Configuración de cuentas de clúster en Active Directory
En Windows Server, al crear un clúster de conmutación por error y configurar servicios o aplicaciones en clúster, los asistentes para clúster de conmutación por error crean las cuentas de equipo de Active Directory necesarias (también denominadas objetos de equipo) y les conceden permisos específicos. Los asistentes crean una cuenta de equipo para el clúster propiamente dicho (esta cuenta también se denomina el objeto de nombre de clúster o CNO) y una cuenta de equipo para la mayoría de los tipos de servicios y aplicaciones en clúster, siendo la excepción una máquina virtual de Hyper-V. Los asistentes para clúster de conmutación por error establecen automáticamente los permisos para estas cuentas. Si se cambian los permisos, habrá que volver a cambiarlos para que coincidan con los requisitos de clúster. En esta guía se describen estas cuentas y permisos de Active Directory, se proporciona información general sobre por qué son importantes, y se describen los pasos para configurar y administrar las cuentas.
Información general de las cuentas de Active Directory que necesita un clúster de conmutación por error
En esta sección se describen las cuentas de equipo de Active Directory (también denominadas objetos de equipo de Active Directory) que son importantes para un clúster de conmutación por error. Estas cuentas son las siguientes:
La cuenta de usuario utilizada para crear el clúster. Es la cuenta de usuario utilizada para iniciar el Asistente para crear clúster. La cuenta es importante porque proporciona la base a partir de la cual se crea una cuenta de equipo para el propio clúster.
La cuenta de nombre de clúster. (La cuenta de equipo del propio clúster, también llamada objeto de nombre de clúster o CNO). Esta cuenta la crea automáticamente el Asistente para crear clúster y tiene el mismo nombre que el clúster. La cuenta de nombre de clúster es muy importante, ya que a través de esta cuenta, se crean automáticamente otras cuentas a medida que configura nuevos servicios y aplicaciones en el clúster. Si se elimina la cuenta de nombre de clúster o se quitan de ella permisos, no se pueden crear otras cuentas como necesita el clúster, hasta que se restaure la cuenta de nombre de clúster o se reintegren los permisos correctos.
Por ejemplo, si crea un clúster denominado Clúster1 e intenta configurar un servidor de impresión en clúster denominado ServidorImpresión1 en el clúster, la cuenta Clúster1 de Active Directory necesitará conservar los permisos correctos para que se pueda utilizar con el fin de crear una cuenta de equipo denominada ServidorImpresión1.
La cuenta de nombre de clúster se crea en el contenedor predeterminado para las cuentas de equipo en Active Directory. De forma predeterminada, es el contenedor "Equipos", pero el administrador de dominio puede elegir redirigirlo a otro contenedor o unidad organizativa (OU).
La cuenta de equipo (objeto de equipo) de un servicio o una aplicación en clúster. El Asistente para alta disponibilidad crea automáticamente estas cuentas como parte del proceso de creación de la mayoría de los tipos de servicios o aplicaciones en clúster, a excepción de una máquina virtual de Hyper-V. A la cuenta de nombre de clúster se le conceden los permisos necesarios para controlar estas cuentas.
Por ejemplo, si tiene un clúster denominado Clúster1 y después crea un servidor de archivos en clúster denominado ServidorDeArchivos1, el Asistente para alta disponibilidad creará una cuenta de equipo de Active Directory denominada ServidorDeArchivos1. El Asistente para alta disponibilidad también asigna los permisos necesarios a la cuenta Cluster1 para controlar la cuenta FileServer1.
En la tabla siguiente se describen los permisos necesarios para estas cuentas.
Cuenta | Detalles sobre los permisos |
---|---|
Cuenta utilizada para crear el clúster |
Necesita permisos administrativos en los servidores que se convertirán en nodos de clúster. También necesita los permisos Crear objetos de equipo y Leer todas las propiedades en el contenedor que se utiliza para las cuentas de equipo en el dominio. |
Cuenta de nombre de clúster (cuenta de equipo del propio clúster) |
Cuando se ejecuta el Asistente para crear clúster, crea la cuenta de nombre de clúster en el contenedor predeterminado que se utiliza para las cuentas de equipo en el dominio. De forma predeterminada, la cuenta de nombre de clúster (como otras cuentas de equipo) puede crear hasta diez cuentas de equipo en el dominio. Si crea la cuenta de nombre de clúster (objeto de nombre de clúster) antes de crear el clúster (es decir, preconfigura la cuenta), debe concederle los permisos Crear objetos de equipo y Leer todas las propiedades en el contenedor que se utiliza para las cuentas de equipo en el dominio. También debe deshabilitar la cuenta y asignar Control total a la cuenta que utilizará el administrador que instala el clúster. Para obtener más información, vea Pasos para preconfigurar la cuenta de nombre de clúster, más adelante en esta guía. |
Cuenta de equipo de un servicio o aplicación en clúster |
Cuando se ejecuta el Asistente para alta disponibilidad (para crear un nuevo servicio o aplicación en clúster), en la mayoría de los casos se crea una cuenta de equipo para el servicio o la aplicación en clúster en Active Directory. A la cuenta de nombre de clúster se le conceden los permisos necesarios para controlar esta cuenta. La excepción es una máquina virtual de Hyper-V en clúster: no se crea ninguna cuenta de equipo para esto. Si preconfigura la cuenta de equipo para un servicio o una aplicación en clúster, debe configurarla con los permisos necesarios. Para obtener más información, vea Pasos para preconfigurar una cuenta para un servicio o una aplicación en clúster, más adelante en esta guía. |
Nota
En versiones anteriores de Windows Server, había una cuenta para el Servicio de clúster. Pero, a partir de Windows Server 2008, el Servicio de clúster se ejecuta automáticamente en un contexto especial que proporciona los permisos y privilegios específicos necesarios para el servicio (de forma similar al contexto del sistema local, pero con privilegios reducidos). Sin embargo, se necesitan otras cuentas como se describe en esta guía.
Cómo se crean cuentas mediante asistentes en los clústeres de conmutación por error
En el diagrama siguiente se muestra el uso y la creación de cuentas de equipo (objetos de Active Directory) que se describen en la subsección anterior. Estas cuentas entran en juego cuando un administrador ejecuta el Asistente para crear clúster y, a continuación, ejecuta el Asistente para alta disponibilidad (para configurar un servicio o una aplicación en clúster).
Tenga en cuenta que el diagrama anterior muestra un único administrador que ejecuta el Asistente para crear clúster y el Asistente para alta disponibilidad. Sin embargo, podrían ser dos administradores diferentes que usaran dos cuentas de usuario distintas, si ambas cuentas tuvieran permisos suficientes. Los permisos se describen con más detalle en Requisitos relacionados con los clústeres de conmutación por error, dominios de Active Directory y cuentas, más adelante en esta guía.
Qué problemas pueden producirse si se cambian las cuentas que necesita el clúster
En el diagrama siguiente se muestra qué problemas pueden producirse si se cambia la cuenta de nombre de clúster (una de las cuentas que necesita el clúster) después de haberla creado automáticamente el Asistente para crear clúster.
Si se produce el tipo de problema mostrado en el diagrama, se registrará un evento determinado (1193, 1194, 1206 ó 1207) en el Visor de eventos. Para obtener más información sobre estos parámetros, consulte https://go.microsoft.com/fwlink/?LinkId=118271.
Tenga en cuenta que se puede producir un problema similar con la creación de una cuenta para un servicio o una aplicación en clúster si se ha alcanzado la cuota para todo el dominio respecto a la creación de objetos de equipo (de forma predeterminada, 10). En tal caso, podría ser adecuado consultar con el administrador del dominio cómo aumentar la cuota, aunque se trata de una configuración para todo el dominio y solo se debe modificar después de haberlo estudiado detenidamente y solo después de confirmar que el diagrama anterior no describe su situación. Para más información, vea Solución de problemas debidos a cambios en las cuentas de Active Directory relacionadas con el clúster.
Requisitos relacionados con los clústeres de conmutación por error, dominios de Active Directory y cuentas
Tal y como se describe en las tres secciones anteriores, se deben cumplir ciertos requisitos antes de poder configurar correctamente los servicios y las aplicaciones en clúster en un clúster de conmutación por error. Los requisitos más básicos se refieren a la ubicación de los nodos de clúster (dentro de un único dominio) y el nivel de permisos de la cuenta de la persona que instala el clúster. Si se cumplen estos requisitos, los asistentes para clúster de conmutación por error pueden crear automáticamente las demás cuentas requeridas por el clúster. En la lista siguiente se proporcionan detalles sobre estos requisitos básicos.
Nodos: todos los nodos deben estar en el mismo dominio de Active Directory. (El dominio no puede estar basado en Windows NT 4.0, que no incluye Active Directory.)
Cuenta de la persona que instala el clúster: la persona que instala el clúster debe usar una cuenta con las siguientes características:
La cuenta debe ser una cuenta de dominio. No tiene por qué ser una cuenta de administrador de dominio. Puede ser una cuenta de usuario del dominio si cumple los demás requisitos de esta lista.
La cuenta debe tener permisos administrativos en los servidores que se convertirán en nodos de clúster. La manera más sencilla de proporcionar esto es crear una cuenta de usuario de dominio y, a continuación, agregar esa cuenta al grupo local Administradores en cada uno de los servidores que se convertirán en nodos de clúster. Para obtener más información, vea Pasos para configurar la cuenta para la persona que instala el clúster, más adelante en esta guía.
La cuenta (o el grupo del que la cuenta es miembro) debe tener concedidos los permisos Crear objetos de equipo y Leer todas las propiedades en el contenedor que se utiliza para las cuentas de equipo del dominio. Para obtener más información, vea Pasos para configurar la cuenta para la persona que instala el clúster, más adelante en esta guía.
Si su organización elige preconfigurar la cuenta de nombre de clúster (una cuenta de equipo con el mismo nombre que el clúster), la cuenta de nombre de clúster preconfigurada debe conceder el permiso "Control total" a la cuenta de la persona que instala el clúster. Para obtener otros detalles importantes sobre cómo preconfigurar la cuenta de nombre de clúster, vea Pasos para preconfigurar la cuenta de nombre de clúster, más adelante en esta guía.
Planear de antemano los restablecimientos de la contraseña y otras tareas de mantenimiento de la cuenta
A veces, los administradores de clústeres de conmutación por error pueden necesitar restablecer la contraseña de la cuenta de nombre de clúster. Esta acción necesita un permiso concreto, el permiso Restablecer contraseña. Por tanto, es una práctica recomendada editar los permisos de la cuenta de nombre de clúster (utilizando el complemento Usuarios y equipos de Active Directory) para conceder el permiso Restablecer contraseña a los administradores del clúster para la cuenta de nombre de clúster. Para más información, vea Solución de problemas de contraseña con la cuenta de nombre de clúster.
Pasos para configurar la cuenta para la persona que instala el clúster
La cuenta de la persona que instala el clúster es importante porque proporciona la base a partir de la cual se crea una cuenta de equipo para el propio clúster.
La pertenencia a grupos mínima necesaria para completar el procedimiento siguiente depende de si está creando la cuenta de dominio y asignándole los permisos necesarios en el dominio, o si solo está poniendo la cuenta (creada por otra persona) en el grupo local Administradores en los servidores que serán nodos del clúster de conmutación por error. En el primer caso, la pertenencia a Operadores de cuentas, o equivalente, es lo mínimo necesario para completar este procedimiento. En el segundo caso, la pertenencia al grupo local Administradores de los servidores que serán nodos del clúster de conmutación por error, o un equivalente, es todo lo necesario. Revise los detalles sobre el uso de las cuentas adecuadas y las pertenencias a grupos en https://go.microsoft.com/fwlink/?LinkId=83477.
Para configurar la cuenta para la persona que instala el clúster
Cree u obtenga una cuenta de dominio para la persona que instala el clúster. Esta cuenta puede ser una cuenta de usuario de dominio o una cuenta de operadores de cuentas. Si usa una cuenta de usuario estándar, tendrá que concederle algunos permisos adicionales más adelante en este procedimiento.
Si la cuenta que se creó u obtuvo en el paso 1 no se incluye automáticamente en el grupo local Administradores en los equipos del dominio, agregue la cuenta al grupo local Administradores en los servidores que serán nodos del clúster de conmutación por error:
Haga clic en Inicio, en Herramientas administrativas y, a continuación, en Administrador del servidor.
En el árbol de consola, expanda sucesivamente Configuración, Usuarios y grupos locales, y Grupos.
En el panel central, haga clic con el botón secundario en Administradores, haga clic en Agregar a grupo y, a continuación, haga clic en Agregar.
En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de usuario que se creó u obtuvo en el paso 1. Si se le solicita, escriba un nombre de cuenta y una contraseña con permisos suficientes para esta acción. A continuación, haga clic en Aceptar.
Repita estos pasos en cada servidor que será un nodo del clúster de conmutación por error.
Importante
Estos pasos se deben repetir en todos los servidores que serán nodos del clúster.
Si la cuenta que se creó u obtuvo en el paso 1 es una cuenta de administrador de dominio, omita el resto de este procedimiento. De lo contrario, conceda a la cuenta los permisos Crear objetos de equipo y Leer todas las propiedades en el contenedor que se utiliza para las cuentas de equipo en el dominio:
En un controlador de dominio, haga clic en Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.
En el menú Ver, asegúrese de que está seleccionado Características avanzadas.
Cuando se ha seleccionado Características avanzadas, puede ver la pestaña Seguridad en las propiedades de cuentas (objetos) en Usuarios y equipos de Active Directory.
Haga clic con el botón secundario en el contenedor predeterminado Equipos o en el contenedor predeterminado donde se crean las cuentas de equipo en su dominio y, a continuación, haga clic en Propiedades. Equipos está en Usuarios y equipos de Active Directory/nombreDeDominio/Equipos.
En la pestaña Seguridad, haga clic en Opciones avanzadas.
Haga clic en Agregar, escriba el nombre de la cuenta que se creó u obtuvo en el paso 1 y, a continuación, haga clic en Aceptar.
En el cuadro de diálogo Entrada de permiso para el contenedor, busque los permisos Crear objetos de equipo y Leer todas las propiedades y asegúrese de que la casilla Permitir está activada para cada una.
Pasos para preconfigurar la cuenta de nombre de clúster
Normalmente es más sencillo si no preconfigura la cuenta de nombre de clúster, sino que permite crear y configurar automáticamente la cuenta al ejecutar el Asistente para crear clúster. Sin embargo, si es necesario preconfigurar la cuenta de nombre de clúster debido a los requisitos de su organización, utilice el procedimiento siguiente.
El requisito mínimo para completar este procedimiento es la pertenencia al grupo Admins. del dominio u otro equivalente. Revise los detalles sobre el uso de las cuentas adecuadas y las pertenencias a grupos en https://go.microsoft.com/fwlink/?LinkId=83477. Observe que para este procedimiento puede utilizar la misma cuenta que usará al crear el clúster.
Para preconfigurar una cuenta de nombre de clúster
Asegúrese de que sabe el nombre que tendrá el clúster y el nombre de la cuenta de usuario que utilizará la persona que crea el clúster. (Puede utilizar esa cuenta para realizar este procedimiento.)
En un controlador de dominio, haga clic en Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.
En el árbol de consola, haga clic con el botón secundario en Equipos o en el contenedor predeterminado donde se crean las cuentas de equipo en su dominio. Equipos está en Usuarios y equipos de Active Directory/nombreDeDominio/Equipos.
Haga clic en Nuevo y, a continuación, haga clic en Equipo.
Escriba el nombre que se utilizará para el clúster de conmutación por error, es decir, el nombre del clúster que se especificará en el Asistente para crear clúster y, a continuación, haga clic en Aceptar.
Haga clic con el botón secundario en la cuenta recién creada y, a continuación, haga clic en Deshabilitar cuenta. Si se le pide confirmación de la opción, haga clic en Sí.
Se debe deshabilitar la cuenta para que cuando se ejecute el asistente Crear clúster, pueda confirmar que la cuenta que utilizará para el clúster no está actualmente en uso por un equipo o clúster existente en el dominio.
En el menú Ver, asegúrese de que está seleccionado Características avanzadas.
Cuando se ha seleccionado Características avanzadas, puede ver la pestaña Seguridad en las propiedades de cuentas (objetos) en Usuarios y equipos de Active Directory.
Haga clic con el botón secundario en la carpeta en la que también hizo clic con el botón secundario en el paso 3 y, después, seleccione Propiedades.
En la pestaña Seguridad, haga clic en Opciones avanzadas.
Haga clic en Agregar, haga clic en Tipos de objetos y asegúrese de que se ha seleccionado Equipos; a continuación, haga clic en Aceptar. Después, en Escriba el nombre de objeto para seleccionar, escriba el nombre de la cuenta de equipo recién creada y, a continuación, haga clic en Aceptar. Si aparece un mensaje que indica que está a punto de agregar un objeto deshabilitado, haga clic en Aceptar.
En el cuadro de diálogo Entrada de permiso, busque los permisos Crear objetos de equipo y Leer todas las propiedades, y asegúrese de que la casilla Permitir está activada para cada uno.
Haga clic en Aceptar hasta volver al complemento Usuarios y equipos de Active Directory.
Si está utilizando la misma cuenta para realizar este procedimiento que se utilizará para crear el clúster, omita los pasos restantes. De lo contrario, debe configurar los permisos de manera que la cuenta de usuario que se utilizará para crear el clúster tenga control total de la cuenta de equipo recién creada:
En el menú Ver, asegúrese de que está seleccionado Características avanzadas.
Haga clic con el botón secundario en la cuenta de equipo recién creada y, a continuación, haga clic en Propiedades.
En la pestaña Seguridad, haga clic en Agregar. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.
Utilice el cuadro de diálogo Seleccionar usuarios, equipos o grupos para especificar la cuenta de usuario que se utilizará al crear el clúster. A continuación, haga clic en Aceptar.
Asegúrese de que la cuenta de usuario recién agregada está seleccionada y a continuación, junto a Control total, active la casilla Permitir.
Pasos para preconfigurar una cuenta para un servicio o una aplicación en clúster
Normalmente es más sencillo si no preconfigura la cuenta de equipo para un servicio o una aplicación en clúster, sino que permite crear y configurar automáticamente la cuenta al ejecutar el Asistente para alta disponibilidad. Sin embargo, si es necesario preconfigurar cuentas debido a los requisitos de su organización, utilice el procedimiento siguiente.
El requisito mínimo para completar este procedimiento es la pertenencia al grupo Opers. de cuentas u otro equivalente. Revise los detalles sobre el uso de las cuentas adecuadas y las pertenencias a grupos en https://go.microsoft.com/fwlink/?LinkId=83477.
Para preconfigurar una cuenta para un servicio o una aplicación en clúster
Asegúrese de que sabe el nombre que tendrán el clúster y el servicio o la aplicación en clúster.
En un controlador de dominio, haga clic en Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.
En el árbol de consola, haga clic con el botón secundario en Equipos o en el contenedor predeterminado donde se crean las cuentas de equipo en su dominio. Equipos está en Usuarios y equipos de Active Directory/nombreDeDominio/Equipos.
Haga clic en Nuevo y, a continuación, haga clic en Equipo.
Escriba el nombre que utilizará para el servicio o la aplicación en clúster y, a continuación, haga clic en Aceptar.
En el menú Ver, asegúrese de que está seleccionado Características avanzadas.
Cuando se ha seleccionado Características avanzadas, puede ver la pestaña Seguridad en las propiedades de cuentas (objetos) en Usuarios y equipos de Active Directory.
Haga clic con el botón secundario en la cuenta de equipo recién creada y, a continuación, haga clic en Propiedades.
En la pestaña Seguridad, haga clic en Agregar.
Haga clic en Tipos de objeto, asegúrese de que se ha seleccionad Equipos y, a continuación, haga clic en Aceptar. Después, en Escriba el nombre de objeto para seleccionar, escriba la cuenta de nombre de clúster y, a continuación, haga clic en Aceptar. Si aparece un mensaje que indica que está a punto de agregar un objeto deshabilitado, haga clic en Aceptar.
Asegúrese de que la cuenta de nombre de clúster está seleccionada y a continuación, junto a Control total, active la casilla Permitir.
Pasos para solucionar problemas relacionados con las cuentas utilizadas por el clúster
Para más información, vea Solución de problemas con cuentas usadas por clústeres de conmutación por error.