如何在群集服务帐户修改计算机对象时对其进行故障排除

  • 项目

本文介绍如何排查群集服务在 Active Directory 中为服务器群集创建或修改计算机对象 (虚拟服务器) 的问题。

适用于:Windows 10 - 所有版本,Windows Server 2012 R2
原始 KB 编号: 307532

用于创建计算机对象的 Active Directory 访问权限

默认情况下,域用户组的成员被授予将工作站添加到域的用户权限。 默认情况下,此用户权限设置为 Active Directory 中 10 个计算机对象的最大配额。 如果超过此配额,则会记录以下事件 ID 消息:

如果多个群集使用与其群集服务帐户相同的域帐户,则可能在给定群集中创建十个计算机对象之前收到此错误消息。 解决此问题的一种方法是授予群集服务帐户对计算机容器的“创建计算机对象”权限。 此权限覆盖“将工作站添加到域”用户权限,该权限的默认配额为 10。

若要验证群集服务帐户是否具有“将工作站添加到域”用户权限,请执行以下操作:

  1. 登录到存储群集服务帐户的域控制器。

  2. 从管理工具启动域控制器安全策略计划。

  3. 单击以展开“本地策略”,然后单击以展开“ 用户权限分配”。

  4. 双击“ 将工作站添加到域 ”,并记下列出的帐户。

  5. 应列出“经过身份验证的用户组” (默认组) 。 如果未列出,则必须向此用户授予对域控制器上的群集服务帐户或包含群集服务帐户的组的权限。

    注意

    必须向域控制器授予此用户权限,因为计算机对象是在域控制器上创建的。

  6. 如果将群集服务帐户显式添加到此用户权限,请在域控制器 (上运行 gpupdate 或针对 Windows 2000) 运行 secedit ,以便将新用户权限复制到所有域控制器。

  7. 验证该策略不会被另一个策略覆盖。

群集服务帐户在本地节点上没有适当的用户权限

验证群集服务帐户是否对群集的每个节点具有相应的用户权限。 群集服务帐户必须位于本地管理员组中,并且应具有下面列出的权限。 在配置群集节点期间,这些权限将授予群集服务帐户。 高级策略可能过度写入本地策略,或者从以前的操作系统升级未添加所有必需的权限。 若要验证是否在本地节点上授予了这些权限,请按照以下过程操作:

  1. “管理工具 ”组启动“本地安全设置”控制台。

  2. 导航到“本地策略”下的“用户权限分配”。

  3. 验证是否已显式授予群集服务帐户以下权限:

    • 以服务身份登录
    • 以操作系统方式执行
    • 备份文件和目录
    • 调整进程的内存配额
    • 提高计划优先级
    • 还原文件和目录

    注意

    如果群集服务帐户已从本地管理员组中删除,请手动重新创建群集服务帐户,并为群集服务提供所需的权限。

    如果缺少任何权限,请为其授予群集服务帐户显式权限,然后停止并重启群集服务。 在重启群集服务之前,添加的权限才会生效。 如果群集服务帐户仍无法创建计算机对象,请验证组策略是否未过度写入本地策略。 若要执行此操作,可以在命令提示符处键入 gpresult(如果你位于 Windows 2000 域)或来自 MMC 管理单元的 RSOP) (结果集(如果你位于 Windows Server 2003 域)。

    如果你位于 Windows Server 2003 域中,请在“RSOP”上的“帮助和支持”中搜索有关使用策略结果集的说明。

    如果群集服务帐户没有“充当操作系统的一部分”权限,则网络名称资源将失败,Cluster.log将注册以下消息:

    使用上述步骤验证群集服务帐户是否具有所有必需的权限。 如果本地安全策略由域或组织单位过度写入, (OU) 组策略,则有多个选项。 可以将群集节点置于其自己的 OU 中,该 OU 具有“允许从父级传播到此对象的可继承权限”取消选中。

使用预创建的计算机对象时所需的访问权限

如果已验证的用户组或群集服务帐户的成员被阻止创建计算机对象,如果是域管理员,则必须预先创建虚拟服务器计算机对象。 必须授予对预先创建的计算机对象的群集服务帐户的特定访问权限。 群集服务尝试更新与虚拟服务器的 NetBIOS 名称匹配的计算机对象。

若要验证群集服务帐户是否对计算机对象具有适当的权限,请执行以下操作:

  1. 从“管理工具”启动Active Directory 用户和计算机管理单元。

  2. 在“ 视图 ”菜单上,选择“ 高级功能”。

  3. 找到希望群集服务帐户使用的计算机对象。

  4. 右键单击计算机对象,然后选择“ 属性”。

  5. 选择“ 安全性 ”选项卡,然后选择“ 添加”。

  6. 添加群集服务帐户或群集服务帐户所属的组。

  7. 向用户或组授予以下权限:

    • 重置密码
    • 已验证写入 DNS 主机名
    • 已验证写入服务主体名称

  8. 选择“确定”。 如果存在多个域控制器,则可能需要等待权限更改复制到其他域控制器, (默认情况下,复制周期每隔 15 分钟) 发生一次。

禁用 kerberos 时,网络名称资源不会联机

如果存在计算机对象,但未选择 “启用 Kerberos 身份验证 ”选项,则网络名称资源不会联机。 若要解决此问题,请使用以下过程之一:

  • 删除 Active Directory 中的相应计算机对象。
  • 在“网络名称”资源上 选择“启用 Kerberos 身份验证 ”。