フェールオーバー クラスターで使用されるアカウントに関する問題のトラブルシューティング
この記事では、フェールオーバー クラスターで使用されるアカウントに関する問題のトラブルシューティング ガイダンスを提供します。
フェールオーバー クラスターを作成し、 クラスター化されたサービスまたはアプリケーションを構成すると、フェールオーバー クラスター ウィザードによって必要な Active Directory アカウントが作成され、適切なアクセス許可が付与されます。 問題は、必要なアカウントが削除された場合、または必要なアクセス許可が変更された場合に発生する可能性があります。 次のセクションでは、これらの問題をトラブルシューティングする手順について説明します。
クラスター名アカウントに関するパスワードの問題のトラブルシューティング
次のテキストを含む、コンピューター オブジェクトまたはクラスター ID に関するイベント メッセージが表示されます。
Logon failure: unknown user name or bad password.
イベント メッセージは、クラスター名アカウントのパスワードが、クラスタリング ソフトウェアによって格納されている対応するパスワードと一致しなくなったことを示します。
注:
次の手順を完了するには:
- アカウントは、少なくともローカル Administrators グループのメンバー (またはそれと同等) である必要があります。 さらに、アカウントには、クラスター名アカウントの [パスワードのリセット ] アクセス許可を付与する必要があります (ドメイン管理者アカウントまたはクラスター名アカウントの作成者所有者でない限り)。
- クラスターのインストールに使用したアカウントを使用できます。
適切なアカウントとグループ メンバーシップの使用の詳細については、「 ローカル グループとドメインの既定のグループ」を参照してください。
クラスター管理者が正しいアクセス許可を持っていることを確認する方法の詳細については、「 パスワードリセットやその他のアカウントメンテナンスの計画」を参照してください。
これらの問題を解決するには、次の手順に従います。
[ スタート] を選択し、[ 管理ツール] に移動し、[ フェールオーバー クラスター マネージャー ] を選択してフェールオーバー クラスター スナップインを開きます。 [ ユーザー アカウント制御 ] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[ はい] を選択します。
フェールオーバー クラスター マネージャー スナップインで、構成するクラスターが表示されているかどうかをチェックします。 表示されない場合は、コンソール ツリーで [ フェールオーバー クラスター マネージャー] を右クリックし、[ クラスターの管理] を選択し、目的のクラスターを選択または指定します。
中央のウィンドウで、[ クラスター コア リソース] を展開します。
[クラスター名] で[名前] 項目を右クリックし、[オフラインにする] を選択します。
[クラスター名] で[名前] 項目を右クリックし、[その他のアクション] をポイントし、[Active Directory オブジェクトの修復] を選択します。
注:
[ Active Directory オブジェクトの修復 ] オプションは、クラスターの 名前 リソースがオフラインでない限り灰色表示されます。 クラスターの名前リソースをオフラインにすることは、SQL Server フェールオーバー クラスター インスタンスなどの他のクラスター グループに悪影響を与えるべきではありません。 これは、他のクラスター グループがクラスターの 名前 リソースに依存しないためです。
クラスター関連の Active Directory アカウントの変更によって発生する問題のトラブルシューティング
クラスター名アカウントが削除された場合、またはアクセス許可がアカウントから削除された場合、新しいクラスター化されたサービスまたはアプリケーションを構成しようとすると問題が発生します。 このシナリオでは、Active Directory ユーザーとコンピューター スナップインを使用して、クラスター名アカウントとその他の関連アカウントを表示または変更します。
関連イベント (イベント ID 1193、1194、1206、1207) の詳細については、「 クラスター アカウントの Active Directory アクセス許可」を参照してください。
注:
次の手順では、少なくとも Domain Admins グループ (またはそれと同等) のメンバーシップが必要です。 適切なアカウントとグループ メンバーシップの使用の詳細については、「 ローカル グループとドメインの既定のグループ」を参照してください。
これらの問題を解決するには、次の手順に従います。
ドメイン コントローラーで[スタート] を選択し、[管理ツール] に移動し、[Active Directory ユーザーとコンピューター] を選択します。 [ ユーザー アカウント制御 ] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[ はい] を選択します。
既定の [コンピューター ] コンテナー、またはクラスター名アカウント (クラスターのコンピューター アカウント) が配置されているフォルダーを展開します。 Computers コンテナーは、Active Directory ユーザーとコンピューター\<domain-node>\Computers にあります。
クラスター名アカウントのアイコンを調べます。 アカウントに下向きの矢印を付けることで、アカウントを無効にしないでください。 無効になっている場合は、それを右クリックし、可能であれば [ アカウントの有効化 ] を選択します。
[ 表示 ] メニューで、[ 高度な機能 ] オプションが選択されていることを確認します。
[高度な機能] オプションを選択すると、Active Directory ユーザーとコンピューターのアカウント (オブジェクト) のプロパティの [セキュリティ] タブが表示されます。
既定の [コンピューター ] コンテナーまたはクラスター名アカウントが配置されているフォルダーを右クリックし、[プロパティ] を選択 します。
[ セキュリティ ] タブで、[ 詳細設定] を選択します。
アクセス許可を持つアカウントの一覧で、クラスター名アカウントを選択し、[ 編集] を選択します。
注:
クラスター名アカウントが一覧にない場合は、[ 追加 ] を選択して一覧に追加します。
クラスター名アカウント (クラスター名オブジェクトまたは CNO とも呼ばれます) の場合は、[コンピューター オブジェクトの作成] と [すべてのプロパティの読み取り] アクセス許可で [許可] チェック ボックスがオンになっていることを確認します。
![[コンピューターの作成] オブジェクトと [すべてのプロパティの読み取り] アクセス許可を示す [コンピューターのアクセス許可エントリ] ウィンドウのスクリーンショット。](media/troubleshoot-issues-accounts-used-failover-clusters/permission-entry-for-computers.png)
Active Directory ユーザーとコンピューター スナップインに戻るまで [OK] を選択します。
コンピューター アカウント (オブジェクト) の作成に関連するドメイン ポリシーを確認します (該当する場合はドメイン管理者に問い合わせてください)。 クラスター化されたサービスまたはアプリケーションを構成するたびに、クラスター名アカウントがコンピューター アカウントを作成できることを確認します。 たとえば、ドメイン管理者が、既定の Computers コンテナーではなく特殊なコンテナーにすべての新しいコンピューター アカウントを作成する設定を構成している場合は、クラスター名アカウントでもそのコンテナーに新しいコンピューター アカウントを作成できることを確認します。
既定の [コンピューター ] コンテナー、またはクラスター化されたサービスまたはアプリケーションのいずれかのコンピューター アカウントが配置されているコンテナーを展開します。
いずれかのクラスター化されたサービスまたはアプリケーションのコンピューター アカウントを右クリックし、[ プロパティ] を選択します。
[ セキュリティ ] タブで、アクセス許可を持つアカウントの中にクラスター名アカウントが一覧表示されていることを確認し、選択します。 クラスター名アカウントに [フル コントロール ] アクセス許可があることを確認します ( [許可 ] チェック ボックスがオンになっています)。 そうでない場合は、クラスター名アカウントを一覧に追加し、 完全な制御 アクセス許可を付与します。
![クラスター名アカウントが一覧表示され、[フル コントロール] アクセス許可があることを示すスクリーンショット。](media/troubleshoot-issues-accounts-used-failover-clusters/application-properties-full-control.png)
クラスターに構成されているクラスター化されたサービスとアプリケーションごとに、手順 12 から 13 を繰り返します。
コンピューター オブジェクトを作成するためのドメイン全体のクォータ (既定では
10) に達していないことを確認します (該当する場合は、ドメイン管理者に問い合わせてください)。 この手順の前の項目がすべて確認および修正され、クォータに達した場合は、クォータを増やすことを検討してください。 クォータを変更するには、次の手順に従います。- 管理者としてコマンド プロンプトを開き、コマンドを
ADSIEdit.msc実行します。 - [ADSI Edit]\(ADSI 編集\) を右クリックし、[接続して>OK] を選択します。 次に、 既定の名前付けコンテキスト がコンソール ツリーに追加されます。
- [既定の名前付けコンテキスト] をダブルクリックし、その下にあるドメイン オブジェクトを右クリックし、[プロパティ] を選択します。
- ms-DS-MachineAccountQuota までスクロールして選択します。 [ 編集] を選択し、値を変更して、[ OK] を選択します。
- 管理者としてコマンド プロンプトを開き、コマンドを