Восстановление удаленного объекта компьютера, который поддерживает ресурс сетевого имени в отказоустойчивом кластере
В этой статье описывается восстановление удаленного объекта компьютера, который поддерживает ресурс сетевого имени в отказоустойчивом кластере.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 950805
Сводка
По умолчанию новая модель безопасности в Windows Server 2008 или Windows Server 2008 R2 отработки отказа кластеризация включает проверку подлинности Kerberos. Чтобы создать эту модель безопасности, каждая клиентская точка доступа (CAP), созданная в отказоустойчивом кластере Windows Server 2008 или Windows Server 2008 R2, содержит ресурс сетевого имени. Ресурс сетевого имени имеет соответствующую учетную запись компьютера, которая создается в службе каталогов Active Directory при первом подключении ресурса к сети.
По умолчанию учетная запись компьютера создается в контейнере Компьютеры. Однако учетную запись компьютера можно переместить в другое подразделение. Учетная запись компьютера также может быть предварительно настроена в подразделении перед созданием CAP. Если эти учетные записи компьютеров удалены из Active Directory, доступность ресурса сетевого имени будет снижена.
Учетные записи компьютеров, созданные в Active Directory, представляют ресурсы сетевых имен в отказоустойчивом кластере. Эти учетные записи имеют следующие различные типы:
- Учетная запись компьютера, представляющая имя кластера, называется объектом имени кластера (CNO). Эта учетная запись является основным контекстом безопасности для кластера.
- Другие учетные записи компьютеров, принадлежащие ресурсам сетевых имен в том же кластере, называются объектами виртуальных компьютеров (VCOs). Эти учетные записи создаются CNO. Если любая из этих учетных записей удаляется из Active Directory, при следующей попытке сетевого имени подключиться к сети происходит сбой сетевого имени, и в системный журнал регистрируется следующее сообщение об ошибке: Event ID: 1207
Уровень события: ошибка
Источник события: отработка отказаClustering
Идентификатор события: 1207
Описание: ресурс ResourceName сетевого имени кластера не может быть подключен к сети. Объект компьютера, связанный с ресурсом, не удалось обновить в домене DomainName по следующей причине:
Текст для связанного кода ошибки: на сервере нет такого объекта.
Удостоверение кластера CNO$Name может отсутствию разрешений, необходимых для обновления объекта. Обратитесь к администратору домена, чтобы убедиться, что удостоверение кластера может обновлять объекты компьютеров в домене.
и в журнале кластера регистрируются следующие сообщения:
WARN [RES] Сетевое имя <FSCAP01>: попытка удалить учетные данные для LocalSystem возвращает состояние C0000225, STATUS_NOT_FOUND является некритичным сбоем для операции удаления INFO [RES] Сетевое имя <FSCAP01>: инициация операции сетевого имени: "Проверка объекта компьютера, связанного с ресурсом FSCAP01" INFO [RES] Сетевое имя <FSCAP01>: попытка найти идентификатор GUID учетной записи компьютера FSCAP01 объект GUID(d66e09dd8857e84da1f3a26fb1903e38) на любом доступном контроллере домена. WARN [RES] Сетевое имя <FSCAP01>: сбой поиска существующей учетной записи компьютера. status 80072030 WARN [RES] Сетевое имя <FSCAP01>: сбой поиска существующей учетной записи компьютера. status 80072030 INFO [RES] Сетевое имя <FSCAP01>: попытка найти объект d66e09dd8857e84da1f3a26fb1903e38 на PDC. WARN [RES] Сетевое имя <FSCAP01>: сбой поиска существующей учетной записи компьютера. status 80072030 INFO [RES] Сетевое имя <FSCAP01>: не удается найти объект d66e09dd8857e84da1f3a26fb1903e38 на PDC. INFO [RES] Сетевое имя <FSCAP01>: сбой GetComputerObjectViaGUIDEx(), состояние 80072030. WARN [RES] Сетевое имя <FSCAP01>. При попытке удалить учетные данные для localSystem возвращалось состояние C0000225, STATUS_NOT_FOUND является некритичным сбоем для операции удаления WARN [RHS] Resource FSCAP01 указывает, что она не может подключиться к сети на этом узле. WARN [RCM] HandleMonitorReply: ONLINERESOURCE для "FSCAP01", gen(8) result 5015.
Примечание. Состояние 80072030 = Нет такого объекта на сервере
Однако проблемы будут возникать еще до того, как ресурс сетевого имени будет циклически переключен в режим "вне сети" и "в сети". Например, пользователь или приложение с высоким уровнем доступности может не получить доступ к ресурсам, если не удается получить маркер безопасности, представляющий объект компьютера кластера в Active Directory.
Восстановление после удаления объекта компьютера, связанного с ресурсом сетевого имени кластера, для CNO отличается от восстановления после удаления объекта компьютера для виртуальной машины.
Чтобы восстановить удаленный объект компьютера, соответствующий CNO, выполните следующие действия.
Согласуйте с администратором домена, чтобы сначала восстановить удаленный объект-компьютер из контейнера Удаленные объекты в Active Directory.
Убедитесь, что объект computer был восстановлен в правильном расположении, а затем включите учетную запись.
Принудительное репликация домена или ожидание настроенного интервала репликации.
В оснастке управления отказоустойчивости кластеров Консоли управления Майкрософт (MMC) щелкните правой кнопкой мыши имя сети, соответствующее имени кластера, наведите указатель на пункт Дополнительные действия и выберите команду Восстановить объект Active Directory.
Примечание.
Пользователь, который выполняет эти действия в оснастке MMC "Управление отказоустойчивости кластеров", также должен иметь разрешение "Сброс паролей" в домене.
Чтобы восстановить удаленный объект компьютера, соответствующий виртуальной колоне, выполните следующие действия.
- Согласуйте с администратором домена, чтобы сначала восстановить удаленный объект-компьютер из контейнера Удаленные объекты в Active Directory.
- Убедитесь, что объект компьютера восстановлен в правильном расположении, а затем включите учетную запись.
- Просмотрите параметры безопасности для объекта-компьютера, а затем убедитесь, что CNO по-прежнему имеет разрешения для объекта .
- Принудительная репликация домена или ожидание настроенного интервала репликации.
- В оснастке MMC управления отказоустойчивости кластеров щелкните правой кнопкой мыши ресурс сетевого имени, завершилось сбоем, а затем выберите **Перевести этот ресурс в сеть. Если удаленный объект-компьютер больше не существует в контейнере Удаленные объекты, то объект никогда не существовал или он был удален и мусор был собран после собрания или превышения времени существования надгробия. Никогда не восстанавливайте AD из резервной копии, которая старше времени существования надгробия. Это может вызвать затяжные объекты в среде.
Ссылки
Дополнительные сведения см. на следующих веб-сайтах Майкрософт:
Идентификатор события 1207 — разрешения Active Directory для учетных записей кластера
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по