Freigeben über

Behandeln von Problemen mit Konten, die von Failoverclustern verwendet werden

  • Artikel

Dieser Artikel enthält Anleitungen zur Problembehandlung bei Problemen mit Konten, die von Failoverclustern verwendet werden.

Wenn Sie einen Failovercluster erstellen und gruppierte Dienste oder Anwendungen konfigurieren, erstellt der Failovercluster-Assistent die erforderlichen Active Directory-Konten und gibt ihnen die richtigen Berechtigungen. Probleme können auftreten, wenn ein benötigtes Konto gelöscht oder notwendige Berechtigungen geändert werden. In den folgenden Abschnitten werden Schritte zur Behebung dieser Probleme beschrieben.

Problembehandlung bei Passwortproblemen mit dem Clusternamen-Konto

Sie erhalten eine Ereignismeldung zu Computerobjekten oder der Clusteridentität, die den folgenden Text enthält:

Logon failure: unknown user name or bad password.

Die Ereignismeldung gibt an, dass das Kennwort für das Clusternamenkonto nicht mehr mit dem entsprechenden Kennwort übereinstimmt, das von der Clustersoftware gespeichert ist.

Notiz

So führen Sie die folgenden Schritte aus:

  • Ihr Konto sollte mindestens Mitglied der lokalen Administratorgruppe (oder gleichwertig) sein. Darüber hinaus sollte Ihr Konto über die Berechtigung zum Zurücksetzen des Kennworts für das Clusternamenkonto verfügen (es sei denn, es handelt sich um ein Domänenadministratorkonto oder den Erstellerbesitzer des Clusternamenkontos).
  • Sie können das Konto verwenden, das zum Installieren des Clusters verwendet wurde.

Weitere Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Weitere Informationen zum Sicherstellen, dass die Clusteradministratoren über die richtigen Berechtigungen verfügen, finden Sie unter "Planen vor" für Kennwortzurücksetzungen und andere Kontowartungen.

Führen Sie die schritte aus, um diese Probleme zu beheben:

  1. Wählen Sie "Start", wechseln Sie zu "Verwaltungstools", und wählen Sie dann "Failovercluster-Manager" aus, um das Failovercluster-Snap-In zu öffnen. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion ausgeführt werden soll, und wählen Sie anschließend Ja.

  2. Überprüfen Sie im Failovercluster-Manager-Snap-In , ob der zu konfigurierende Cluster angezeigt wird. Wenn sie nicht angezeigt wird, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Failovercluster-Manager, wählen Sie " Cluster verwalten" aus, und wählen Oder geben Sie den gewünschten Cluster an.

  3. Erweitern Sie im mittleren Bereich Hauptressourcen des Clusters.

  4. Klicken Sie unter "Clustername" mit der rechten Maustaste auf das Element "Name", und wählen Sie dann "Offline" aus.

  5. Klicken Sie unter "Clustername" mit der rechten Maustaste auf das Element "Name", zeigen Sie auf "Weitere Aktionen", und wählen Sie dann "Active Directory-Objekt reparieren" aus.

    Notiz

    Die Option "Active Directory-Objekt reparieren" wird abgeblentet, es sei denn, die Namensressource des Clusters ist offline. Die Offlineverwendung der Namensressource des Clusters sollte sich nicht negativ auf andere Clustergruppen auswirken, z. B. die SQL Server-Failoverclusterinstanz. Dies liegt daran, dass diese anderen Clustergruppen nicht von der Namensressource des Clusters abhängen.

Wenn das Clusternamenkonto gelöscht oder Berechtigungen aus dem Konto entfernt werden, treten Probleme auf, wenn Sie versuchen, einen neuen clusterierten Dienst oder eine neue Clusteranwendung zu konfigurieren. Verwenden Sie in diesem Szenario das Active Directory-Benutzer und -Computer Snap-In, um das Clusternamenkonto und andere verwandte Konten anzuzeigen oder zu ändern.

Weitere Informationen zu den zugehörigen Ereignissen (Ereignis-IDs 1193, 1194, 1206 und 1207) finden Sie unter Active Directory-Berechtigungen für Clusterkonten.

Notiz

Für die folgenden Schritte ist mindestens die Mitgliedschaft in der Gruppe "Domänenadministratoren" (oder gleichwertig) erforderlich. Weitere Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Führen Sie die schritte aus, um diese Probleme zu beheben:

  1. Wählen Sie auf einem Domänencontroller "Start" aus, wechseln Sie zu "Verwaltungstools", und wählen Sie dann Active Directory-Benutzer und -Computer aus. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion ausgeführt werden soll, und wählen Sie anschließend Ja.

  2. Erweitern Sie den Standardcontainer Computer bzw. den Ordner, in dem sich das Clusternamenkonto (das Computerkonto für den Cluster) befindet. Der Computercontainer befindet sich in Active Directory-Benutzer und -Computer\<Domänenknoten>\Computer.

  3. Beachten Sie das Symbol für das Clusternamenkonto. Das Konto sollte nicht deaktiviert werden, indem ein nach unten zeigender Pfeil darauf angezeigt wird. Wenn sie deaktiviert ist, klicken Sie mit der rechten Maustaste darauf, und wählen Sie nach Möglichkeit "Konto aktivieren" aus.

  4. Stellen Sie im Menü "Ansicht " sicher, dass die Option "Erweiterte Features " ausgewählt ist.

    Wenn die Option "Erweiterte Features" ausgewählt ist, können Sie die Registerkarte "Sicherheit" in den Eigenschaften von Konten (Objekten) in Active Directory-Benutzer und -Computer sehen.

  5. Klicken Sie mit der rechten Maustaste auf den Standardcontainer "Computer" oder auf den Ordner, in dem sich das Clusternamenkonto befindet, und wählen Sie dann "Eigenschaften" aus.

  6. Wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus.

  7. Wählen Sie in der Liste der Konten mit Berechtigungen das Clusternamenkonto und dann " Bearbeiten" aus.

    Notiz

    Wenn das Clusternamenkonto nicht aufgeführt ist, wählen Sie "Hinzufügen" aus, und fügen Sie es der Liste hinzu.

  8. Stellen Sie für das Clusternamenkonto (auch bekannt als Clusternamenobjekt oder CNO) sicher, dass das Kontrollkästchen "Zulassen " für die Objekte "Computer erstellen" und "Alle Eigenschaften lesen" aktiviert ist.

    Screenshot des Fensters

  9. Wählen Sie "OK" aus, bis Sie zum Active Directory-Benutzer und -Computer Snap-In zurückkehren.

  10. Überprüfen Sie Domänenrichtlinien (wenden Sie sich ggf. an einen Domänenadministrator), der sich auf die Erstellung von Computerkonten (Objekte) bezieht. Stellen Sie sicher, dass das Clusternamenkonto ein Computerkonto erstellen kann, immer wenn Sie einen geclusterten Dienst oder eine geclusterte Anwendung konfigurieren. Wenn Ihr Domänenadministrator beispielsweise Einstellungen konfiguriert hat, die dazu führen, dass alle neuen Computerkonten in einem speziellen Container und nicht im Standardcontainer "Computer " erstellt werden, stellen Sie sicher, dass diese Einstellungen auch dem Clusternamenkonto erlauben, neue Computerkonten in diesem Container zu erstellen.

  11. Erweitern Sie den Standardcontainer Computer oder den Container, in dem sich das Computerkonto für einen geclusterten Dienst oder eine geclusterte Anwendung befindet.

  12. Klicken Sie mit der rechten Maustaste auf das Computerkonto für einen der gruppierten Dienste oder Anwendungen, und wählen Sie dann "Eigenschaften" aus.

  13. Vergewissern Sie sich, dass auf der Registerkarte Sicherheit das Clusternamenkonto unter den Konten aufgeführt wird, die über Berechtigungen verfügen, und wählen Sie es aus. Vergewissern Sie sich, dass das Clusternamenkonto über die Berechtigung "Vollzugriff " verfügt (das Kontrollkästchen "Zulassen " ist aktiviert). Andernfalls fügen Sie der Liste das Clusternamenkonto hinzu, und erteilen Sie ihm die Berechtigung "Vollzugriff" .

    Screenshot, der zeigt, dass das Clusternamenkonto aufgelistet ist und über die Berechtigung

  14. Wiederholen Sie die Schritte 12-13 für jeden gruppierten Dienst und jede im Cluster konfigurierte Anwendung.

  15. Stellen Sie sicher, 10dass das domänenweite Kontingent (standardmäßig) zum Erstellen von Computerobjekten nicht erreicht wurde (wenden Sie sich ggf. an einen Domänenadministrator). Wenn alle vorherigen Elemente in diesem Verfahren überprüft und korrigiert wurden und das Kontingent erreicht wurde, sollten Sie das Kontingent erhöhen. Führen Sie die folgenden Schritte aus, um das Kontingent zu ändern:

    1. Öffnen Sie eine Eingabeaufforderung als Administrator, und führen Sie den ADSIEdit.msc Befehl aus.
    2. Klicken Sie mit der rechten Maustaste auf ADSI Bearbeiten, und wählen Sie dann "Mit OK verbinden">aus. Anschließend wird der Konsolenstruktur der Standardbenennungskontext hinzugefügt.
    3. Doppelklicken Sie auf den Standardbenennungskontext, klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und wählen Sie dann "Eigenschaften" aus.
    4. Scrollen Sie zu ms-DS-MachineAccountQuota , und wählen Sie es aus. Wählen Sie "Bearbeiten", ändern Sie den Wert, und wählen Sie dann "OK" aus.