フェールオーバー クラスター内のネットワーク名リソースをサポートする削除されたコンピューター オブジェクトを回復する方法

この記事では、フェールオーバー クラスター内のネットワーク名リソースをサポートする削除されたコンピューター オブジェクトを回復する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 950805

概要

既定では、Windows Server 2008 または Windows Server 2008 R2 フェールオーバー クラスタリングの新しいセキュリティ モデルには、Kerberos 認証が含まれています。 このセキュリティ モデルを作成するには、Windows Server 2008 または Windows Server 2008 R2 フェールオーバー クラスターで作成されたすべてのクライアント アクセス ポイント (CAP) にネットワーク名リソースが含まれています。 ネットワーク名リソースには、対応するコンピューター アカウントがあり、リソースが初めてオンラインになったときに Active Directory ディレクトリ サービスで作成されます。

既定では、コンピューター アカウントは Computers コンテナーに作成されます。 ただし、コンピューター アカウントは別の組織単位 (OU) に再配置できます。 コンピューター アカウントは、CAP が作成される前に OU で事前にステージングすることもできます。 これらのコンピューター アカウントが Active Directory から削除されると、ネットワーク名リソースの可用性が低下します。

Active Directory で作成されたコンピューター アカウントは、フェールオーバー クラスター内のネットワーク名リソースを表します。 これらのアカウントには、次の種類があります。

• クラスターの名前を表すコンピューター アカウントは、クラスター名オブジェクト (CNO) と呼ばれます。 このアカウントは、クラスターの主要なセキュリティ コンテキストです。
• 同じクラスター内のネットワーク名リソースに属する他のコンピューター アカウントは、仮想コンピューター オブジェクト (VCO) と呼ばれます。 これらのアカウントは CNO によって作成されます。 これらのアカウントのいずれかが Active Directory から削除された場合、次にネットワーク名がオンラインにしようとするとネットワーク名が失敗し、次のエラー メッセージがシステム ログに記録されます: イベント ID: 1207

イベント レベル: エラー

イベント ソース: FailoverClustering

イベント ID: 1207

説明: クラスター ネットワーク名リソース ResourceName をオンラインにすることはできません。 次の理由により、リソースに関連付けられているコンピューター オブジェクトを ドメイン DomainName で更新できませんでした。

関連するエラー コードのテキストは、サーバー上にこのようなオブジェクトがありません。

クラスター ID CNO$Name には 、オブジェクトを更新するために必要なアクセス許可がない可能性があります。 ドメイン管理者と協力して、クラスター ID がドメイン内のコンピューター オブジェクトを更新できることを確認します。

次のメッセージがクラスター ログに記録されます。

WARN [RES] ネットワーク名 <FSCAP01>: LocalSystem から返された状態C0000225の資格情報を削除しようとしています。 STATUS_NOT_FOUNDは、削除操作 INFO [RES] ネットワーク名 <FSCAP01: ネットワーク名操作の開始: 'ネットワーク名リソース FSCAP01>に関連付けられているコンピューター オブジェクトの確認' INFO [RES] ネットワーク名 <FSCAP01>: 使用可能なドメイン コントローラーでコンピューター アカウントFSCAP01オブジェクト GUID(d66e09dd8857e84da1f3a26fb1903e38) を検索しようとしています。 WARN [RES] ネットワーク名 <FSCAP01>: 既存のコンピューター アカウントの検索に失敗しました。 状態 80072030 WARN [RES] ネットワーク名 <FSCAP01>: 既存のコンピューター アカウントの検索に失敗しました。 status 80072030 INFO [RES] ネットワーク名 <FSCAP01>: PDC でオブジェクト d66e09dd8857e84da1f3a26fb1903e38 を検索しようとしています。 WARN [RES] ネットワーク名 <FSCAP01>: 既存のコンピューター アカウントの検索に失敗しました。 status 80072030 INFO [RES] ネットワーク名 <FSCAP01>: PDC でオブジェクト d66e09dd8857e84da1f3a26fb1903e38 を見つけることができません。 INFO [RES] ネットワーク名 <FSCAP01>: GetComputerObjectViaGUIDEx() に失敗しました。状態80072030。 WARN [RES] ネットワーク名 <FSCAP01>: LocalSystem から返された状態C0000225の資格情報を削除しようとしています。STATUS_NOT_FOUNDは、削除操作 WARN [RHS] リソース FSCAP01が、このノードでオンラインにできないことを示した重大ではないエラーです。 WARN [RCM] HandleMonitorReply: ONLINERESOURCE for 'FSCAP01', gen(8) result 5015.

注: 状態80072030 = サーバーにこのようなオブジェクトはありません

ただし、ネットワーク名リソースがオフラインとオンラインのサイクルになる前でも問題が発生します。 たとえば、Active Directory のクラスター コンピューター オブジェクトを表すセキュリティ トークンを取得できない場合、ユーザーまたは高可用性アプリケーションがリソースにアクセスできない場合があります。

クラスターネットワーク名リソースに関連付けられているコンピューター オブジェクトの削除から回復するには、VCO のコンピューター オブジェクトの削除からの回復とは、CNO の場合は異なります。

CNO に対応する削除されたコンピューター オブジェクトを回復するには、次の手順に従います。

1. ドメイン管理者と連携して、最初に Active Directory の削除済みオブジェクト コンテナーから削除されたコンピューター オブジェクトを回復します。

2. コンピューター オブジェクトが正しい場所に復元されたことを確認し、アカウントを有効にします。

3. ドメイン レプリケーションを強制的に実行するか、構成されたレプリケーション間隔を待機します。

4. フェールオーバー クラスター管理 Microsoft 管理コンソール (MMC) スナップインで、クラスター名に対応する失敗したネットワーク名を右クリックし、[ その他のアクション] をポイントして、[ Active Directory オブジェクトの修復] をクリックします。

VCO に対応する削除されたコンピューター オブジェクトを回復するには、次の手順に従います。

1. ドメイン管理者と連携して、最初に Active Directory の [削除済みオブジェクト] コンテナーから削除されたコンピューター オブジェクトを回復します。
2. コンピューター オブジェクトが正しい場所に復元されたことを確認し、アカウントを有効にします。
3. コンピューター オブジェクトのセキュリティ設定を表示し、CNO にオブジェクトに対するアクセス許可が引き続き付与されていることを確認します。
4. ドメイン レプリケーションを強制するか、構成されたレプリケーション間隔を待機します。
5. フェールオーバー クラスター管理 MMC スナップインで、失敗したネットワーク名リソースを右クリックし、[**このリソースをオンラインにする] をクリックします。 削除されたコンピューター オブジェクトが Deleted Objects コンテナーに存在しなくなった場合、オブジェクトは存在しなかったか、会議後または廃棄石の有効期間を超えた後に削除され、ガベージ コレクションされました。 廃棄石の有効期間より古いバックアップから AD を復元しないでください。 これにより、残留オブジェクトが環境に誘導される可能性があります。

関連情報

詳細については、次の Microsoft Web サイトを参照してください。

Windows Server 2008 フェールオーバー クラスターでの削除されたクラスター名オブジェクト (CNO) の回復

イベント ID 1207 - クラスター アカウントの Active Directory アクセス許可

Active Directory のバックアップと復元