フェールオーバー クラスターで使用されるアカウントに関する問題のトラブルシューティング
この記事では、フェールオーバー クラスターで使用されるアカウントに関する問題のトラブルシューティング ガイダンスを提供します。
フェールオーバー クラスターを作成し、クラスター化されたサービスまたはアプリケーション 構成するとフェールオーバー クラスター ウィザードによって必要な Active Directory アカウントが作成され、適切なアクセス許可が付与されます。 必要なアカウントが削除されたり、必要なアクセス許可が変更されたりすると、問題が発生する可能性があります。 次の各セクションでは、これらの問題のトラブルシューティングの手順について説明します。
クラスター名アカウントのパスワードに関する問題のトラブルシューティング
次のテキストを含む、コンピューター オブジェクトまたはクラスター ID に関するイベント メッセージが表示されます。
Logon failure: unknown user name or bad password.
イベント メッセージは、クラスター名アカウントのパスワードが、クラスタリング ソフトウェアによって格納された対応するパスワードと一致しなくなったことを示します。
Note
次の手順を完了するには:
- アカウントは、少なくともローカル Administrators グループのメンバー (またはそれと同等のもの) である必要があります。 さらに、アカウントには、クラスター名アカウントの Reset password アクセス許可を付与する必要があります (ドメイン管理者アカウントまたはクラスター名アカウントの作成者所有者でない限り)。
- クラスターのインストールに使用したアカウントを使用できます。
適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。
クラスター管理者が適切なアクセス許可を持っていることを確認する方法の詳細については、「 パスワードのリセットやその他のアカウントのメンテナンスについて事前に計画する」を参照してください。
これらの問題を解決するには、次の手順に従います。
Startを選択し、Administrative Tools に移動し、Failover Cluster Manager を選択してフェールオーバー クラスター スナップインを開きます。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] を選択します。
Failover Cluster Manager スナップインで、構成するクラスターが表示されているかどうかを確認します。 表示されない場合は、コンソール ツリーで Failover Cluster Manager を右クリックし、 クラスターの管理を選択し、目的のクラスターを選択または指定します。
中央のウィンドウで、 [クラスター コア リソース] を展開します。
[ クラスター名で、 Name 項目を右クリックし、[オフラインにする] 選択。
[クラスター名で、Name 項目を右クリックし、[その他のアクションポイントして、 Active Directory オブジェクトの表示を選択します。
Note
クラスターの Name リソースがオフラインでない限り、Repair Active Directory オブジェクト オプションはグレー表示されます。 クラスターの Name リソースをオフラインにすることは、SQL Server フェールオーバー クラスター インスタンスなどの他のクラスター グループに悪影響を与えることはありません。 これは、他のクラスター グループがクラスターの Name リソースに依存しないためです。
クラスター関連の Active Directory アカウントの変更によって発生する問題のトラブルシューティング
クラスター名アカウントが削除された場合、またはアクセス許可がアカウントから削除された場合、新しいクラスター化されたサービスまたはアプリケーションを構成しようとすると問題が発生します。 このシナリオでは、Active Directory ユーザーとコンピューター スナップインを使用して、クラスター名アカウントとその他の関連アカウントを表示または変更します。
関連イベント (イベント ID 1193、1194、1206、1207) の詳細については、「 クラスター アカウントの Active Directory アクセス許可を参照してください。
Note
次の手順では、少なくとも Domain Admins グループのメンバーシップ (またはそれと同等のもの) が必要です。 適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、「ローカルおよびドメインの既定のグループ」を参照してください。
これらの問題を解決するには、次の手順に従います。
ドメイン コントローラーで Start を選択し、Administrative Tools に移動して、Active Directory ユーザーとコンピューターを選択します。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] を選択します。
既定の [コンピューター] コンテナー、またはクラスター名アカウント (クラスターのコンピューター アカウント) が配置されているフォルダーを展開します。 Computers コンテナーは、Active Directory ユーザーとコンピューター\<domain-node>\Computers にあります。
クラスター名アカウントのアイコンを確認します。 アカウントに下向きの矢印を付けることで、アカウントを無効にしないでください。 無効になっている場合は、それを右クリックし、可能な場合 有効なアカウント を選択します。
View メニューで、[Advanced Features オプションが選択されていることを確認します。
[Advanced Features オプションを選択すると、Active Directory ユーザーとコンピューターのアカウント (オブジェクト) のプロパティに [Security] タブが表示されます。
既定の Computers コンテナーまたはクラスター名アカウントが配置されているフォルダーを右クリックし、 Properties を選択します。
[セキュリティ] タブで、[詳細設定] を選択します。
アクセス許可を持つアカウントの一覧で、クラスター名アカウントを選択し、 Edit を選択します。
Note
クラスター名アカウントが一覧にない場合は、 追加 を選択して一覧に追加します。
クラスター名アカウント (クラスター名オブジェクトまたは CNO とも呼ばれます) の場合は、コンピューター オブジェクトの作成とすべてのプロパティの読み取りアクセス許可に対して Allow チェック ボックスがオンになっていることを確認します。
![[コンピューターの作成] オブジェクトと [すべてのプロパティの読み取り] アクセス許可を示す [コンピューターのアクセス許可エントリ] ウィンドウのスクリーンショット。](media/troubleshoot-issues-accounts-used-failover-clusters/permission-entry-for-computers.png)
Active Directory ユーザーとコンピューター スナップインに戻るまで、OKを選択します。
コンピューター アカウント (オブジェクト) の作成に関連するドメイン ポリシーを確認します (該当する場合はドメイン管理者に問い合わせてください)。 クラスター化されたサービスまたはアプリケーションを構成するたびに、クラスター名アカウントでコンピューター アカウントを作成できることを確認します。 たとえば、ドメイン管理者が、既定の Computers コンテナーではなく、すべての新しいコンピューター アカウントを特殊なコンテナーに作成する設定を構成している場合は、これらの設定でクラスター名アカウントがそのコンテナーに新しいコンピューター アカウントを作成することも許可されていることを確認します。
既定の [コンピューター] コンテナー、またはクラスター化されたサービスまたはアプリケーションのいずれかのコンピューター アカウントがあるコンテナーを展開します。
クラスター化されたサービスまたはアプリケーションのいずれかのコンピューター アカウントを右クリックし、 Properties を選択します。
[セキュリティ] タブで、アクセス許可のあるアカウントの中にクラスター名アカウントが表示されていることを確認し、それを選択します。 クラスター名アカウントに Full control アクセス許可があることを確認します ([ Allow ] チェック ボックスがオンになっています)。 そうでない場合は、クラスター名アカウントを一覧に追加し、 Full control アクセス許可を付与します。
![クラスター名アカウントが一覧表示され、[フル コントロール] アクセス許可を持っていることを示すスクリーンショット。](media/troubleshoot-issues-accounts-used-failover-clusters/application-properties-full-control.png)
クラスターで構成されている各クラスター化されたサービスとアプリケーションについて、手順 12 から 13 を繰り返します。
コンピューター オブジェクトを作成するためのドメイン全体のクォータ (既定では
10) に達していないことを確認します (該当する場合はドメイン管理者に問い合わせてください)。 この手順の前の項目がすべて確認および修正され、クォータに達した場合は、クォータを増やすことを検討してください。 クォータを変更するには、次の手順に従います。- 管理者としてコマンド プロンプトを開き、
ADSIEdit.mscコマンドを実行します。 - [
ADSI 編集 を右クリックし、[ 接続先>OKを選択します。 次に、 既定の名前付けコンテキスト がコンソール ツリーに追加されます。 - 既定の名前付けコンテキストをダブルクリックし、その下にあるドメイン オブジェクトを右クリックし、Properties を選択します。
- ms-DS-MachineAccountQuota までスクロールしそれを選択します。 編集を選択し、値を変更して、OKを選択します。
- 管理者としてコマンド プロンプトを開き、