컴퓨터 개체를 수정할 때 클러스터 서비스 계정 문제를 해결하는 방법

  • 아티클

이 문서에서는 서버 클러스터(가상 서버)에 대한 Active Directory에서 컴퓨터 개체를 만들거나 수정할 때 클러스터 서비스의 문제를 해결하는 방법을 설명합니다.

적용 대상: Windows 10 - 모든 버전, Windows Server 2012 R2
원래 KB 번호: 307532

컴퓨터 개체를 만들기 위한 Active Directory 액세스 권한

기본적으로 도메인 사용자 그룹의 구성원에게 도메인에 워크스테이션을 추가할 수 있는 권한이 사용자에게 부여됩니다. 기본적으로 이 사용자 권한은 Active Directory에서 최대 10대 컴퓨터 개체 할당량으로 설정됩니다. 이 할당량을 초과하면 다음 이벤트 ID 메시지가 기록됩니다.

여러 클러스터가 해당 클러스터 서비스 계정과 동일한 도메인 계정을 사용하는 경우 지정된 클러스터에 10개의 컴퓨터 개체를 만들기 전에 이 오류 메시지가 표시될 수 있습니다. 이 문제를 resolve 한 가지 방법은 클러스터 서비스 계정에 컴퓨터 컨테이너에 대한 컴퓨터 개체 만들기 권한을 부여하는 것입니다. 이 권한은 기본 할당량이 10인 도메인 사용자 권한에 워크스테이션 추가 권한을 재정의합니다.

클러스터 서비스 계정에 도메인 사용자에게 워크스테이션 추가 권한이 있는지 확인하려면 다음을 수행합니다.

  1. 클러스터 서비스 계정이 저장된 도메인 컨트롤러에 로그인합니다.

  2. 관리 도구에서 도메인 컨트롤러 보안 정책 프로그램을 시작합니다.

  3. 로컬 정책을 클릭하여 확장한 다음 을 클릭하여 사용자 권한 할당을 확장합니다.

  4. 도메인에 워크스테이션 추가를 두 번 클릭하고 나열된 계정을 기록해 둡니다.

  5. 인증된 사용자 그룹(기본 그룹)이 나열되어야 합니다. 목록에 없는 경우 이 사용자에게 클러스터 서비스 계정 또는 도메인 컨트롤러의 클러스터 서비스 계정이 포함된 그룹에 대한 권한을 부여해야 합니다.

    참고

    컴퓨터 개체가 도메인 컨트롤러에 만들어지므로 이 사용자에게 도메인 컨트롤러에 대한 권한을 부여해야 합니다.

  6. 이 사용자 권한에 클러스터 서비스 계정을 명시적으로 추가하는 경우 도메인 컨트롤러(또는 Windows 2000용으로 실행)에서 를 실행 gpupdatesecedit 하여 새 사용자 권한이 모든 도메인 컨트롤러에 복제되도록 합니다.

  7. 다른 정책에서 정책을 덮어쓰지 않는지 확인합니다.

클러스터 서비스 계정에 로컬 노드에 대한 적절한 사용자 권한이 없습니다.

클러스터 서비스 계정에 클러스터의 각 노드에 대한 적절한 사용자 권한이 있는지 확인합니다. Cluster Service 계정은 로컬 관리자 그룹에 있어야 하며 아래에 나열된 권한이 있어야 합니다. 이러한 권한은 클러스터 노드를 구성하는 동안 클러스터 서비스 계정에 부여됩니다. 상위 수준 정책이 로컬 정책을 과도하게 작성하거나 이전 운영 체제에서 업그레이드해도 필요한 모든 권한이 추가되지 않을 수 있습니다. 이러한 권한이 로컬 노드에 부여되었는지 확인하려면 다음 절차를 따르세요.

  1. 관리 도구 그룹에서 로컬 보안 설정 콘솔을 시작합니다.

  2. 로컬 정책에서 사용자 권한 할당으로 이동합니다.

  3. 클러스터 서비스 계정에 다음 권한이 명시적으로 부여되었는지 확인합니다.

    • 서비스로 로그인
    • 운영 체제의 일부로 작동
    • 파일 및 디렉터리 백업
    • 프로세스에 대한 메모리 할당량 조정
    • 예약 우선 순위 늘리기
    • 파일 및 디렉터리 복원

    참고

    클러스터 서비스 계정이 로컬 관리자 그룹에서 제거된 경우 클러스터 서비스 계정을 수동으로 다시 만들고 클러스터 서비스에 필요한 권한을 부여합니다.

    권한이 누락된 경우 클러스터 서비스 계정에 명시적 권한을 부여한 다음 클러스터 서비스를 중지하고 다시 시작합니다. 추가된 권한은 클러스터 서비스를 다시 시작할 때까지 적용되지 않습니다. 클러스터 서비스 계정이 여전히 컴퓨터 개체를 만들 수 없는 경우 그룹 정책 로컬 정책을 과도하게 작성하지 않는지 확인합니다. 이렇게 하려면 Windows 2000 도메인에 있는 경우 명령 프롬프트에 gpresult를 입력하거나 Windows Server 2003 도메인에 있는 경우 MMC 스냅인의 RSOP(결과 정책 집합)를 입력할 수 있습니다.

    Windows Server 2003 도메인에 있는 경우 "RSOP"의 도움말 및 지원에서 결과 정책 집합 사용에 대한 지침을 검색합니다.

    클러스터 서비스 계정에 "운영 체제의 일부로 작동" 권한이 없으면 네트워크 이름 리소스가 실패하고 Cluster.log 다음 메시지를 등록합니다.

    위의 단계를 사용하여 클러스터 서비스 계정에 필요한 모든 권한이 있는지 확인합니다. 로컬 보안 정책이 도메인 또는 OU(조직 구성 단위) 그룹 정책에 의해 과도하게 작성되는 경우 몇 가지 옵션이 있습니다. "부모로부터 상속 가능한 사용 권한이 이 개체로 전파되도록 허용"이 선택 취소된 자체 OU에 클러스터 노드를 배치할 수 있습니다.

미리 만든 컴퓨터 개체를 사용할 때 필요한 액세스 권한

인증된 사용자 그룹 또는 클러스터 서비스 계정의 멤버가 컴퓨터 개체를 만들지 못하도록 차단된 경우 도메인 관리자인 경우 가상 서버 컴퓨터 개체를 미리 만들어야 합니다. 미리 만든 컴퓨터 개체의 클러스터 서비스 계정에 특정 액세스 권한을 부여해야 합니다. 클러스터 서비스는 가상 서버의 NetBIOS 이름과 일치하는 컴퓨터 개체를 업데이트하려고 합니다.

클러스터 서비스 계정에 컴퓨터 개체에 대한 적절한 권한이 있는지 확인하려면 다음을 수행합니다.

  1. 관리 도구에서 Active Directory 사용자 및 컴퓨터 스냅인을 시작합니다.

  2. 보기 메뉴에서 고급 기능을 선택합니다.

  3. 클러스터 서비스 계정에서 사용할 컴퓨터 개체를 찾습니다.

  4. 컴퓨터 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  5. 보안 탭을 선택한 다음, 추가를 선택합니다.

  6. Cluster Service 계정이 구성원인 클러스터 서비스 계정 또는 그룹을 추가합니다.

  7. 사용자 또는 그룹에 다음 권한을 부여합니다.

    • 암호 재설정
    • DNS 호스트 이름에 대한 유효한 쓰기
    • 유효성이 검사된 서비스 주체 이름에 쓰기

  8. 확인을 선택합니다. 여러 도메인 컨트롤러가 있는 경우 권한 변경이 다른 도메인 컨트롤러에 복제될 때까지 기다려야 할 수 있습니다(기본적으로 복제 주기는 15분마다 발생).

kerberos를 사용하지 않도록 설정하면 네트워크 이름 리소스가 온라인 상태가 되지 않습니다.

컴퓨터 개체가 있지만 Kerberos 인증 사용 옵션을 선택하지 않으면 네트워크 이름 리소스가 온라인 상태가 되지 않습니다. 문제를 resolve 하려면 다음 절차 중 하나를 사용합니다.

  • Active Directory에서 해당 컴퓨터 개체를 삭제합니다.
  • 네트워크 이름 리소스에서 Kerberos 인증 사용을 선택합니다.