Jak řešit účet Clusterové služby při úpravách objektů počítače

Souhrn

Tento článek popisuje řešení potíží s Clusterová služba při vytvoří nebo upraví objekt počítače ve službě Active Directory pro cluster server (virtuální server). Další informace o objekty počítačů pro Clusterové služby klepněte na následující číslo článku databáze Microsoft Knowledge Base:

302389 popis vlastnosti prostředku síťového názvu clusteru v systému Windows Server 2003

Další informace

Active Directory přístupová práva pro vytvoření objektu počítače

Standardně jsou členy skupiny Domain Users uděleno uživatelské právo Přidat pracovní stanice do domény. Toto uživatelské právo je ve výchozím nastavení nastavena na maximální kvótu deset objektů počítače ve službě Active Directory. Pokud překročíte tuto kvótu, je zaznamenána následující zpráva ID události:
Pokud několik clustery používají stejný účet domény jako jejich účet Clusterové služby, může zobrazit tato chybová zpráva, před vytvořením deset objektů počítače v daném clusteru. Jedním ze způsobů řešení tohoto problému je udělit oprávnění vytvářet objekty počítačů v kontejneru počítače účet Clusterové služby. Toto oprávnění přepíše přidat pracovní stanice pro uživatele domény, který je vpravo, který má výchozí kvóta deset. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

251335 uživatelé domény nemohou připojit pracovní stanici nebo server k doméně

Chcete-li ověřit, zda účet Clusterové služby má stanicím přidat do domény uživatelské právo:

  1. Přihlaste se k řadiči domény, na kterém je uložen účet Clusterové služby.
  2. Spuštění programu zásady zabezpečení řadiče domény pomocí nástroje pro správu.
  3. Klepnutím rozbalte položku Místní zásadya potom klepnutím rozbalte položku Přiřazení uživatelských práv.
  4. Poklepejte na položku Přidat pracovní stanice do domény a poznamenejte si účty, které jsou uvedeny.
  5. Skupina Authenticated Users (výchozí skupiny) by měla být uvedena. Pokud není v seznamu uveden, je nutné udělit toto uživatelské právo k účtu Clusterové služby nebo skupinu obsahující účet Clusterové služby na řadičích domény.


    Poznámka: Vzhledem k tomu, že jsou vytvořeny objekty počítače v řadičích domény, je nutné udělit toto uživatelské právo na řadiče domény.
  6. Pokud explicitně přidat účet Clusterové služby toto uživatelské právo, spusťte příkaz gpupdate na řadič domény (nebo spuštění secedit pro systém Windows 2000), takže nové uživatelské právo je replikována do všech řadičů domény.
  7. Ověřte, že zásady nepřepíší se z jiné zásady. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    Řešení problémů s aplikací 250842 Poradce při potížích s Zásady skupiny

Účet Clusterové služby nemá dostatečná uživatelská práva v místním uzlu

Ověřte, zda účet Clusterové služby má příslušná uživatelská práva na každém uzlu clusteru. Účet Clusterové služby musí být v místní skupiny administrators a by níže uvedených práv. Tato práva jsou uvedeny pro účet služby clusteru během konfigurace uzlu clusteru. Je možné, vyšší úroveň zásad je nadbytečně zápis místní zásady nebo že upgrade z předchozí operační systém není přidat všechna potřebná práva. Chcete-li ověřit, že tato práva jsou uvedeny v místním uzlu, postupujte podle těchto postupů:

  1. Ze skupiny Nástroje pro správu spusťte konzolu Místní nastavení zabezpečení.
  2. Přejděte na místní zásady přiřazení uživatelských práv .
  3. Ověřte, že účet Clusterové služby má explicitně přidělena následující práva:

    • Přihlaste se jako služba
    • Jednat jako součást operačního systému
    • Zálohovat soubory a adresáře
    • Upravit kvóty paměti pro proces
    • Zvýšení plánovací priority
    • Obnovit soubory a adresáře


    Poznámka: Pokud účet Clusterové služby byla odebrána z místní skupiny Administrators, ručně znovu vytvořit účet Clusterové služby a Clusterové službě přidělit potřebná práva. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    269229 jak ručně znovu vytvořit účet Clusterové služby

Pokud chybí některý z práva, poskytnout explicitní práva účtu Clusterové služby, a poté zastavte a restartujte Clusterovou službu. Přidané práva se projeví, až po restartování Clusterové služby. Pokud účet Clusterové služby stále nelze vytvořit objekt počítače, zkontrolujte Zásady skupiny není neoprávněně zápis místní zásady. Chcete-li to provést, můžete buď typ gpresult příkazového řádku Pokud jsou v doméně systému Windows 2000 nebo modulu Výsledná sada zásad (RSOP) z modul Snap-in konzoly MMC, pokud jsou v doméně systému Windows Server 2003. Další informace o systému Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

Řešení problémů s aplikací 250842 Poradce při potížích s Zásady skupiny


Pokud jste v systému Windows Server 2003 domény, hledání v nápovědě a podpoře na "RSOP" pokyny týkající se použití modulu Výsledná sada zásad.

Pokud účet Clusterové služby nemá právo "Jednat jako část operačního systému", dojde k selhání prostředku síťového názvu a Cluster.log bude registrovat následující:

Pomocí výše uvedených kroků ověřte, zda účet Clusterové služby má požadovaná práva. Pokud místní zásady zabezpečení jsou zapisovány nadbytečně zásady pro doménu nebo organizační jednotku (OU) skupiny, existuje několik možností. Uzly clusteru můžete umístit do své vlastní organizační jednotky, která má "Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt" de vypnutá.

Potřebná přístupová práva při použití objektu počítače předem vytvořených

Pokud členové skupiny Authenticated Users nebo účet Clusterové služby jsou blokovány od vytvoření objektu počítače, pokud jste správce domény, je nutné předem vytvořit objekt počítače virtuálního serveru. Je třeba přidělit určitá přístupová práva k objektu počítače předem vytvořený účet Clusterové služby. Clusterová služba se pokusí aktualizovat objekt počítače, který odpovídá názvu NetBIOS virtuální server. Jedna z následujících zpráv ID událostí může být zaznamenána v systémovém protokolu, pokud je problém s oprávněními:

Zpráva o události 1

Zpráva události 2

Zpráva o události 3

Chcete-li ověřit, že účet Clusterové služby má příslušná oprávnění k objektu počítače:

  1. Spuštění modulu snap-in Active Directory uživatelé a počítače z nástroje pro správu.
  2. V nabídce Zobrazit klepněte na příkaz Upřesňující funkce.
  3. Vyhledejte objekt počítače, které chcete účet Clusterové služby použít.
  4. Klepněte pravým tlačítkem myši objekt počítače a potom klepněte na příkaz Vlastnosti.
  5. Klepněte na kartu zabezpečení a potom klepněte na tlačítko Přidat.
  6. Přidáte účet Clusterové služby nebo účet Clusterové služby členem skupiny.
  7. Udělení následujících oprávnění uživateli nebo skupině:

    • Obnovení hesla
    • Ověřený zápis názvu hostitele DNS
    • Ověřený zápis do hlavní název služby
  8. Klepněte na tlačítko OK
Pokud existuje více řadičů domény, musíte čekat na změnu oprávnění mají být replikovány do ostatních řadičů domény (standardně replikačního cyklu dochází každých 15 minut).

Prostředek síťového názvu nejsou přepnuty do režimu online v případě, že je protokol kerberos zakázán

Prostředek síťového názvu nejsou přepnuty do režimu online Pokud objekt počítače existuje, ale není možnost Povolit ověření protokolem Kerberos . Chcete-li tento problém vyřešit, použijte některou z následujících postupů:

  • Odstraníte odpovídající objekt počítače ve službě Active Directory.
  • Klepněte na tlačítko Povolit ověření Kerberos na prostředku síťového názvu.
Pokud vyberete možnost Povolit ověření Kerberos na prostředku síťového názvu a objektu počítače ve službě Active Directory neexistuje, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base informace o odstraňování prostředku síťového názvu:
257903 síťový název clusteru nesmí přijít online s událostí ID 1052

Vlastnosti

ID článku: 307532 - Poslední kontrola: 20. 1. 2017 - Revize: 1

Váš názor