次の方法で共有

クラスター サービス アカウントがコンピューター オブジェクトを変更するときにトラブルシューティングする方法

  • [アーティクル]

この記事では、サーバー クラスター (仮想サーバー) の Active Directory でコンピューター オブジェクトを作成または変更するときに、クラスター サービスのトラブルシューティングを行う方法について説明します。

元の KB 番号: 307532

コンピューター オブジェクトを作成するための Active Directory アクセス権

既定では、ドメイン ユーザー グループのメンバーには、ドメインにワークステーションを追加する権限がユーザーに付与されます。 既定では、このユーザー権限は Active Directory のコンピューター オブジェクトの最大クォータ 10 に設定されています。 このクォータを超えると、次のイベント ID メッセージがログに記録されます。

複数のクラスターがクラスター サービス アカウントと同じドメイン アカウントを使用している場合は、特定のクラスターに 10 個のコンピューター オブジェクトを作成する前に、このエラー メッセージが表示されることがあります。 この問題を解決する 1 つの方法は、クラスター サービス アカウントに Computers コンテナーに対するコンピューター オブジェクトの作成アクセス許可を付与することです。 このアクセス許可は、既定のクォータが 10 であるドメイン ユーザー権限にワークステーションを追加する権限をオーバーライドします。

クラスター サービス アカウントに[ワークステーションをドメインに追加する]ユーザー権限があることを確認するには:

  1. クラスター サービス アカウントが格納されているドメイン コントローラーにサインインします。

  2. 管理ツールからドメイン コントローラー セキュリティ ポリシー プログラムを起動します。

  3. クリックして [ローカル ポリシー] を展開し、[ユーザー権利の割り当て] 展開します

  4. [ ワークステーションをドメインに追加する] をダブルクリックし 一覧に表示されているアカウントを書き留めます。

  5. Authenticated Users グループ (既定のグループ) が一覧表示されます。 一覧にない場合は、クラスター サービス アカウントまたはドメイン コントローラー上のクラスター サービス アカウントを含むグループに、このユーザー権限を付与する必要があります。

    Note

    コンピューター オブジェクトはドメイン コントローラー上に作成されるため、このユーザーにドメイン コントローラーへの権限を付与する必要があります。

  6. クラスター サービス アカウントをこのユーザー権限に明示的に追加する場合は、ドメイン コントローラーで gpupdate を実行 (または Windows 2000 の場合は secedit を実行) して、新しいユーザー権限がすべてのドメイン コントローラーにレプリケートされるようにします。

  7. ポリシーが別のポリシーによって上書きされないようにします。

クラスター サービス アカウントにローカル ノードに対する適切なユーザー権利がない

クラスター サービス アカウントに、クラスターの各ノードに対する適切なユーザー権限があることを確認します。 クラスター サービス アカウントはローカル管理者グループに含まれている必要があり、以下に示す権限が必要です。 これらの権限は、クラスター ノードの構成中にクラスター サービス アカウントに付与されます。 上位レベルのポリシーがローカル ポリシーを上書きしているか、以前のオペレーティング システムからのアップグレードで必要なすべての権限が追加されない可能性があります。 これらの権限がローカル ノードで付与されていることを確認するには、次の手順に従います。

  1. Administrative Tools グループからローカル セキュリティ設定コンソールを起動します。

  2. ローカル ポリシーの下の User Rights Assignments に移動します。

  3. クラスター サービス アカウントに次の権限が明示的に付与されていることを確認します。

    • サービスとしてサインインする
    • オペレーティング システムの一部として機能
    • ファイルとディレクトリのバックアップ
    • プロセスのメモリ クォータの増加
    • スケジューリング優先順位の繰り上げ
    • ファイルとディレクトリの復元

    Note

    クラスター サービス アカウントがローカルの Administrators グループから削除されている場合は、クラスター サービス アカウントを手動で再作成し、クラスター サービスに必要な権限を付与します。

    いずれかの権限がない場合は、クラスター サービス アカウントに明示的な権限を付与してから、クラスター サービスを停止して再起動します。 追加された権限は、クラスター サービスを再起動するまで有効になりません。 クラスター サービス アカウントで引き続きコンピューター オブジェクトを作成できない場合は、グループ ポリシーがローカル ポリシーを過剰に書き込まないことを確認します。 これを行うには、Windows 2000 ドメインにいる場合はコマンド プロンプトで gpresult を入力するか、Windows Server 2003 ドメインを使用している場合は MMC スナップインからポリシーの結果セット (RSOP) を入力します。

    Windows Server 2003 ドメインを使用している場合は、"RSOP" のヘルプとサポートで、ポリシーの結果セットの使用方法を検索します。

    クラスター サービス アカウントに "オペレーティング システムの一部として動作する" 権限がない場合、ネットワーク名リソースは失敗し、Cluster.logは次のメッセージを登録します。

    上記の手順を使用して、クラスター サービス アカウントに必要なすべての権限があることを確認します。 ローカル セキュリティ ポリシーがドメインまたは組織単位 (OU) グループ ポリシーによって過剰に書き込まれている場合は、いくつかのオプションがあります。 "親からの継承可能なアクセス許可をこのオブジェクトに伝達することを許可する" が選択解除されている独自の OU にクラスター ノードを配置できます。

事前に作成されたコンピューター オブジェクトを使用する場合に必要なアクセス権

認証済みユーザー グループまたはクラスター サービス アカウントのメンバーがコンピューター オブジェクトの作成をブロックされている場合、ドメイン管理者の場合は、仮想サーバー コンピューター オブジェクトを事前に作成する必要があります。 事前に作成されたコンピューター オブジェクトのクラスター サービス アカウントに特定のアクセス権を付与する必要があります。 クラスター サービスは、仮想サーバーの NetBIOS 名に一致するコンピューター オブジェクトの更新を試みます。

クラスター サービス アカウントにコンピューター オブジェクトに対する適切なアクセス許可があることを確認するには、

  1. 管理ツールからActive Directory ユーザーとコンピューター スナップインを起動します。

  2. [ View メニューで、[ Advanced Features を選択します。

  3. クラスター サービス アカウントで使用するコンピューター オブジェクトを見つけます。

  4. コンピューター オブジェクトを右クリックし、 Properties を選択します。

  5. [セキュリティ] タブを選択し、[追加] 選択

  6. クラスター サービス アカウントまたはクラスター サービス アカウントがメンバーになっているグループを追加します。

  7. ユーザーまたはグループに次のアクセス許可を付与します。

    • パスワードのリセット
    • 検証済みの DNS ホスト名への書き込み
    • 検証済みのサービス プリンシパル名への書き込み

  8. [OK] を選択します。 複数のドメイン コントローラーがある場合は、アクセス許可の変更が他のドメイン コントローラーにレプリケートされるのを待つ必要があります (既定では、レプリケーション サイクルは 15 分ごとに発生します)。

Kerberos が無効になっていると、ネットワーク名リソースがオンラインにならない

コンピューター オブジェクトが存在するが、 有効な Kerberos 認証 オプションを選択していない場合、ネットワーク名リソースはオンラインになりません。 この問題を解決するには、次のいずれかの手順を実行します。

  • Active Directory で対応するコンピューター オブジェクトを削除します。
  • [ネットワーク名] リソース [Kerberos 認証を有効にする ] を選択します。