Wachtwoord van de Cluster-serviceaccount moet worden ingesteld op 15 of meer tekens als het NoLMHash-beleid is ingeschakeld.


Symptomen


Als u wil deelnemen aan het tweede clusterknooppunt, wordt de wizard setup het volgende bericht weergegeven:
< CSA > is niet gemachtigd om het cluster te beheren.
Ook als u Clusterbeheer (CluAdmin.exe) op een cluster of vanaf een externe server start, verschijnt het volgende foutbericht weergegeven:
Toegang geweigerd

Oorzaak


Slaat uw wachtwoord in leesbare tekst, Microsoft Windows genereert en bewaart gebruikersaccountwachtwoorden met behulp van twee verschillende manieren, algemeen bekend als 'hashes'. Wanneer u of u het wachtwoord voor een gebruikersaccount wijzigen in een wachtwoord met minder dan 15 tekens, genereert Windows zowel LAN Manager-Hash (LMHash) en een Microsoft Windows NT-hash (NT-hash) van het wachtwoord. Deze hashes worden opgeslagen in de lokale Security Accounts Manager (SAM) database of in Active Directory.


Als de Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging beleid is ingesteld, is er geen LMHash in de Cluster-serviceaccount (CSA) in Active Directory.

Wanneer u een wachtwoord van minder dan 15 tekens gebruikt voor de CSA, wanneer u het tweede knooppunt lid genereert het setup-proces de LMHash voor het opbouwen van een sessiesleutel te verifiëren. Omdat er geen LMHash wordt opgeslagen in Active Directory, kan de domeincontroller een overeenkomende sessiesleutel niet maken. De toegang is geweigerd. Wanneer u een wachtwoord met 15 of meer tekens voor de CSA, worden niet een LMHash gegenereerd door het setup-proces. In plaats daarvan wordt het wachtwoord van Windows NT-hash gebruikt voor het afleiden van de sessiesleutel. De domeincontroller voor het genereren van een sessiesleutel gevonden kan worden. De verificatie slaagt. Voor meer informatie over hoe u kunt voorkomen dat uw wachtwoord worden opgeslagen als een LAN Manager-hash, klikt u op het volgende artikel in de Microsoft Knowledge Base:

299656 hoe u kunt voorkomen dat Windows een LAN manager-hash van uw wachtwoord opslaat in Active Directory en lokale SAM-databases

Oplossing


Selecteer de methode die het beste past bij uw situatie het probleem op te lossen.

Methode 1: Gebruik een wachtwoord dat ten minste 15 tekens

Wanneer het NoLMHash-beleid in Active Directory is ingesteld en kan niet worden uitgeschakeld vanwege beveiligingsoverwegingen, gebruik een wachtwoord dat is ten minste 15 tekens lang zijn om te voorkomen dat de setup-clusterwizard een LMHash gebruiken voor verificatie.

Methode 2: De opslag van LMHash in Active Directory inschakelen

Schakel de opslag van LMHash van het wachtwoord van een gebruiker met behulp van Groepsbeleid in Active Directory. Ga hiervoor als volgt te werk:
  1. Vouw in de groep standaardbeleid voor domeincontrollers,
    Vouw Windows-instellingenuit, vouw Beveiligingsinstellingenuit, vouw Computerconfiguratie,
    Lokaal beleiden klik op Beveiligingsopties.
  2. Klik in de lijst van beschikbaar beleid dubbelklikt u op
    Netwerkbeveiliging: hashwaarde van LAN Manager niet bewaren bij volgende wachtwoordwijziging.
  3. Klik op uitgeschakelden klik vervolgens op
    OK.
  4. Zorg ervoor dat het beleid wordt gerepliceerd en wordt toegepast.
  5. Opnieuw instellen van het wachtwoord van de CSA (mag niet minder dan 15 tekens) om ervoor te zorgen dat de LMHash naar SAM/AD is geschreven.

Methode 3: Een hotfix installeren

Er is een hotfix beschikbaar bij Microsoft dit probleem kunt oplossen dat vijftien tekens wachtwoorden niet vereist zijn wanneer het NoLMHash-beleid in Active Directory is ingesteld. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:

890761 u een foutbericht 'Error 0x8007042b' bij het toevoegen of een knooppunt toevoegen aan een cluster als u NTLM versie 2 in Windows Server 2003