Mot de passe du compte de service cluster doit être définie sur 15 caractères ou plus si la stratégie NoLMHash est activée


Symptômes


Lorsque vous essayez de joindre le deuxième nœud du cluster, l’Assistant renvoie le message suivant :
< CSA > n’a pas l’autorisation d’administrer le cluster.
En outre, si vous démarrez l’administrateur de Cluster (CluAdmin.exe) sur un cluster ou d’un serveur distant, le message d’erreur suivant peut s’afficher :
Accès refusé

Cause


Au lieu de stocker votre mot de passe de compte d’utilisateur en texte clair, Microsoft Windows génère et stocke les mots de passe de compte utilisateur à l’aide de deux représentations de mot de passe différent, connues sous le nom « hachages ». Lorsque vous définissez ou vous modifiez le mot de passe pour un compte d’utilisateur un mot de passe qui contient moins de 15 caractères, Windows génère un hachage LAN Manager (LMHash) et un hachage Microsoft Windows NT (hachage NT) du mot de passe. Ces hachages sont stockés dans la base de données Gestionnaire de comptes de sécurité (SAM) locale ou dans Active Directory.


Si la sécurité réseau : ne pas stocker de valeur de hachage de LAN Manager sur la prochaine modification de mot de passe stratégie est définie, aucun codage LMHash n’est dans le compte de service de Cluster (CSA) dans Active Directory.

Lorsqu’un mot de passe de moins de 15 caractères est utilisé pour le CSA, lorsque vous joignez le deuxième nœud du processus d’installation génère le hachage LMHash pour générer une clé de session pour authentifier. Dans la mesure où aucun hachage LMHash n’est stocké dans Active Directory, le contrôleur de domaine ne peut pas générer une clé de session correspondante. L’accès est refusé. Lorsque vous utilisez un mot de passe disposant de 15 caractères ou plus pour le CSA, hachage LMHash ne peuvent pas être généré par le processus d’installation. Au lieu de cela, le hachage de mot de passe Windows NT servira pour dériver la clé de session. Le contrôleur de domaine sera en mesure de générer une clé de session correspondante. L’authentification réussira. Pour plus d’informations sur la façon d’empêcher le stockage sous la forme d’un hachage LAN Manager de votre mot de passe, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

299656 comment empêcher Windows de stocker un hachage LAN manager de votre mot de passe dans Active Directory et les bases de données SAM locales

Résolution


Pour résoudre ce problème, sélectionnez la méthode qui convient le mieux à votre situation.

Méthode 1 : Utiliser un mot de passe d’au moins 15 caractères.

Lorsque la stratégie NoLMHash est définie dans Active Directory et ne peut pas être désactivée pour des raisons de sécurité, utilisez un mot de passe d’au moins 15 caractères long pour empêcher que l’Assistant de configuration de cluster à l’aide d’un hachage LMHash pour l’authentification.

Méthode 2 : Permet le stockage LMHash dans Active Directory

Activer le stockage du hachage LMHash de mot de passe utilisateur à l’aide de la stratégie de groupe dans Active Directory. Pour ce faire, procédez comme suit :
  1. Dans la stratégie groupe contrôleurs de domaine par défaut, développez
    Configuration de l’ordinateur, développez Paramètres Windows, Paramètres de sécurité,
    Les Stratégies locales, puis cliquez sur Options de sécurité.
  2. Dans la liste des stratégies disponibles, double-cliquez sur
    Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe.
  3. Cliquez sur désactivé, puis cliquez sur
    OK.
  4. Assurez-vous que la stratégie est répliquée et qu’il est appliquée.
  5. Réinitialiser le mot de passe du CSA (la longueur peut être inférieur à 15 caractères) pour vous assurer que le hachage LMHash est écrit pour le SAM et d’Active Directory.

Méthode 3 : Installation d’un correctif

Un correctif est disponible auprès de Microsoft pour résoudre ce problème afin que les mots de passe de 15 caractères ne sont pas requis lorsque la valeur de la stratégie NoLMHash dans Active Directory. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

890761 vous recevez un message d’erreur « Erreur 0x8007042b » lorsque vous ajoutez ou joignez un noeud à un cluster si vous utilisez NTLM version 2 dans Windows Server 2003