Freigeben über

Problembehandlung für das Clusterdienstkonto beim Ändern von Computerobjekten

  • Artikel

In diesem Artikel wird beschrieben, wie Sie probleme mit dem Clusterdienst beheben, wenn ein Computerobjekt in Active Directory für einen Servercluster (virtueller Server) erstellt oder geändert wird.

Ursprüngliche KB-Nummer: 307532

Active Directory-Zugriffsrechte zum Erstellen eines Computerobjekts

Standardmäßig erhalten Mitglieder der Gruppe "Domänenbenutzer" das Benutzerrecht, Arbeitsstationen zu einer Domäne hinzuzufügen. Standardmäßig ist dieses Benutzerrecht auf ein maximales Kontingent von 10 Computerobjekten in Active Directory festgelegt. Wenn Sie dieses Kontingent überschreiten, wird die folgende Ereignis-ID-Nachricht protokolliert:

Wenn mehrere Cluster dasselbe Domänenkonto wie ihr Clusterdienstkonto verwenden, wird diese Fehlermeldung möglicherweise angezeigt, bevor Sie zehn Computerobjekte in einem bestimmten Cluster erstellen. Eine Möglichkeit, dieses Problem zu beheben, besteht darin, dem Clusterdienstkonto die Berechtigung "Computerobjekte erstellen" im Container "Computer" zu erteilen. Diese Berechtigung setzt die Berechtigung zum Hinzufügen von Arbeitsstationen zu einem Domänenbenutzerrecht außer Kraft, das über ein Standardkontingent von zehn verfügt.

So überprüfen Sie, ob das Clusterdienstkonto über die Berechtigung zum Hinzufügen von Arbeitsstationen zu einem Domänenbenutzer verfügt:

  1. Melden Sie sich beim Domänencontroller an, auf dem das Clusterdienstkonto gespeichert ist.

  2. Starten Sie das Domänencontroller-Sicherheitsrichtlinienprogramm über die Verwaltungstools.

  3. Klicken Sie, um lokale Richtlinien zu erweitern, und klicken Sie dann, um Benutzerrechtezuweisungen zu erweitern.

  4. Doppelklicken Sie auf " Arbeitsstationen zu einer Domäne hinzufügen", und notieren Sie sich die aufgelisteten Konten.

  5. Die Gruppe "Authentifizierte Benutzer" (die Standardgruppe) sollte aufgelistet werden. Wenn sie nicht aufgeführt ist, müssen Sie diesem Benutzer entweder das Clusterdienstkonto oder eine Gruppe gewähren, die das Clusterdienstkonto auf den Domänencontrollern enthält.

    Notiz

    Sie müssen diesem Benutzer das Recht für die Domänencontroller gewähren, da Computerobjekte auf den Domänencontrollern erstellt werden.

  6. Wenn Sie diesem Benutzer explizit das Clusterdienstkonto hinzufügen, führen gpupdate Sie auf dem Domänencontroller (oder unter Windows 2000) aus secedit , damit das neue Benutzerrecht auf allen Domänencontrollern repliziert wird.

  7. Stellen Sie sicher, dass die Richtlinie nicht von einer anderen Richtlinie überschrieben wird.

Das Clusterdienstkonto verfügt nicht über die richtigen Benutzerrechte auf dem lokalen Knoten

Stellen Sie sicher, dass das Clusterdienstkonto über die entsprechenden Benutzerrechte auf jedem Knoten des Clusters verfügt. Das Clusterdienstkonto muss sich in der lokalen Administratorgruppe befinden und sollte über die unten aufgeführten Rechte verfügen. Diese Rechte werden während der Konfiguration des Clusterknotens an das Clusterdienstkonto übergeben. Es ist möglich, dass eine Richtlinie auf höherer Ebene die lokale Richtlinie überschreiben oder dass ein Upgrade von einem vorherigen Betriebssystem nicht alle erforderlichen Rechte hinzu addiert. Führen Sie die folgenden Verfahren aus, um zu überprüfen, ob diese Rechte auf dem lokalen Knoten erteilt werden:

  1. Starten Sie die Konsole für lokale Sicherheitseinstellungen aus der Gruppe "Verwaltungstools ".

  2. Navigieren Sie zu Benutzerrechtezuweisungen unter lokalen Richtlinien.

  3. Stellen Sie sicher, dass dem Clusterdienstkonto explizit die folgenden Rechte erteilt wurden:

    • Anmelden als Dienst
    • Einsetzen als Teil des Betriebssystems
    • Sichern von Dateien und Verzeichnissen
    • Anpassen von Speicherkontingenten für einen Prozess
    • Anheben der Zeitplanungspriorität
    • Wiederherstellen von Dateien und Verzeichnissen

    Notiz

    Wenn das Clusterdienstkonto aus der lokalen Administratorgruppe entfernt wurde, erstellen Sie das Clusterdienstkonto manuell neu und weisen dem Clusterdienst die erforderlichen Rechte zu.

    Wenn eines der Rechte fehlt, erteilen Sie dem Clusterdienst explizite Rechte dafür, und starten Sie den Clusterdienst dann beenden und neu. Die hinzugefügten Rechte werden erst wirksam, wenn Sie den Clusterdienst neu starten. Wenn das Clusterdienstkonto weiterhin kein Computerobjekt erstellen kann, stellen Sie sicher, dass eine Gruppenrichtlinie die lokale Richtlinie nicht überschreiben kann. Dazu können Sie entweder "gpresult" an der Eingabeaufforderung eingeben, wenn Sie sich in einer Windows 2000-Domäne oder einem Resultsant Set of Policy (RSOP) aus einem MMC-Snap-In befinden, wenn Sie sich in einer Windows Server 2003-Domäne befinden.

    Wenn Sie sich in einer Windows Server 2003-Domäne befinden, suchen Sie in der Hilfe und im Support unter "RSOP" nach Anweisungen zur Verwendung von Resultsant Set of Policy.

    Wenn das Clusterdienstkonto nicht über das Recht "Als Teil des Betriebssystems handeln" verfügt, schlägt die Netzwerkname-Ressource fehl, und die Cluster.log registriert die folgende Meldung:

    Führen Sie die oben genannten Schritte aus, um zu überprüfen, ob das Clusterdienstkonto über alle erforderlichen Rechte verfügt. Wenn die lokalen Sicherheitsrichtlinien von einer Gruppenrichtlinie für Domänen- oder Organisationseinheit (OU) überschreiben, gibt es mehrere Optionen. Sie können die Clusterknoten in eine eigene ORGANISATIONSeinheit einfügen, die die Option "Vererbbare Berechtigungen von übergeordnetem Element zulassen, an dieses Objekt weitergeben" deaktiviert ist.

Erforderliche Zugriffsrechte bei Verwendung eines zuvor erstellten Computerobjekts

Wenn Mitglieder der Gruppe "Authentifizierte Benutzer" oder des Clusterdienstkontos am Erstellen eines Computerobjekts gehindert werden, müssen Sie das Virtuelle Servercomputerobjekt vorab erstellen, wenn Sie der Domänenadministrator sind. Sie müssen bestimmten Zugriffsrechten für das Clusterdienstkonto auf dem zuvor erstellten Computerobjekt gewähren. Der Clusterdienst versucht, das Computerobjekt zu aktualisieren, das dem NetBIOS-Namen des virtuellen Servers entspricht.

So überprüfen Sie, ob das Clusterdienstkonto über die richtigen Berechtigungen für das Computerobjekt verfügt:

  1. Starten Sie das Active Directory-Benutzer und -Computer Snap-In aus den Verwaltungstools.

  2. Wählen Sie im Menü "Ansicht" die Option "Erweiterte Features" aus.

  3. Suchen Sie das Computerobjekt, das das Clusterdienstkonto verwenden soll.

  4. Klicken Sie mit der rechten Maustaste auf das Computerobjekt, und wählen Sie dann "Eigenschaften" aus.

  5. Wählen Sie die Registerkarte "Sicherheit" und dann "Hinzufügen" aus.

  6. Fügen Sie das Clusterdienstkonto oder eine Gruppe hinzu, in der das Clusterdienstkonto Mitglied ist.

  7. Erteilen Sie dem Benutzer oder der Gruppe die folgenden Berechtigungen:

    • Kennwort zurücksetzen
    • Überprüfter Schreibzugriff auf DNS-Hostname
    • Überprüfter Schreibzugriff auf Dienstprinzipalname

  8. Wählen Sie OK aus. Wenn mehrere Domänencontroller vorhanden sind, müssen Sie möglicherweise warten, bis die Berechtigungsänderung auf die anderen Domänencontroller repliziert wird (standardmäßig tritt ein Replikationszyklus alle 15 Minuten auf).

Netzwerknamenressource geht nicht online, wenn Kerberos deaktiviert ist

Eine Netzwerknamenressource kommt nicht online, wenn ein Computerobjekt vorhanden ist, Sie aber nicht die Option "Kerberos-Authentifizierung aktivieren" auswählen. Um das Problem zu beheben, verwenden Sie eines der folgenden Verfahren:

  • Löschen Sie das entsprechende Computerobjekt in Active Directory.
  • Wählen Sie "Kerberos-Authentifizierung aktivieren" in der Netzwerknamenressource aus.