Solución de problemas de la cuenta de servicio de clúster cuando modifica objetos de equipo

  • Artículo

En este artículo se describe cómo solucionar problemas del servicio de clúster cuando crea o modifica un objeto de equipo en Active Directory para un clúster de servidor (servidor virtual).

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 307532

Derechos de acceso de Active Directory para crear un objeto de equipo

De forma predeterminada, a los miembros del grupo Usuarios del dominio se les concede el derecho de usuario de agregar estaciones de trabajo a un dominio. De forma predeterminada, este derecho de usuario se establece en una cuota máxima de 10 objetos de equipo en Active Directory. Si supera esta cuota, se registra el siguiente mensaje de identificador de evento:

Si varios clústeres usan la misma cuenta de dominio que su cuenta de servicio de clúster, puede recibir este mensaje de error antes de crear diez objetos de equipo en un clúster determinado. Una manera de resolver este problema es conceder a la cuenta de servicio de clúster el permiso Crear objetos de equipo en el contenedor Equipos. Este permiso invalida el derecho de usuario Agregar estaciones de trabajo a un dominio, que tiene una cuota predeterminada de diez.

Para comprobar que la cuenta de servicio de clúster tiene el derecho Agregar estaciones de trabajo a un usuario de dominio:

  1. Inicie sesión en el controlador de dominio en el que se almacena la cuenta de servicio de clúster.

  2. Inicie el programa directiva de seguridad del controlador de dominio desde Herramientas administrativas.

  3. Haga clic para expandir Directivas locales y, a continuación, haga clic para expandir Asignaciones de derechos de usuario.

  4. Haga doble clic en Agregar estaciones de trabajo a un dominio y anote las cuentas que aparecen.

  5. Debe aparecer el grupo Usuarios autenticados (el grupo predeterminado). Si no aparece en la lista, debe conceder a este usuario derecho a la cuenta de servicio de clúster o a un grupo que contenga la cuenta de servicio de clúster en los controladores de dominio.

    Nota:

    Debe conceder este derecho de usuario a los controladores de dominio porque los objetos de equipo se crean en los controladores de dominio.

  6. Si agrega explícitamente la cuenta de servicio de clúster a este derecho de usuario, ejecute gpupdate en el controlador de dominio (o ejecute secedit para Windows 2000) para que el nuevo derecho de usuario se replique en todos los controladores de dominio.

  7. Compruebe que otra directiva no sobrescribirá la directiva.

La cuenta de servicio de clúster no tiene los derechos de usuario adecuados en el nodo local.

Compruebe que la cuenta de servicio de clúster tiene los derechos de usuario adecuados en cada nodo del clúster. La cuenta de servicio de clúster debe estar en el grupo de administradores locales y debe tener los derechos que se enumeran a continuación. Estos derechos se conceden a la cuenta de servicio de clúster durante la configuración del nodo Clúster. Es posible que una directiva de nivel superior escriba en exceso la directiva local o que una actualización de un sistema operativo anterior no agregue todos los derechos necesarios. Para comprobar que estos derechos se proporcionan en el nodo local, siga estos procedimientos:

  1. Inicie la consola Configuración de seguridad local desde el grupo Herramientas administrativas .

  2. Vaya a Asignaciones de derechos de usuario en Directivas locales.

  3. Compruebe que se han concedido explícitamente los siguientes derechos a la cuenta de servicio de clúster:

    • Inicio de sesión como servicio
    • Actuar como parte del sistema operativo
    • Copia de seguridad de archivos y directorios
    • Ajustar las cuotas de la memoria para un proceso
    • Aumentar la prioridad de programación
    • Restauración de archivos y directorios

    Nota:

    Si la cuenta del servicio de clúster se ha quitado del grupo de administradores local, vuelva a crear manualmente la cuenta de servicio de clúster y conceda al servicio de clúster los derechos necesarios.

    Si falta alguno de los derechos, asigne derechos explícitos a la cuenta del servicio de clúster y, a continuación, detenga y reinicie el servicio de clúster. Los derechos agregados no surten efecto hasta que reinicie el servicio de clúster. Si la cuenta de servicio de clúster todavía no puede crear un objeto de equipo, compruebe que un directiva de grupo no está sobreescriba la directiva local. Para ello, puede escribir gpresult en el símbolo del sistema si se encuentra en un dominio de Windows 2000 o en un conjunto de directivas resultante (RSOP) desde un complemento MMC si se encuentra en un dominio de Windows Server 2003.

    Si estás en un dominio de Windows Server 2003, busca en Ayuda y soporte técnico en "RSOP" para obtener instrucciones sobre cómo usar el conjunto de directivas resultante.

    Si la cuenta de servicio de clúster no tiene el derecho "Actuar como parte del sistema operativo", se producirá un error en el recurso Nombre de red y el Cluster.log registrará el siguiente mensaje:

    Siga los pasos anteriores para comprobar que la cuenta del servicio de clúster tiene todos los derechos necesarios. Si una directiva de grupo de dominio o unidad organizativa (UO) sobreescriba las directivas de seguridad locales, hay varias opciones. Puede colocar los nodos de clúster en su propia unidad organizativa que tenga la opción "Permitir que los permisos heredados del elemento primario se propaguen a este objeto" no seleccionados.

Derechos de acceso necesarios al usar un objeto de equipo creado previamente

Si los miembros del grupo Usuarios autenticados o la cuenta de servicio de clúster no pueden crear un objeto de equipo, si es el administrador de dominio, debe crear previamente el objeto de equipo del servidor virtual. Debe conceder ciertos derechos de acceso a la cuenta de servicio de clúster en el objeto de equipo creado previamente. El servicio Cluster intenta actualizar el objeto de equipo que coincide con el nombre NetBIOS del servidor virtual.

Para comprobar que la cuenta de servicio de clúster tiene los permisos adecuados en el objeto de equipo:

  1. Inicie el complemento Usuarios y equipos de Active Directory desde Herramientas administrativas.

  2. En el menú Ver , seleccione Características avanzadas.

  3. Busque el objeto de equipo que desea que use la cuenta de servicio de clúster.

  4. Haga clic con el botón derecho en el objeto de equipo y, a continuación, seleccione Propiedades.

  5. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

  6. Agregue la cuenta de servicio de clúster o un grupo al que pertenece la cuenta de servicio de clúster.

  7. Conceda al usuario o al grupo los permisos siguientes:

    • Restablecer contraseña
    • Escritura validada en el nombre de host DNS
    • Nombre de la entidad de seguridad de servicio de escritura validada

  8. Seleccione Aceptar. Si hay varios controladores de dominio, es posible que tenga que esperar a que el cambio de permiso se replique en los demás controladores de dominio (de forma predeterminada, se produce un ciclo de replicación cada 15 minutos).

El recurso de nombre de red no se conecta cuando kerberos está deshabilitado

Un recurso nombre de red no está en línea si existe un objeto de equipo, pero no selecciona la opción Habilitar autenticación Kerberos . Para resolver el problema, use cualquiera de los procedimientos siguientes:

  • Elimine el objeto de equipo correspondiente en Active Directory.
  • Seleccione Habilitar autenticación Kerberos en el recurso Nombre de red.