다음을 통해 공유

컴퓨터 개체를 수정할 때 클러스터 서비스 계정 문제를 해결하는 방법

  • 아티클

이 문서에서는 서버 클러스터(가상 서버)에 대해 Active Directory에서 컴퓨터 개체를 만들거나 수정할 때 클러스터 서비스의 문제를 해결하는 방법을 설명합니다.

원래 KB 번호: 307532

컴퓨터 개체를 만들기 위한 Active Directory 액세스 권한

기본적으로 도메인 사용자 그룹의 구성원에게 도메인에 워크스테이션을 추가할 수 있는 권한이 부여됩니다. 기본적으로 이 사용자 권한은 Active Directory에서 최대 10개의 컴퓨터 개체 할당량으로 설정됩니다. 이 할당량을 초과하면 다음 이벤트 ID 메시지가 기록됩니다.

여러 클러스터가 해당 클러스터 서비스 계정과 동일한 도메인 계정을 사용하는 경우 지정된 클러스터에서 10개의 컴퓨터 개체를 만들기 전에 이 오류 메시지가 표시될 수 있습니다. 이 문제를 해결하는 한 가지 방법은 클러스터 서비스 계정에 컴퓨터 컨테이너에 대한 컴퓨터 개체 만들기 권한을 부여하는 것입니다. 이 권한은 기본 할당량이 10인 도메인 사용자 권한에 워크스테이션 추가를 재정의합니다.

클러스터 서비스 계정에 도메인 사용자에게 워크스테이션 추가 권한이 있는지 확인하려면 다음을 수행합니다.

  1. 클러스터 서비스 계정이 저장된 도메인 컨트롤러에 로그인합니다.

  2. 관리 도구에서 도메인 컨트롤러 보안 정책 프로그램을 시작합니다.

  3. 로컬 정책을 확장하려면 클릭한 다음 클릭하여 사용자 권한 할당을 확장 합니다.

  4. 도메인에 워크스테이션 추가를 두 번 클릭하고 나열된 계정을 기록해 둡니다.

  5. 인증된 사용자 그룹(기본 그룹)이 나열되어야 합니다. 나열되지 않은 경우 이 사용자에게 클러스터 서비스 계정 또는 도메인 컨트롤러의 클러스터 서비스 계정이 포함된 그룹에 대한 권한을 부여해야 합니다.

    참고 항목

    컴퓨터 개체가 도메인 컨트롤러에 만들어지므로 이 사용자에게 도메인 컨트롤러에 대한 권한을 부여해야 합니다.

  6. 이 사용자 권한에 클러스터 서비스 계정을 명시적으로 추가하는 경우 새 사용자 권한이 모든 도메인 컨트롤러에 복제되도록 도메인 컨트롤러(또는 Windows 2000용으로 실행)에서 실행 gpupdate secedit 합니다.

  7. 정책이 다른 정책에 의해 덮어쓰여지지 않는지 확인합니다.

클러스터 서비스 계정에 로컬 노드에 대한 적절한 사용자 권한이 없음

클러스터 서비스 계정에 클러스터의 각 노드에 대한 적절한 사용자 권한이 있는지 확인합니다. 클러스터 서비스 계정은 로컬 관리자 그룹에 있어야 하며 아래에 나열된 권한이 있어야 합니다. 이러한 권한은 클러스터 노드를 구성하는 동안 클러스터 서비스 계정에 부여됩니다. 상위 수준 정책이 로컬 정책을 과도하게 작성하거나 이전 운영 체제에서 업그레이드해도 필요한 모든 권한이 추가되지 않을 수 있습니다. 로컬 노드에서 이러한 권한이 부여되었는지 확인하려면 다음 절차를 수행합니다.

  1. 관리 도구 그룹에서 로컬 보안 설정 콘솔을 시작합니다 .

  2. 로컬 정책에서 사용자 권한 할당으로 이동합니다.

  3. 클러스터 서비스 계정에 다음 권한이 명시적으로 부여되었는지 확인합니다.

    • 서비스로 로그인
    • 운영 체제의 일부로 작동
    • 파일 및 디렉터리 백업
    • 프로세스에 대한 메모리 할당량 조정
    • 예약 우선 순위 증가
    • 파일 및 디렉터리 복원

    참고 항목

    클러스터 서비스 계정이 로컬 관리자 그룹에서 제거된 경우 클러스터 서비스 계정을 수동으로 다시 만들고 클러스터 서비스에 필요한 권한을 부여합니다.

    권한이 누락된 경우 클러스터 서비스 계정에 명시적 권한을 부여한 다음 클러스터 서비스를 중지하고 다시 시작합니다. 추가된 권한은 클러스터 서비스를 다시 시작할 때까지 적용되지 않습니다. 클러스터 서비스 계정이 여전히 컴퓨터 개체를 만들 수 없는 경우 그룹 정책이 로컬 정책을 과도하게 작성하지 않는지 확인합니다. 이렇게 하려면 Windows 2000 도메인에 있는 경우 명령 프롬프트에 gpresult를 입력하거나 Windows Server 2003 도메인에 있는 경우 MMC 스냅인의 RSOP(결과 정책 집합)를 입력할 수 있습니다.

    Windows Server 2003 도메인에 있는 경우 "RSOP"의 도움말 및 지원에서 결과 정책 집합 사용에 대한 지침을 검색합니다.

    클러스터 서비스 계정에 "운영 체제의 일부로 작동" 권한이 없으면 네트워크 이름 리소스가 실패하고 Cluster.log 다음 메시지를 등록합니다.

    위의 단계를 사용하여 클러스터 서비스 계정에 필요한 모든 권한이 있는지 확인합니다. 로컬 보안 정책이 도메인 또는 OU(조직 구성 단위) 그룹 정책에 의해 과도하게 작성되는 경우 몇 가지 옵션이 있습니다. "부모로부터 상속 가능한 사용 권한이 이 개체로 전파되도록 허용"이 선택 취소된 자체 OU에 클러스터 노드를 배치할 수 있습니다.

미리 만든 컴퓨터 개체를 사용할 때 필요한 액세스 권한

인증된 사용자 그룹 또는 클러스터 서비스 계정의 구성원이 컴퓨터 개체를 만들지 못하도록 차단된 경우 도메인 관리자인 경우 가상 서버 컴퓨터 개체를 미리 만들어야 합니다. 미리 만든 컴퓨터 개체의 클러스터 서비스 계정에 특정 액세스 권한을 부여해야 합니다. 클러스터 서비스는 가상 서버의 NetBIOS 이름과 일치하는 컴퓨터 개체를 업데이트하려고 합니다.

클러스터 서비스 계정에 컴퓨터 개체에 대한 적절한 권한이 있는지 확인하려면 다음을 수행합니다.

  1. 관리 도구에서 Active Directory 사용자 및 컴퓨터 스냅인을 시작합니다.

  2. 보기 메뉴에서 고급 기능을 선택합니다.

  3. 클러스터 서비스 계정에서 사용할 컴퓨터 개체를 찾습니다.

  4. 컴퓨터 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  5. 보안 탭을 선택한 다음 추가를 선택합니다.

  6. 클러스터 서비스 계정 또는 클러스터 서비스 계정이 구성원인 그룹을 추가합니다.

  7. 사용자 또는 그룹에 다음 권한을 부여합니다.

    • 암호 다시 설정
    • DNS 호스트 이름에 쓰기 유효성이 검사됨
    • 유효성이 검사된 서비스 주체 이름에 쓰기

  8. 확인을 선택합니다. 도메인 컨트롤러가 여러 개 있는 경우 권한 변경이 다른 도메인 컨트롤러에 복제될 때까지 기다려야 할 수 있습니다(기본적으로 복제 주기는 15분마다 발생함).

kerberos를 사용하지 않도록 설정하면 네트워크 이름 리소스가 온라인 상태가 되지 않음

컴퓨터 개체가 있지만 Kerberos 인증 사용 옵션을 선택하지 않으면 네트워크 이름 리소스가 온라인 상태가 되지 않습니다. 이 문제를 해결하려면 다음 절차 중 하나를 사용합니다.

  • Active Directory에서 해당 컴퓨터 개체를 삭제합니다.
  • 네트워크 이름 리소스에서 Kerberos 인증 사용을 선택합니다.