コンピューター オブジェクトを変更するときにクラスター サービス アカウントのトラブルシューティングを行う方法

この記事では、サーバー クラスター (仮想サーバー) の Active Directory でコンピューター オブジェクトを作成または変更するときに、クラスター サービスのトラブルシューティングを行う方法について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 307532

コンピューター オブジェクトを作成するための Active Directory アクセス権

既定では、Domain Users グループのメンバーには、ドメインにワークステーションを追加する権限がユーザーに付与されます。 既定では、このユーザー権利は Active Directory のコンピューター オブジェクトの最大クォータ 10 に設定されます。 このクォータを超えると、次のイベント ID メッセージがログに記録されます。

複数のクラスターがクラスター サービス アカウントと同じドメイン アカウントを使用している場合は、特定のクラスターに 10 個のコンピューター オブジェクトを作成する前に、このエラー メッセージが表示されることがあります。 この問題を解決する 1 つの方法は、クラスター サービス アカウントに Computers コンテナーに対する [コンピューター オブジェクトの作成] アクセス許可を付与することです。 このアクセス許可は、既定のクォータが 10 であるドメイン ユーザー権限へのワークステーションの追加をオーバーライドします。

クラスター サービス アカウントに [ドメインへのワークステーションの追加] ユーザー権限があることを確認するには、次の手順を実行します。

1. クラスター サービス アカウントが格納されているドメイン コントローラーにサインインします。

2. 管理ツールからドメイン コントローラー セキュリティ ポリシー プログラムを開始します。

3. クリックして [ローカル ポリシー] を展開し、[ ユーザー権利の割り当て] をクリックして展開します。

4. [ドメインにワークステーションを追加] をダブルクリックし、一覧に表示されているアカウントをメモします。

5. Authenticated Users グループ (既定のグループ) が一覧表示されます。 一覧にない場合は、クラスター サービス アカウントまたはドメイン コントローラー上のクラスター サービス アカウントを含むグループに対して、このユーザー権限を付与する必要があります。

   注:

   コンピューター オブジェクトはドメイン コントローラー上に作成されるため、ドメイン コントローラーに対してこのユーザー権限を付与する必要があります。

6. このユーザー権利にクラスター サービス アカウントを明示的に追加する場合は、ドメイン コントローラーでを実行 gpupdate (または Windows 2000 で実行 secedit ) して、新しいユーザー権限がすべてのドメイン コントローラーにレプリケートされるようにします。

7. ポリシーが別のポリシーによって上書きされないようにします。

クラスター サービス アカウントに、ローカル ノードに対する適切なユーザー権限がありません

クラスター サービス アカウントが、クラスターの各ノードで適切なユーザー権限を持っていることを確認します。 クラスター サービス アカウントはローカル管理者グループに含まれている必要があり、次に示す権限を持っている必要があります。 これらの権限は、クラスター ノードの構成中にクラスター サービス アカウントに付与されます。 より高いレベルのポリシーがローカル ポリシーを上書きしているか、以前のオペレーティング システムからのアップグレードで必要なすべての権限が追加されていない可能性があります。 これらの権限がローカル ノードに付与されていることを確認するには、次の手順に従います。

1. [管理ツール] グループからローカル セキュリティ設定コンソールを起動します。

2. [ローカル ポリシー] の [ユーザー権利の割り当て] に移動します。

3. クラスター サービス アカウントに次の権限が明示的に付与されていることを確認します。

   • サービスとしてサインインする
   • オペレーティング システムの一部として機能
   • ファイルとディレクトリをバックアップする
   • プロセスのメモリ クォータを調整する
   • スケジュールの優先順位を上げる
   • ファイルとディレクトリを復元する

   注:

   クラスター サービス アカウントがローカルの Administrators グループから削除されている場合は、クラスター サービス アカウントを手動で再作成し、クラスター サービスに必要な権限を付与します。

   いずれかの権限が欠落している場合は、クラスター サービス アカウントに明示的な権限を付与してから、クラスター サービスを停止して再起動します。 追加された権限は、クラスター サービスを再起動するまで有効になりません。 クラスター サービス アカウントでコンピューター オブジェクトを作成できない場合は、グループ ポリシーがローカル ポリシーを過剰に記述していないことを確認します。 これを行うには、Windows 2000 ドメインにいる場合はコマンド プロンプトで gpresult と入力するか、Windows Server 2003 ドメインを使用している場合は MMC スナップインからポリシーの結果セット (RSOP) を入力します。

   Windows Server 2003 ドメインにいる場合は、"RSOP" のヘルプとサポートで、ポリシーの結果セットの使用手順を検索します。

   Cluster Service アカウントに "オペレーティング システムの一部として機能する" 権限がない場合、ネットワーク名リソースは失敗し、Cluster.logは次のメッセージを登録します。

   上記の手順を使用して、クラスター サービス アカウントに必要なすべての権限があることを確認します。 ローカル セキュリティ ポリシーがドメインまたは組織単位 (OU) グループ ポリシーによって過剰に書き込まれている場合は、いくつかのオプションがあります。 [親からの継承可能なアクセス許可をこのオブジェクトに伝達することを許可する] がオフになっている独自の OU にクラスター ノードを配置できます。

事前に作成したコンピューター オブジェクトを使用する場合に必要なアクセス権

認証済みユーザー グループまたはクラスター サービス アカウントのメンバーがコンピューター オブジェクトの作成をブロックされている場合は、ドメイン管理者の場合は、仮想サーバー コンピューター オブジェクトを事前に作成する必要があります。 事前に作成したコンピューター オブジェクトのクラスター サービス アカウントに対して特定のアクセス権を付与する必要があります。 クラスター サービスは、仮想サーバーの NetBIOS 名と一致するコンピューター オブジェクトの更新を試みます。

クラスター サービス アカウントにコンピューター オブジェクトに対する適切なアクセス許可があることを確認するには、

1. 管理ツールからActive Directory ユーザーとコンピューター スナップインを開始します。

2. [ 表示 ] メニューの [ 高度な機能] を選択します。

3. クラスター サービス アカウントで使用するコンピューター オブジェクトを見つけます。

4. コンピューター オブジェクトを右クリックし、[ プロパティ] を選択します。

5. [ セキュリティ ] タブを選択し、[ 追加] を選択します。

6. クラスター サービス アカウントまたはクラスター サービス アカウントがメンバーであるグループを追加します。

7. ユーザーまたはグループに次のアクセス許可を付与します。

   • パスワードのリセット
   • 検証済み DNS ホスト名への書き込み
   • 検証済みサービス プリンシパル名への書き込み

8. [OK] を選択します。 ドメイン コントローラーが複数ある場合は、アクセス許可の変更が他のドメイン コントローラーにレプリケートされるのを待つ必要があります (既定では、レプリケーション サイクルは 15 分ごとに発生します)。

Kerberos が無効になっていると、ネットワーク名リソースがオンラインにならない

コンピューター オブジェクトが存在するが、[ Kerberos 認証を有効にする] オプションを選択していない場合、ネットワーク名リソースはオンラインになりません。 この問題を解決するには、次のいずれかの手順を使用します。

• Active Directory で対応するコンピューター オブジェクトを削除します。
• [ネットワーク名] リソースで [Kerberos 認証を有効にする] を選択 します。