如何在叢集服務帳戶修改計算機物件時進行疑難解答

  • 發行項

本文說明當叢集服務在 Active Directory 中建立或修改伺服器叢集 (虛擬伺服器) 的計算機物件時,如何進行疑難解答。

適用於:Windows 10 - 所有版本,Windows Server 2012 R2
原始 KB 編號: 307532

用於建立計算機物件的Active Directory 訪問許可權

根據預設,網域使用者群組的成員會被授與將工作站新增至網域的用戶權力。 根據預設,此用戶權力會設定為 Active Directory 中最多 10 個計算機物件的配額。 如果您超過此配額,則會記錄下列事件識別碼訊息:

如果有數個叢集使用與其叢集服務帳戶相同的網域帳戶,您可能會在指定的叢集中建立十個計算機物件之前收到此錯誤訊息。 解決此問題的其中一種方式是將 [計算機] 容器上的 [建立計算機物件] 許可權授與叢集服務帳戶。 此許可權會覆寫 [將工作站新增至網域使用者] 許可權,其預設配額為 10。

若要確認叢集服務帳戶具有 [將工作站新增至網域使用者] 許可權:

  1. 登入儲存叢集服務帳戶的域控制器。

  2. 從系統管理工具啟動域控制器安全策略程式。

  3. 按兩下以展開 [本機原則],然後按兩下以展開 [用戶權力指派]

  4. 按兩下 [ 將工作站新增至網域 ],並記下列出的帳戶。

  5. 應列出預設群組) ([已驗證的使用者] 群組。 如果未列出,您必須將叢集服務帳戶或域控制器上包含叢集服務帳戶的群組權授與此使用者。

    注意事項

    您必須將域控制器的許可權授與此使用者,因為計算機物件是在域控制器上建立的。

  6. 如果您明確地將叢集服務帳戶新增至此用戶權力, gpupdate 請在域控制器上執行 (或 secedit 執行 Windows 2000) ,以便將新的使用者權力復寫到所有域控制器。

  7. 確認原則不會被另一個原則覆寫。

叢集服務帳戶在本機節點上沒有適當的用戶權力

確認叢集服務帳戶在叢集的每個節點上都有適當的用戶權力。 叢集服務帳戶必須位於本機系統管理員群組中,且應具有下列許可權。 這些許可權會在設定叢集節點期間提供給叢集服務帳戶。 較高層級的原則可能會過度撰寫本機原則,或是從先前操作系統的升級不會新增所有必要的許可權。 若要確認已在本機節點上提供這些許可權,請遵循下列程式:

  1. 從 [系統管理 工具 ] 群組啟動 [本機安全性設定] 主控台。

  2. 流覽至 [本機原則] 下的 [用戶權力指派]

  3. 確認叢集服務帳戶已明確獲得下列許可權:

    • 以服務身分登入
    • 當成作業系統的一部分
    • 備份檔案和目錄
    • 調整進程的記憶體配額
    • 增加排程優先順序
    • 還原檔案和目錄

    注意事項

    如果叢集服務帳戶已從本機系統管理員群組中移除,請手動重新建立叢集服務帳戶,並提供叢集服務所需的許可權。

    如果遺漏任何許可權,請為叢集服務帳戶提供其明確許可權,然後停止並重新啟動叢集服務。 在您重新啟動叢集服務之前,新增的許可權不會生效。 如果叢集服務帳戶仍然無法建立計算機物件,請確認 群組原則 並未過度撰寫本機原則。 若要這樣做,如果您位於 Windows 2000 網域,則可以在命令提示字元中輸入 gpresult,如果您位於 Windows Server 2003 網域,則可從 MMC 嵌入式管理單元輸入原則 (RSOP) 的結果集。

    如果您是在 Windows Server 2003 網域中,請在 “RSOP” 的 [說明及支援] 中搜尋使用原則結果集的指示。

    如果叢集服務帳戶沒有「作為操作系統的一部分」許可權,則網路名稱資源將會失敗,而Cluster.log會註冊下列訊息:

    使用上述步驟來確認叢集服務帳戶具有所有必要的許可權。 如果網域或組織單位 (OU) 組策略過度撰寫本機安全策略,則有數個選項。 您可以將叢集節點放入其本身的 OU 中,而該 OU 具有「允許從父系繼承的許可權以傳播至此物件」取消選取。

使用預先建立的計算機物件時所需的訪問許可權

如果已驗證的使用者群組或叢集服務帳戶的成員遭到封鎖而無法建立計算機物件,如果您是網域系統管理員,則必須預先建立虛擬伺服器計算機物件。 您必須將特定訪問許可權授與預先建立之計算機物件上的叢集服務帳戶。 叢集服務會嘗試更新符合虛擬伺服器 NetBIOS 名稱的計算機物件。

若要確認叢集服務帳戶具有計算機對象的適當許可權:

  1. 從 [系統管理工具] 啟動 Active Directory 使用者和電腦 嵌入式管理單元。

  2. 在 [ 檢視] 功能表上,選取 [ 進階功能]

  3. 找出您想要叢集服務帳戶使用的計算機物件。

  4. 以滑鼠右鍵按兩下電腦物件,然後選取 [ 屬性]

  5. 選取 [ 安全性] 索 引標籤,然後選取 [ 新增]

  6. 新增叢集服務帳戶或叢集服務帳戶所屬的群組。

  7. 授與使用者或群組下列許可權:

    • 重設密碼
    • 已驗證寫入 DNS 主機名
    • 已驗證寫入服務主體名稱

  8. 選取 [確定]。 如果有多個域控制器,您可能需要等候許可權變更依默認複寫到其他域控制器 (,) 每隔 15 分鐘就會發生一次復寫週期。

停用 kerberos 時,網路名稱資源不會上線

如果計算機物件存在,但您未選取 [ 啟用 Kerberos 驗證 ] 選項,則網路名稱資源不會上線。 若要解決此問題,請使用下列其中一個程式:

  • 刪除 Active Directory 中對應的電腦物件。
  • 選取 [網络名稱] 資源上的 [ 啟用 Kerberos 驗證 ]。