現在オフラインです。再接続するためにインターネットの接続を待っています

コンピュータ オブジェクト変更時のクラスタ サービス アカウントのトラブルシューティング方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

概要
この資料では、クラスタ サービスが Active Directory でサーバー クラスタ (仮想サーバー) のコンピュータ オブジェクトの作成や変更を行う際に発生する問題のトラブルシューティング方法について説明します。クラスタ サービスに関連するコンピュータ オブジェクトの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
302389 Windows Server 2003 のクラスタ ネットワーク名リソースのプロパティの説明
詳細

コンピュータ オブジェクトの作成に必要な Active Directory のアクセス許可

デフォルトで、Domain Users グループのメンバには、[ドメインにワークステーションを追加] ユーザー権利が付与されています。デフォルトでは、このユーザー権利には Active Directory 内のコンピュータ オブジェクトの最大クォータとして 10 が設定されています。このクォータを超えると、次のイベント ID メッセージがログに記録されます。

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : コンピュータ アカウントを作成できません



関連するエラー コードのテキスト : コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて最大数をリセットするか、または増やしてください。



クラスタ サービス アカウントに Active Directory への正しいアクセスがない可能性があります。ドメイン管理者に連絡して問題を解決してください。

複数のクラスタでクラスタ サービス アカウントとして同じドメイン アカウントが使用されている場合、1 つのクラスタ内にコンピュータ オブジェクトを 10 個作成する前にこのエラー メッセージが表示されることがあります。この問題を解決する方法の 1 つは、Computers コンテナでクラスタ サービス アカウントに [コンピュータ オブジェクトの作成] アクセス許可を付与することです。この許可は、デフォルトのクォータが 10 に設定されている [ドメインにワークステーションを追加] ユーザー権利よりも優先されます。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
251335 ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない
クラスタ サービス アカウントに [ドメインにワークステーションを追加] ユーザー権利が付与されているかどうかを確認するには、次の手順を実行します。
  1. 対象となるクラスタ サービス アカウントが格納されているドメイン コントローラにログオンします。
  2. [管理ツール] の [ドメイン コントローラ セキュリティ ポリシー] を起動します。
  3. [ローカル ポリシー] をクリックして展開し、[ユーザー権利の割り当て] をクリックして展開します。
  4. [ドメインにワークステーションを追加] をダブルクリックし、一覧に表示されているアカウントを確認します。
  5. Authenticated Users グループ (デフォルトのグループ) が表示されます。このグループが表示されていない場合、この権利をクラスタ サービス アカウント、またはそのクラスタ サービス アカウントが所属しているドメイン コントローラ上のグループに付与する必要があります。

    : コンピュータ オブジェクトはドメイン コントローラ上に作成されるため、このユーザー権利はドメイン コントローラに対して付与する必要があります。
  6. このユーザー権利にクラスタ サービス アカウントを明示的に追加する場合、ドメイン コントローラで gpupdate (Windows 2000 の場合は secedit) を実行して、新しいユーザー権利をすべてのドメイン コントローラにレプリケートします。
  7. ポリシーが別のポリシーによって上書きされないことを確認してください。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    250842 グループ ポリシー適用の問題のトラブルシューティング

ローカル ノードでクラスタ サービス アカウントに適切なユーザー権利が付与されていない

クラスタの各ノードで、クラスタ サービス アカウントに適切なユーザー権利が付与されているかどうかを検証します。クラスタ サービス アカウントはローカルの Administrators グループに含まれている必要があり、また後述の権利が付与されている必要もあります。これらの権利は、クラスタ ノードの構成中にクラスタ サービス アカウントに付与されます。高レベルのポリシーによってローカル ポリシーが上書きされているか、以前のオペレーティング システムからのアップグレード時に必要な権利の一部が追加されていない可能性があります。これらの権利がローカル ノードに付与されていることを確認するには、次の手順を実行します。
  1. [管理ツール] グループのローカル セキュリティ ポリシー スナップインを起動します。
  2. [ローカル ポリシー] の下の [ユーザー権利の割り当て] に移動します。
  3. クラスタ サービス アカウントに明示的に次の権利が付与されているかどうか検証します。
    • サービスとしてログオン
    • オペレーティング システムの一部として機能
    • ファイルとディレクトリのバックアップ
    • プロセスのメモリ クォータの増加
    • スケジューリング優先順位の繰り上げ
    • ファイルとディレクトリの復元


    : クラスタ サービス アカウントがローカルの Administrators グループから削除されている場合は、クラスタ サービス アカウントを手動で再作成して、クラスタ サービスに対して必要な権利を付与します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    269229 クラスタ サービス アカウントを手動で再作成する方法
付与されていない権利がある場合は、明示的にクラスタ サービス アカウントにその権利を付与し、クラスタ サービスを停止してから再起動します。追加した権利は、クラスタ サービスを再起動するまで有効になりません。再起動してもクラスタ サービス アカウントがコンピュータ オブジェクトを作成できない場合、ローカル ポリシーがグループ ポリシーによって上書きされていないことを確認してください。Windows 2000 ドメインの場合はコマンド プロンプトで gpresult と入力し、Windows Server 2003 ドメインの場合は MMC スナップインのポリシーの結果セット (RSOP) を使用して確認します。Windows 2000 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
250842 グループ ポリシー適用の問題のトラブルシューティング
Windows Server 2003 ドメインに参加している場合は、ヘルプとサポートで「RSOP」について検索し、ポリシーの結果セットの使用方法に関する説明を参照してください。

クラスタ サービス アカウントに [オペレーティング システムの一部として機能] 権利が付与されていない場合、ネットワーク名リソースは失敗し、Cluster.log に次のログが記録されます。

Failed to enable TCB privilege, status C0000061

ERR Network Name Cluster Name: Failed to add credentials

to LSA for computer account Cluster status 1314

上記の手順を使用して、必要な権利がクラスタ サービス アカウントにすべて付与されていることを確認します。ローカル セキュリティ ポリシーがドメインまたは組織単位 (OU) のグループ ポリシーによって上書きされている場合、複数のオプションがあります。[親からの継承可能なアクセス許可をこのオブジェクトと子オブジェクトすべてに伝達できるようにし、それらをここで明示的に定義されているものに含める] が無効になっている独自の OU にクラスタ ノードを配置することもできます。

事前に作成されたコンピュータ オブジェクトを使用する場合に必要なアクセス許可

Authenticated Users グループのメンバ、またはクラスタ サービス アカウントがコンピュータ オブジェクトを作成できないようになっている場合、ドメイン管理者は仮想サーバーのコンピュータ オブジェクトを事前に作成する必要があります。この場合、事前に作成されたコンピュータ オブジェクトに対するアクセス許可をクラスタ サービス アカウントに付与する必要があります。クラスタ サービスは、仮想サーバーの NetBIOS 名と一致するコンピュータ オブジェクトを更新しようとします。アクセス許可に問題がある場合、次のいずれかのイベント ID のメッセージがシステム ログに出力されることがあります。

イベント メッセージ 1

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : コンピュータ アカウントのパスワードを更新できません。



関連するエラー コードのテキスト : アクセスが拒否されました。

イベント メッセージ 2

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : ServicePrincipalName 属性を設定できません。



関連するエラー コードのテキスト : この操作を実行するのに十分なアクセス権がありません。

イベント メッセージ 3

ソース : ClusSvc

分類 : ネットワーク名リソース

イベント ID : 1194



説明 :

ドメイン microsoft.com のクラスタ リソース 'ネットワーク名リソース' のコンピュータ アカウントを作成できませんでした。理由は次のとおりです : DnsHostName 属性を設定できません。



関連するエラー コードのテキスト : アクセスが拒否されました。

コンピュータ オブジェクトに対する適切なアクセス許可がクラスタ サービス アカウントに付与されているかどうかを検証するには、次の手順を実行します。
  1. [管理ツール] の [Active Directory ユーザーとコンピュータ] スナップインを起動します。
  2. [表示] メニューの [拡張機能] をクリックします。
  3. クラスタ サービス アカウントが使用するコンピュータ オブジェクトに移動します。
  4. コンピュータ オブジェクトを右クリックし、[プロパティ] をクリックします。
  5. [セキュリティ] タブをクリックし、[追加] をクリックします。
  6. クラスタ サービス アカウント、またはクラスタ サービス アカウントが所属しているグループを追加します。
  7. そのユーザーまたはグループに以下のアクセス許可を付与します。
    • パスワードのリセット
    • DNS ホスト名への検証された書き込み
    • サービス プリンシパル名への検証された書き込み
  8. [OK] をクリックします。
複数のドメイン コントローラが存在する場合、アクセス許可が他のドメイン コントローラにレプリケートされるまで待機する必要があることがあります (デフォルトでは、レプリケーション サイクルは 15 分ごとに発生します)。

Kerberos が無効になっている場合にネットワーク名リソースがオンラインにならない

コンピュータ オブジェクトが存在しても、[Kerberos 認証を有効にする] オプションが有効になっていないとネットワーク名リソースはオンラインになりません。この問題を解決するには、以下のいずれかの手順を実行します。
  • Active Directory を使用して該当するコンピュータ オブジェクトを削除します。
  • ネットワーク名リソースで [Kerberos 認証を有効にする] チェック ボックスをオンにします。
ネットワーク名リソースで [Kerberos 認証を有効にする] オプションがオンになっておらず、コンピュータ オブジェクトが Active Directory に存在しない場合、次の「サポート技術情報」 (Microsoft Knowledge Base) 資料でネットワーク名リソースのトラブルシューティング方法の情報を参照してください。
257903 クラスタ ネットワーク名がオンラインにならず、イベント ID 1052 が生成されることがある
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 307532 (最終更新日 2004-12-13) を基に作成したものです。
mscs eventid 1191 1192 1193 1194 1206 1207 1210 1211 1212
プロパティ

文書番号:307532 - 最終更新日: 09/27/2005 09:03:00 - リビジョン: 13.1

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

  • kberrmsg kbinfo kbenv KB307532
フィードバック