Устранение неполадок с учетной записью службы кластера при изменении объектов-компьютеров

В этой статье описывается устранение неполадок службы кластеров при создании или изменении объекта-компьютера в Active Directory для кластера сервера (виртуального сервера).

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 307532

Права доступа Active Directory для создания объекта компьютера

По умолчанию членам группы "Пользователи домена" предоставляется право пользователя на добавление рабочих станций в домен. По умолчанию для этого права пользователя установлена максимальная квота в 10 объектов-компьютеров в Active Directory. При превышении этой квоты регистрируется следующее сообщение об идентификаторе события:

Если несколько кластеров используют ту же учетную запись домена, что и учетная запись службы кластеров, это сообщение об ошибке может появить перед созданием десяти объектов-компьютеров в заданном кластере. Одним из способов решения этой проблемы является предоставление учетной записи службы кластера разрешения На создание объектов-компьютеров в контейнере Компьютеры. Это разрешение переопределяет право "Добавить рабочие станции в пользователя домена", которое имеет квоту по умолчанию в десять.

Чтобы убедиться, что учетная запись службы кластеров имеет право Добавить рабочие станции в пользователя домена, выполните следующие действия:

1. Войдите в контроллер домена, на котором хранится учетная запись службы кластера.

2. Запустите программу политики безопасности контроллера домена из администрирования.

3. Щелкните, чтобы развернуть локальные политики, а затем разверните узел Назначения прав пользователей.

4. Дважды щелкните Добавить рабочие станции в домен и запишите перечисленные учетные записи.

5. Должна быть указана группа Аутентифицированные пользователи (группа по умолчанию). Если она отсутствует в списке, необходимо предоставить этому пользователю право либо учетной записи службы кластеров, либо группе, содержащей учетную запись службы кластеров на контроллерах домена.

   Примечание.

   Это право пользователя необходимо предоставить контроллерам домена, так как объекты-компьютеры создаются на контроллерах домена.

6. Если вы явно добавите учетную запись службы кластеров в это право пользователя, запустите gpupdate на контроллере домена (или запустите secedit для Windows 2000), чтобы новое право пользователя было реплицировано на все контроллеры домена.

7. Убедитесь, что политика не будет перезаписана другой политикой.

Учетная запись службы кластера не имеет соответствующих прав пользователя на локальном узле

Убедитесь, что учетная запись службы кластеров имеет соответствующие права пользователя на каждом узле кластера. Учетная запись службы кластеров должна находиться в локальной группе администраторов и иметь перечисленные ниже права. Эти права предоставляются учетной записи службы кластеров во время настройки узла кластера. Возможно, политика более высокого уровня перезаписи локальной политики или обновление предыдущей операционной системы не добавляет все необходимые права. Чтобы проверить, предоставлены ли эти права на локальном узле, выполните следующие процедуры:

1. Запустите консоль Локальные параметры безопасности из группы Администрирование .

2. Перейдите к разделу Назначения прав пользователей в разделе Локальные политики.

3. Убедитесь, что учетной записи службы кластеров явно предоставлены следующие права:

   • Вход как услуга
   • Работа в режиме операционной системы
   • Резервное копирование файлов и каталогов
   • Настройка квот памяти для процесса
   • Увеличение приоритета планирования
   • Восстановление файлов и каталогов

   Примечание.

   Если учетная запись службы кластеров удалена из локальной группы администраторов, вручную повторно создайте учетную запись службы кластеров и предоставьте службе кластеров необходимые права.

   Если какие-либо права отсутствуют, предоставьте учетной записи службы кластеров явные права на нее, а затем остановите и перезапустите службу кластеров. Добавленные права не вступают в силу до перезапуска службы кластера. Если учетной записи службы кластеров по-прежнему не удается создать объект-компьютер, убедитесь, что групповая политика не переопределил локальную политику. Для этого можно ввести gpresult в командной строке, если вы находитесь в домене Windows 2000 или результирующей политике (RSOP) из оснастки MMC, если вы используете домен Windows Server 2003.

   Если вы находитесь в домене Windows Server 2003, выполните поиск инструкций по использованию результирующих наборов политик в разделе Справка и поддержка на сайте RSOP.

   Если учетная запись службы кластеров не имеет права "Действовать как часть операционной системы", ресурс сетевого имени завершится ошибкой и Cluster.log зарегистрирует следующее сообщение:

   Выполните описанные выше действия, чтобы убедиться, что учетная запись службы кластеров имеет все необходимые права. Если локальные политики безопасности перезаписываются групповой политикой домена или подразделения, существует несколько вариантов. Узлы кластера можно поместить в собственное подразделение с отменой выбора параметра "Разрешить наследуемые разрешения от родительского объекта для распространения на этот объект".

Обязательные права доступа при использовании предварительно созданного объекта компьютера

Если членам группы прошедших проверку подлинности пользователей или учетной записи службы кластера запрещено создавать объект компьютера, если вы являетесь администратором домена, необходимо предварительно создать объект компьютера виртуального сервера. Необходимо предоставить определенные права доступа к учетной записи службы кластеров на предварительно созданном объекте компьютера. Служба кластеров пытается обновить объект компьютера, соответствующий NetBIOS-имени виртуального сервера.

Чтобы убедиться, что учетная запись службы кластеров имеет соответствующие разрешения на объект компьютера, выполните следующие действия.

1. Запустите оснастку Пользователи и компьютеры Active Directory из раздела Администрирование.

2. В меню Вид выберите Дополнительные функции.

3. Найдите объект компьютера, который требуется использовать для учетной записи службы кластеров.

4. Щелкните правой кнопкой мыши объект компьютера и выберите Свойства.

5. Перейдите на вкладку Безопасность и нажмите кнопку Добавить.

6. Добавьте учетную запись службы кластеров или группу, в которую входит учетная запись службы кластеров.

7. Предоставьте пользователю или группе следующие разрешения:

   • Сброс пароля
   • Проверенная запись в dns-имя узла
   • Проверенная запись в имя субъекта-службы

8. Нажмите ОК. При наличии нескольких контроллеров домена может потребоваться дождаться репликации изменения разрешений на другие контроллеры домена (по умолчанию цикл репликации выполняется каждые 15 минут).

Ресурс сетевого имени не подключен к сети, если kerberos отключен

Ресурс сетевого имени не подключен к сети, если объект компьютера существует, но не выбран параметр Включить проверку подлинности Kerberos . Чтобы устранить эту проблему, используйте один из следующих процедур:

• Удалите соответствующий объект компьютера в Active Directory.
• Выберите Включить проверку подлинности Kerberos в ресурсе Сетевое имя.