Como recuperar um objeto de computador excluído que dá suporte a um recurso nome de rede em um cluster de failover

  • Artigo

Este artigo descreve como recuperar um objeto de computador excluído que dá suporte a um recurso nome de rede em um cluster de failover.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 950805

Resumo

Por padrão, o novo modelo de segurança no Windows Server 2008 ou windows Server 2008 R2 failover clustering inclui autenticação Kerberos. Para criar esse modelo de segurança, cada CAP (Ponto de Acesso ao Cliente) criado em um cluster de failover do Windows Server 2008 ou Windows Server 2008 R2 contém um recurso nome de rede. O recurso Nome de Rede tem uma conta de computador correspondente que é criada no serviço de diretório do Active Directory quando o recurso está online pela primeira vez.

Por padrão, a Conta de Computador é criada no contêiner Computadores. No entanto, a Conta de Computador pode ser realocada para outra OU (unidade organizacional). A Conta do Computador também pode ser pré-encenada em uma OU antes da criação do CAP. Se essas contas de computador forem excluídas do Active Directory, a disponibilidade do recurso Nome da Rede será reduzida.

As contas de computador criadas no Active Directory representam os recursos nome de rede em um cluster de failover. Essas contas têm os seguintes tipos distintos:

  • A conta do computador que representa o nome do cluster é chamada de CNO (Objeto de Nome de Cluster). Essa conta é o contexto de segurança principal de um cluster.
  • Outras contas de computador que pertencem aos recursos de Nome de Rede no mesmo cluster são chamadas VCOs (Objetos de Computador Virtual). Essas contas são criadas pelo CNO. Se uma dessas contas for excluída do Active Directory, na próxima vez que o Nome da Rede tentar entrar online, o Nome da Rede falhará e a seguinte mensagem de erro será registrada no log do sistema: ID do evento: 1207

Nível de evento: erro

Fonte do evento: FailoverClustering

ID do evento: 1207

Descrição: o recurso ResourceName do nome da rede de cluster não pode ser colocado online. O objeto de computador associado ao recurso não pôde ser atualizado no domínio DomainName pelo seguinte motivo:

O texto para o código de erro associado é: não há nenhum objeto desse tipo no servidor.

A identidade do cluster CNO$Name pode não ter permissões necessárias para atualizar o objeto. Trabalhe com o administrador de domínio para garantir que a identidade do cluster possa atualizar objetos de computador no domínio.

e as seguintes mensagens são registradas no log de cluster:

WARN [RES] Nome <da rede FSCAP01>: tentando remover credenciais para o LocalSystem retornado status C0000225, STATUS_NOT_FOUND é uma falha não crítica para remover a operação INFO [RES] Nome <da rede FSCAP01>: Iniciando a operação Nome da Rede: 'Verificando o objeto de computador associado ao recurso de nome de rede FSCAP01' INFO [RES] Nome <da rede FSCAP01>: tentando encontrar a conta de computador FSCAP01 objeto GUID(d66e09d8857e84da1f3a26fb1903e38) em qualquer controlador de domínio disponível. WARN [RES] Nome <da rede FSCAP01>: falha na pesquisa da conta de computador existente. status 80072030 AVISAR [RES] Nome < da rede>FSCAP01: falha na pesquisa da conta de computador existente. status 80072030 INFO [RES] Nome < da rede>FSCAP01: Tentando encontrar o objeto d66e09dd8857e84da1f3a26fb1903e38 em um PDC. WARN [RES] Nome <da rede FSCAP01>: falha na pesquisa da conta de computador existente. status 80072030 INFO [RES] Nome < da rede>FSCAP01: não é possível localizar o objeto d66e09dd8857e84da1f3a26fb1903e38 em um PDC. Info [RES] Nome <da rede FSCAP01>: falha getComputerObjectViaGUIDEx(), Status 80072030. WARN [RES] Nome <da rede FSCAP01>: ao tentar remover credenciais para o LocalSystem retornado status C0000225, STATUS_NOT_FOUND é uma falha não crítica para uma operação de remoção WARN [RHS] O FSCAP01 de recursos indicou que ele não pode entrar online neste nó. WARN [RCM] HandleMonitorReply: ONLINERESOURCE for 'FSCAP01', gen(8) result 5015.

Observação: status 80072030 = Não há nenhum objeto desse tipo no servidor

No entanto, os problemas ocorrerão mesmo antes do recurso Nome da Rede ser ciclo offline e online. Por exemplo, um usuário ou um aplicativo altamente disponível pode não conseguir acessar recursos quando um token de segurança que representa o objeto de computador de cluster no Active Directory não pode ser obtido.

Para se recuperar da exclusão de um objeto de computador associado a um recurso de nome de rede de cluster é diferente para um CNO do que se recuperar da exclusão de um objeto de computador para um VCO.

Para recuperar um objeto de computador excluído que corresponde ao CNO, siga estas etapas:

  1. Coordene com um administrador de domínio para primeiro recuperar o Objeto de Computador excluído do contêiner Objetos Excluídos no Active Directory.

  2. Verifique se o Objeto computador foi restaurado para o local correto e habilite a conta.

  3. Force a replicação de domínio a ocorrer ou aguarde o intervalo de replicação configurado.

  4. No snap-in do MMC (Console de Gerenciamento de Cluster de Failover), clique com o botão direito do mouse no nome da rede com falha que corresponde ao nome do cluster, aponte para Mais ações e clique em Reparar Objeto active directory.

Observação

O usuário que segue essas etapas no snap-in do MMC de Gerenciamento de Cluster de Failover também deve ter a permissão "Redefinir Senhas" no domínio.

Para recuperar um objeto de computador excluído que corresponde a um VCO, siga estas etapas:

  1. Coordene com um administrador de domínio para primeiro recuperar o objeto de computador excluído do contêiner Objetos Excluídos no Active Directory.
  2. Verifique se o objeto do computador foi restaurado para o local correto e habilite a conta.
  3. Exiba as configurações de segurança do objeto do computador e verifique se o CNO ainda tem permissões para o objeto.
  4. Force a replicação de domínio ou aguarde o intervalo de replicação configurado.
  5. No snap-in do MMC de Gerenciamento de Cluster de Failover, clique com o botão direito do mouse no recurso Nome da Rede com falha e clique em **Colocar esse recurso online. Se um objeto de computador excluído não existir mais no contêiner Objetos Excluídos, o objeto nunca existiu ou ele foi excluído e o lixo coletado após a reunião ou excedendo o tempo de vida da lápide. Nunca restaure o AD de um backup mais antigo que o tempo de vida da lápide. Isso pode induzir objetos persistentes ao ambiente.

Referências

Para obter mais informações, visite os seguintes sites da Microsoft:

Recuperando um CNO (Objeto de Nome de Cluster Excluído) em um Cluster de Failover do Windows Server 2008

ID do evento 1207 – Permissões do Active Directory para contas de cluster

Backup e restauração do Active Directory