Comment résoudre les problèmes liés au compte de service de cluster lorsqu’il modifie des objets ordinateur

  • Article

Cet article explique comment résoudre les problèmes liés au service de cluster lorsqu’il crée ou modifie un objet ordinateur dans Active Directory pour un cluster de serveurs (serveur virtuel).

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 307532

Droits d’accès Active Directory pour la création d’un objet ordinateur

Par défaut, les membres du groupe Utilisateurs du domaine se voient accorder le droit d’utilisateur d’ajouter des stations de travail à un domaine. Par défaut, ce droit d’utilisateur est défini sur un quota maximal de 10 objets ordinateur dans Active Directory. Si vous dépassez ce quota, le message d’ID d’événement suivant est enregistré :

Si plusieurs clusters utilisent le même compte de domaine que leur compte de service de cluster, vous pouvez recevoir ce message d’erreur avant de créer dix objets ordinateur dans un cluster donné. Une façon de résoudre ce problème consiste à accorder au compte de service de cluster l’autorisation Créer des objets ordinateur sur le conteneur Ordinateurs. Cette autorisation remplace le droit d’utilisateur Ajouter des stations de travail à un domaine, qui a un quota par défaut de dix.

Pour vérifier que le compte de service de cluster dispose du droit d’utilisateur Ajouter des stations de travail à un domaine :

  1. Connectez-vous au contrôleur de domaine sur lequel le compte de service de cluster est stocké.

  2. Démarrez le programme Stratégie de sécurité du contrôleur de domaine à partir des Outils d’administration.

  3. Cliquez pour développer Stratégies locales, puis cliquez pour développer Attributions de droits utilisateur.

  4. Double-cliquez sur Ajouter des stations de travail à un domaine et notez les comptes répertoriés.

  5. Le groupe Utilisateurs authentifiés (le groupe par défaut) doit être répertorié. S’il n’est pas répertorié, vous devez accorder ce droit d’utilisateur au compte de service de cluster ou à un groupe qui contient le compte de service de cluster sur les contrôleurs de domaine.

    Remarque

    Vous devez accorder ce droit d’utilisateur aux contrôleurs de domaine, car des objets ordinateur sont créés sur les contrôleurs de domaine.

  6. Si vous ajoutez explicitement le compte de service de cluster à ce droit d’utilisateur, exécutez gpupdate sur le contrôleur de domaine (ou exécutez secedit pour Windows 2000) afin que le nouveau droit d’utilisateur soit répliqué sur tous les contrôleurs de domaine.

  7. Vérifiez que la stratégie ne sera pas remplacée par une autre stratégie.

Le compte de service de cluster ne dispose pas des droits d’utilisateur appropriés sur le nœud local

Vérifiez que le compte de service de cluster dispose des droits d’utilisateur appropriés sur chaque nœud du cluster. Le compte de service de cluster doit se trouver dans le groupe Administrateurs local et doit disposer des droits listés ci-dessous. Ces droits sont accordés au compte de service de cluster lors de la configuration du nœud de cluster. Il est possible qu’une stratégie de niveau supérieur surécrit la stratégie locale ou qu’une mise à niveau à partir d’un système d’exploitation précédent n’ajoute pas tous les droits requis. Pour vérifier que ces droits sont accordés sur le nœud local, procédez comme suit :

  1. Démarrez la console Paramètres de sécurité locaux à partir du groupe Outils d’administration .

  2. Accédez à Attributions de droits utilisateur sous Stratégies locales.

  3. Vérifiez que le compte de service de cluster dispose explicitement des droits suivants :

    • Se connecter en tant que service
    • Agir en tant que partie du système d’exploitation
    • Sauvegarder des fichiers et des répertoires
    • Ajuster les quotas de mémoire pour un processus
    • Augmenter la priorité de planification
    • Restaurer des fichiers et des répertoires

    Remarque

    Si le compte de service de cluster a été supprimé du groupe Administrateurs local, recréez manuellement le compte de service de cluster et accordez au service de cluster les droits requis.

    Si l’un des droits est manquant, accordez au compte de service de cluster des droits explicites pour celui-ci, puis arrêtez et redémarrez le service de cluster. Les droits ajoutés ne prennent pas effet tant que vous n’avez pas redémarré le service de cluster. Si le compte de service de cluster ne peut toujours pas créer d’objet ordinateur, vérifiez qu’un stratégie de groupe ne surécrit pas la stratégie locale. Pour ce faire, vous pouvez taper gpresult à l’invite de commandes si vous êtes dans un domaine Windows 2000 ou jeu de stratégies résultant (RSOP) à partir d’un composant logiciel enfichable MMC si vous êtes sur un domaine Windows Server 2003.

    Si vous êtes dans un domaine Windows Server 2003, recherchez dans Aide et support sur « RSOP » pour obtenir des instructions sur l’utilisation de l’ensemble de stratégies résultant.

    Si le compte de service de cluster n’a pas le droit « Agir en tant que partie du système d’exploitation », la ressource Nom du réseau échoue et le Cluster.log inscrit le message suivant :

    Suivez les étapes ci-dessus pour vérifier que le compte de service de cluster dispose de tous les droits requis. Si les stratégies de sécurité locales sont surécrites par une stratégie de groupe de domaine ou d’unité d’organisation (UO), il existe plusieurs options. Vous pouvez placer les nœuds de cluster dans leur propre unité d’organisation qui a l’option « Autoriser les autorisations héritées du parent à se propager à cet objet » désélectionnée.

Droits d’accès requis lors de l’utilisation d’un objet ordinateur précréé

Si les membres du groupe Utilisateurs authentifiés ou du compte de service de cluster ne peuvent pas créer un objet ordinateur, si vous êtes l’administrateur de domaine, vous devez précréer l’objet ordinateur du serveur virtuel. Vous devez accorder certains droits d’accès au compte de service de cluster sur l’objet ordinateur créé au préalable. Le service de cluster tente de mettre à jour l’objet ordinateur qui correspond au nom NetBIOS du serveur virtuel.

Pour vérifier que le compte de service de cluster dispose des autorisations appropriées sur l’objet ordinateur :

  1. Démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory à partir des Outils d’administration.

  2. Dans le menu Affichage , sélectionnez Fonctionnalités avancées.

  3. Recherchez l’objet ordinateur que vous souhaitez que le compte de service de cluster utilise.

  4. Cliquez avec le bouton droit sur l’objet ordinateur, puis sélectionnez Propriétés.

  5. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

  6. Ajoutez le compte de service de cluster ou un groupe dont le compte de service de cluster est membre.

  7. Accordez à l’utilisateur ou au groupe les autorisations suivantes :

    • Réinitialiser le mot de passe
    • Écriture validée dans le nom d’hôte DNS
    • Écriture validée dans le nom du principal du service

  8. Sélectionnez OK. S’il existe plusieurs contrôleurs de domaine, vous devrez peut-être attendre que la modification d’autorisation soit répliquée sur les autres contrôleurs de domaine (par défaut, un cycle de réplication se produit toutes les 15 minutes).

La ressource de nom réseau n’est pas mise en ligne lorsque Kerberos est désactivé

Une ressource Nom réseau n’est pas mise en ligne si un objet ordinateur existe, mais vous ne sélectionnez pas l’option Activer l’authentification Kerberos . Pour résoudre le problème, utilisez l’une des procédures suivantes :

  • Supprimez l’objet ordinateur correspondant dans Active Directory.
  • Sélectionnez Activer l’authentification Kerberos sur la ressource Nom réseau.