden:

  1. Starten Sie die Konsole Lokale Sicherheitseinstellungen aus der Gruppe Verwaltung .

  2. Navigieren Sie unter Lokale Richtlinien zu Zuweisungen von Benutzerrechten.

  3. Vergewissern Sie sich, dass dem Clusterdienstkonto explizit die folgenden Rechte erteilt wurden:

    • Anmelden als Dienst
    • Einsetzen als Teil des Betriebssystems
    • Sichern von Dateien und Verzeichnissen
    • Anpassen von Speicherkontingenten für einen Prozess
    • Erhöhen der Planungspriorität
    • Wiederherstellen von Dateien und Verzeichnissen

    Hinweis

    Wenn das Clusterdienstkonto aus der lokalen Administratorgruppe entfernt wurde, erstellen Sie das Clusterdienstkonto manuell neu, und erteilen Sie dem Clusterdienst die erforderlichen Rechte.

    Wenn eines der Rechte fehlt, weisen Sie dem Clusterdienstkonto explizite Rechte dafür zu, und beenden Sie den Clusterdienst, und starten Sie ihn neu. Die hinzugefügten Rechte werden erst wirksam, wenn Sie den Clusterdienst neu starten. Wenn das Clusterdienstkonto immer noch kein Computerobjekt erstellen kann, überprüfen Sie, ob eine Gruppenrichtlinie die lokale Richtlinie nicht überschreibt. Dazu können Sie entweder gpresult an der Eingabeaufforderung eingeben, wenn Sie sich in einer Windows 2000-Domäne befinden, oder Resultant Set of Policy (RSOP) aus einem MMC-Snap-In, wenn Sie sich in einer Windows Server 2003-Domäne befinden.

    Wenn Sie sich in einer Windows Server 2003-Domäne befinden, suchen Sie unter Hilfe und Support auf "RSOP", um Anweisungen zur Verwendung des resultierenden Richtliniensatzes zu erhalten.

    Wenn das Clusterdienstkonto nicht über die Berechtigung "Als Teil des Betriebssystems handeln" verfügt, tritt bei der Netzwerknamenressource ein Fehler auf, und die Cluster.log registriert die folgende Meldung:

    Führen Sie die oben genannten Schritte aus, um zu überprüfen, ob das Clusterdienstkonto über alle erforderlichen Rechte verfügt. Wenn die lokalen Sicherheitsrichtlinien von einer Domänen- oder Organisationseinheits-Gruppenrichtlinie überschreiben werden, gibt es mehrere Optionen. Sie können die Clusterknoten in einer eigenen Organisationseinheit platzieren, die die Deaktivierung der Option "Vererbbare Berechtigungen vom übergeordneten Element für die Weitergabe an dieses Objekt zulassen" aufweist.

Erforderliche Zugriffsrechte bei Verwendung eines vorab erstellten Computerobjekts

Wenn Mitglieder der Gruppe Authentifizierte Benutzer oder des Clusterdienstkontos daran gehindert werden, ein Computerobjekt zu erstellen, müssen Sie als Domänenadministrator das Computerobjekt des virtuellen Servers vorab erstellen. Sie müssen dem Clusterdienstkonto bestimmte Zugriffsrechte für das vorab erstellte Computerobjekt gewähren. Der Clusterdienst versucht, das Computerobjekt zu aktualisieren, das mit dem NetBIOS-Namen des virtuellen Servers übereinstimmt.

So überprüfen Sie, ob das Clusterdienstkonto über die richtigen Berechtigungen für das Computerobjekt verfügt:

  1. Starten Sie das Active Directory-Benutzer und -Computer-Snap-In über Die Verwaltung.

  2. Wählen Sie im Menü Ansichtdie Option Erweiterte Features aus.

  3. Suchen Sie das Computerobjekt, das vom Clusterdienstkonto verwendet werden soll.

  4. Klicken Sie mit der rechten Maustaste auf das Computerobjekt, und wählen Sie dann Eigenschaften aus.

  5. Wählen Sie die Registerkarte Sicherheit und dann Hinzufügen aus.

  6. Fügen Sie das Clusterdienstkonto oder eine Gruppe hinzu, der das Clusterdienstkonto angehört.

  7. Erteilen Sie dem Benutzer oder der Gruppe die folgenden Berechtigungen:

    • Kennwort zurücksetzen
    • Überprüfter Schreibvorgang in DNS-Hostname
    • Überprüfter Schreibvorgang in Dienstprinzipalname

  8. Wählen Sie OK aus. Wenn mehrere Domänencontroller vorhanden sind, müssen Sie möglicherweise warten, bis die Berechtigungsänderung auf die anderen Domänencontroller repliziert wurde (standardmäßig erfolgt ein Replikationszyklus alle 15 Minuten).

Netzwerknamenressource wird nicht online geschaltet, wenn Kerberos deaktiviert ist

Eine Netzwerknamenressource wird nicht online geschaltet, wenn ein Computerobjekt vorhanden ist, Sie aber nicht die Option Kerberos-Authentifizierung aktivieren auswählen. Verwenden Sie eines der folgenden Verfahren, um das Problem zu beheben:

  • Löschen Sie das entsprechende Computerobjekt in Active Directory.
  • Wählen Sie für die Ressource Netzwerkname die Option Kerberos-Authentifizierung aktivieren aus.