Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để tự tái tạo tài khoản dịch vụ cụm

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:269229
TÓM TẮT
Trong quá trình cài đặt cho các dịch vụ Microsoft Cluster, trương mục đã chỉ định tên miền được cấp quyền đó là cần thiết cho các dịch vụ cụm hoạt động chính xác. Nếu bạn đã bao giờ có để thay đổi hoặc tái tạo các tài khoản, bạn phải tự trao những quyền quay lại trương mục vùng được sử dụng để chạy dịch vụ Cluster, trên mỗi nút của cụm. Ngoài ra, hãy chắc chắn rằng các chính sách bảo mật không loại bỏ quyền hay điều khoản từ tài khoản dịch vụ Cluster. Nếu quyền hoặc quyền được gỡ bỏ từ tài khoản dịch vụ cụm, dịch vụ cụm có thể không còn hoạt động.
THÔNG TIN THÊM
Tài khoản được sử dụng để chạy dịch vụ cụm phải có tối thiểu một tài khoản người dùng tên miền cấp, và nó phải được thêm vào nhóm hành chính địa phương trên mỗi nút trong cụm sao. Thêm các tài khoản cho nhóm quản trị viên địa phương mỗi nút trong cụm sao bằng cách sử dụng hoặc công cụ quản lý người dùng trong Microsoft Windows NT 4.0, hoặc quản lý máy tính trong Microsoft Windows 2000 Server hoặc trong Microsoft Windows Server 2003.

Chú ý Nhiều người trong số các quyền được đề cập trong phần này được phân công "của ủy quyền." Tài khoản dịch vụ cụm phải là thành viên của nhóm quản trị viên địa phương trên nút. Vì vậy, nếu nhóm người quản trị địa phương có quyền cụ thể, thông thường bạn không có thêm tài khoản dịch vụ cụm. Tuy nhiên, nếu bạn đang gặp khó khăn với các quyền cho tài khoản dịch vụ cụm, bạn rõ ràng có thể cấp cho tất cả các quyền trực tiếp vào tài khoản mà bắt đầu dịch vụ Cluster. Trong Windows Server 2003, một cách rõ ràng bạn phải gán tài khoản dịch vụ cụm sao vào nhóm quản trị viên địa phương của mỗi nút. Để biết thêm chi tiết về một chủ đề liên quan, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
812877Dịch vụ cụm không bắt đầu sau khi bạn nâng cấp lên Windows Server 2003, phiên bản doanh nghiệp
Đảm bảo rằng các quyền sau đây của người dùng được cấp cho nhóm người quản trị cục bộ hoặc tài khoản dịch vụ cụm cấp tên miền.

Windows Server 2003

Chú ý Nếu bạn thay đổi tài khoản được sử dụng để chạy dịch vụ cụm, bạn phải sử dụng Quản lý máy tính cho Windows Server 2003 để thay đổi thông tin tài khoản trên mỗi nút trong cụm sao. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Bắt đầu máy tính quản lý cho Windows Server 2003, mở rộng các Dịch vụ và ứng dụng chi nhánh, và sau đó bấm vào các Dịch vụ chi nhánh.
  2. Trong ngăn bên phải, bấm đúp vào Dịch vụ cụm. Chọn các Đăng nhập tab, và sau đó Cập nhật thông tin tài khoản.
Hoạt động chính xác trong Microsoft Windows Server 2003, trương mục dịch vụ cụm rõ ràng yêu các quyền sau đây cho tất cả các nút trong cụm sao:
  • Hoạt động như một phần của hệ điều hành
  • Điều chỉnh bộ nhớ hạn ngạch cho một quá trình
  • Sao lưu tệp và thư mục
  • Tăng lịch trình ưu tiên
  • Đăng nhập như một dịch vụ
  • Khôi phục tập tin và thư mục
Ngoài ra, hãy chắc chắn rằng nhóm quản trị viên địa phương có quyền truy cập vào quyền người dùng sau:
  • Gỡ lỗi chương trình
  • Mạo danh một khách hàng sau khi xác thực
  • Quản lý kiểm toán và bảo mật đăng nhập
Bạn có thể cấp cho những quyền lợi này ở những địa điểm sau:
Địa phương bảo mật Settings\Local Policy\Security Policies\User quyền chuyển nhượng
Chú ý Nếu bạn tạo thiết đặt chính sách nhóm để cập nhật các Mạo danh một khách hàng sau khi xác thực quyền chính sách thiết lập, hãy chắc chắn rằng tài khoản dịch vụ cụm được liệt kê trong chính sách thiết ngoài ra nhóm quản trị viên địa phương và tài khoản được gọi là dịch vụ. Nếu tài khoản dịch vụ cụm không được liệt kê, máy tính không còn có thể truy cập đến phương tiện quản lý Windows (WMI). Theo mặc định, các tài khoản này được liệt kê trong các Mạo danh một khách hàng sau khi xác thực quyền chính sách. Tuy nhiên, nếu bạn tạo thiết đặt chính sách nhóm mà không cần thêm tài khoản dịch vụ cụm, các thiết lập chính sách địa phương ghi đè và truy cập WMI không thành công.

Windows 2000 Server

Chú ý Nếu bạn thay đổi tài khoản được sử dụng để chạy dịch vụ cụm, hãy làm theo các bước sau:
  1. Từ bàn làm việc, bấm Bắt đầu, và sau đó nhấp vào Tất cả chương trình.
  2. Nhấp vào Công cụ quản trị, và sau đó nhấp vào Dịch vụ. Trong ngăn bên phải, bấm đúp vào Dịch vụ cụm.
  3. Chọn các Đăng nhập tab, và cập nhật thông tin tài khoản.
Tài khoản dịch vụ cụm đòi hỏi các quyền sau đây trên tất cả các nút trong cụm sao để hoạt động tốt:
  • Hoạt động như một phần của hệ điều hành.
  • Sao lưu tệp và thư mục.
  • Tăng hạn ngạch.
  • Tăng lịch trình ưu tiên.
  • Tải và dỡ bỏ trình điều khiển thiết bị.
  • Khóa trang trong bộ nhớ.
  • Đăng nhập như một dịch vụ.
  • Khôi phục tập tin và thư mục.
Ngoài ra, hãy chắc chắn rằng nhóm quản trị viên địa phương có quyền truy cập vào quyền người dùng sau:
  • Gỡ lỗi chương trình
  • Mạo danh một khách hàng sau khi xác thực
  • Quản lý kiểm toán và bảo mật đăng nhập
Bạn có thể cấp cho những quyền lợi này tại vị trí sau:
Địa phương bảo mật Settings\Local Policy\Security Policies\User quyền chuyển nhượng

Windows NT 4.0

Để cấu hình các quyền của người dùng vào một nút cụm Windows NT 4.0, bấm Quản lý người dùng, bấm Chính sách, bấm Người sử dụng quyền. Hãy chắc chắn rằng bạn bấm Hiển thị cho người dùng cao cấp quyền.

Tài khoản dịch vụ cụm đòi hỏi các quyền sau đây trên tất cả các nút trong cụm sao để hoạt động tốt:
  • Sao lưu tệp và thư mục
  • Tăng hạn ngạch
  • Tăng lịch trình ưu tiên
  • Tải và dỡ bỏ trình điều khiển thiết bị
  • Khóa trang trong bộ nhớ
  • Đăng nhập như một dịch vụ
  • Khôi phục tập tin và thư mục

Bổ sung điều cần xem xét

Khi bạn loại bỏ một yêu cầu ngay từ tài khoản dịch vụ cụm, bạn có thể gây ra hành vi bất ngờ. Dịch vụ cụm có thể không khởi động, hoặc các dịch vụ có thể không tạo ra một số tài nguyên cụm hay mang lại cho các nguồn tài nguyên trực tuyến. Ví dụ, nếu các dịch vụ cụm hay nhóm người quản trị địa phương không có một người dùng cụ thể đúng, các Quản lý kiểm toán và bảo mật đăng nhập chuyển nhượng quyền người dùng không thể tạo ra một nguồn lực Microsoft phân phối giao dịch điều phối viên (MSDTC) vì dịch vụ cụm không thể tạo thiết đặt yêu cầu mật khẩu.

Một ví dụ khác của vấn đề này có thể xảy ra khi bạn sửa đổi các Truy cập vào máy tính này từ mạng người sử dụng đúng. Bạn có thể sửa đổi này quyền người dùng trong vị trí sau:
Máy tính Configuration\Windows Settings\Security Settings\Local Policies\User quyền chuyển nhượng
Theo mặc định, tất cả mọi người những và nhóm người quản trị được cả hai gán quyền này. Tuy nhiên, nếu bạn loại bỏ quyền này từ các nhóm này, và bạn không đặc biệt thêm tài khoản dịch vụ cụm, bạn không thể tham gia các nút đến một cụm hiện có. Ngoài ra, bạn có thể nhận được một lỗi "Truy cập từ chối" khi bạn cố gắng truy cập cụm sao bằng cách sử dụng cụm Administrator (Cluadmin.exe).

Nếu một tổ chức thực hiện các đối tượng chính sách nhóm mà ghi đè lên các chính sách an ninh địa phương và mà loại bỏ quyền người dùng từ dịch vụ cụm sao bằng cách thay đổi các quyền người sử dụng có hiệu quả, các dịch vụ cụm sao sẽ không thành công tại một số điểm. Để giải quyết vấn đề này, hãy làm theo những bước sau:
  1. Tạo ra một đơn vị tổ chức (OU) trong tên miền hoặc trong rừng, và sau đó chặn thừa kế chính sách trên đó OU.
  2. Di chuyển các nút cụm sao vào OU.
  3. Thừa kế các quyền người dùng mới, dừng và khởi động lại dịch vụ cụm trên mỗi nút.
Nếu bạn đã xác thực Kerberos được áp dụng cho bất kỳ một trong các máy chủ ảo của một cụm sao, và bạn thay đổi tài khoản dịch vụ cụm, bạn có thể ảnh hưởng đến quyền truy cập vào máy tính đối tượng trong dịch vụ thư mục Active Directory. Trước khi bạn cho phép giao thức Kerberos cho bất kỳ máy chủ ảo, xem bài viết cơ sở kiến thức Microsoft sau:
307532 Làm thế nào để khắc phục sự cố tài khoản dịch vụ cụm khi nó sửa đổi máy tính đối tượng
Ngoài ra, hãy chắc chắn rằng dịch vụ cụm có quyền sau đây của người dùng cho máy tính đối tượng trong OU thích hợp:
  • Đặt lại mật khẩu
  • Thay đổi mật khẩu
  • Xác nhận ghi đến tên máy chủ DNS
  • Xác nhận ghi vào thuộc tính ServicePrincipalName
MSCS an ninh cụm quyền tái tạo recreate

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 269229 - Xem lại Lần cuối: 08/22/2011 08:52:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows NT Server 4.0 Enterprise Edition

  • kbproductlink kbclustering kbhowto w2000mscs kbmt KB269229 KbMtvi
Phản hồi