Clusteraccounts configureren in Active Directory

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Wanneer u in Windows Server een failovercluster maakt en geclusterde services of toepassingen configureert, maken de wizards van het failovercluster de benodigde Active Directory-computeraccounts (ook wel computerobjecten genoemd) en geven ze specifieke machtigingen. De wizards maken een computeraccount voor het cluster zelf (dit account wordt ook wel het clusternaamobject of CNO genoemd) en een computeraccount voor de meeste typen geclusterde services en toepassingen, de uitzondering is een virtuele Hyper-V-machine. De machtigingen voor deze accounts worden automatisch ingesteld door de failovercluster-wizards. Als de machtigingen worden gewijzigd, moeten ze weer worden gewijzigd om te voldoen aan de clustervereisten. In deze handleiding worden deze Active Directory-accounts en -machtigingen beschreven, wordt achtergrondinformatie geboden over waarom ze belangrijk zijn en worden de stappen beschreven voor het configureren en beheren van de accounts.

Overzicht van Active Directory-accounts die nodig zijn voor een failovercluster

In deze sectie worden de Active Directory-computeraccounts (ook wel Active Directory-computerobjecten genoemd) beschreven die belangrijk zijn voor een failovercluster. Deze accounts zijn als volgt:

• Het gebruikersaccount dat is gebruikt om het cluster te maken. Dit is het gebruikersaccount dat wordt gebruikt om de wizard Cluster maken te starten. Het account is belangrijk omdat het de basis biedt van waaruit een computeraccount wordt gemaakt voor het cluster zelf.

• Het clusternaamaccount. (het computeraccount van het cluster zelf, ook wel het clusternaamobject of CNO genoemd). Dit account wordt automatisch aangemaakt door de Wizard Cluster maken en heeft dezelfde naam als het cluster. Het clusternaamaccount is erg belangrijk, omdat via dit account automatisch andere accounts worden gemaakt wanneer u nieuwe services en toepassingen op het cluster configureert. Als het clusternaamaccount wordt verwijderd of machtigingen worden verwijderd, kunnen andere accounts niet worden gemaakt zoals vereist door het cluster, totdat het clusternaamaccount is hersteld of de juiste machtigingen opnieuw worden ingesteld.

  Als u bijvoorbeeld een cluster met de naam Cluster1 maakt en vervolgens probeert een geclusterde afdrukserver met de naam PrintServer1 op uw cluster te configureren, moet het Cluster1-account in Active Directory de juiste machtigingen behouden, zodat het kan worden gebruikt om een computeraccount met de naam PrintServer1 te maken.

  Het clusternaamaccount wordt gemaakt in de standaardcontainer voor computeraccounts in Active Directory. Dit is standaard de container Computers, maar de domeinbeheerder kan ervoor kiezen om deze om te leiden naar een andere container of organisatie-eenheid (OE).

• Het computeraccount (computerobject) van een geclusterde service of toepassing. Als onderdeel van het proces voor het maken van de meeste typen geclusterde services of toepassingen worden deze accounts automatisch aangemaakt door de wizard voor hoge beschikbaarheid, met uitzondering van een Hyper-V virtuele machine. Het clusternaamaccount krijgt de benodigde machtigingen om deze accounts te beheren.

  Als u bijvoorbeeld een cluster met de naam Cluster1 hebt en vervolgens een geclusterde bestandsserver met de naam FileServer1 maakt, maakt de wizard Hoge beschikbaarheid een Active Directory-computeraccount met de naam FileServer1. De wizard Hoge beschikbaarheid geeft het Cluster1-account ook de benodigde machtigingen om het FileServer1-account te beheren.

In de volgende tabel worden de machtigingen beschreven die vereist zijn voor deze accounts.

Account	Gegevens inzake machtigingen
Account dat wordt gebruikt om het cluster te maken	Hiervoor zijn beheerdersmachtigingen vereist op de servers die clusterknooppunten worden. Vereist ook Computerobjecten maken en Alle eigenschappen lezen machtigingen in de container die wordt gebruikt voor computeraccounts in het domein.
Clusternaamaccount (computeraccount van het cluster zelf)	Wanneer de wizard Cluster maken wordt uitgevoerd, wordt een account voor de clusternaam gemaakt in de standaardcontainer die wordt gebruikt voor computeraccounts in het domein. Standaard kan het clusternaamaccount (zoals andere computeraccounts) maximaal tien computeraccounts in het domein maken. Als u het clusternaamaccount (clusternaamobject) maakt voordat u het cluster maakt—dat wil zeggen, als u het account vooraf configureert—moet u het de machtigingen Computerobjecten maken en Alle Eigenschappen Lezen geven in de container die gebruikt wordt voor computeraccounts in het domein. U moet het account ook uitschakelen en volledig beheer aan het account geven dat wordt gebruikt door de beheerder die het cluster installeert. Zie Stappen voor het voorbereiden van het clusternaamaccountverderop in deze handleiding voor meer informatie.
Computeraccount van een geclusterde service of toepassing	Wanneer de wizard Hoge beschikbaarheid wordt uitgevoerd (om een nieuwe geclusterde service of toepassing te maken), wordt in de meeste gevallen een computeraccount voor de geclusterde service of toepassing gemaakt in Active Directory. Het clusternaamaccount krijgt de benodigde machtigingen om dit account te beheren. De uitzondering is een geclusterde Hyper-V virtuele machine: hiervoor wordt geen computeraccount gemaakt. Als u het computeraccount voorbereidt voor een geclusterde service of toepassing, moet u het configureren met de benodigde machtigingen. Zie Stappen voor het voorbereiden van een account voor een geclusterde service of toepassingverderop in deze handleiding voor meer informatie.

Notitie

In eerdere versies van Windows Server was er een account voor de clusterservice. Sinds Windows Server 2008 wordt de Clusterdienst echter automatisch uitgevoerd in een speciale context die de specifieke machtigingen en privileges biedt die nodig zijn voor de dienst (vergelijkbaar met de lokale systeemcontext, maar met beperkte privileges). Andere accounts zijn echter nodig, zoals beschreven in deze handleiding.

Hoe accounts worden gemaakt via wizards in failover-clustering

In het volgende diagram ziet u het gebruik en het maken van computeraccounts (Active Directory-objecten) die in de vorige subsectie worden beschreven. Deze accounts komen in beeld wanneer een beheerder de wizard Cluster aanmaken uitvoert en vervolgens de wizard Hoge Beschikbaarheid uitvoert (om een geclusterde service of toepassing te configureren).

Houd er rekening mee dat in het bovenstaande diagram één beheerder wordt weergegeven waarop zowel de wizard Cluster maken als de wizard Hoge beschikbaarheid wordt uitgevoerd. Dit kunnen echter twee verschillende beheerders zijn die twee verschillende gebruikersaccounts gebruiken, als beide accounts voldoende machtigingen hebben. De machtigingen worden gedetailleerder beschreven in vereisten met betrekking tot failoverclusters, Active Directory-domeinen en -accounts, verderop in deze handleiding.

Hoe problemen kunnen optreden als accounts die nodig zijn voor het cluster, worden gewijzigd

In het volgende diagram ziet u hoe problemen kunnen ontstaan als het account voor de clusternamen (een van de accounts die door de cluster worden vereist) wordt gewijzigd nadat het automatisch is gemaakt door de Cluster maken-wizard.

Als het type probleem in het diagram optreedt, wordt een bepaalde gebeurtenis (1193, 1194, 1206 of 1207) geregistreerd in het Gebeurtenislogboek. Zie https://go.microsoft.com/fwlink/?LinkId=118271voor meer informatie over deze gebeurtenissen.

Houd er rekening mee dat een vergelijkbaar probleem met het maken van een account voor een geclusterde service of toepassing kan optreden als het quotum voor het maken van computerobjecten (standaard 10) is bereikt. Als dit het geval is, kan het handig zijn om contact op te nemen met de domeinbeheerder over het verhogen van het quotum, hoewel dit een domeinbrede instelling is en pas na zorgvuldige overweging moet worden gewijzigd, en pas nadat u hebt bevestigd dat het voorgaande diagram uw situatie niet beschrijft. Zie Problemen oplossen die worden veroorzaakt door wijzigingen in aan clusters gerelateerde Active Directory-accountsvoor meer informatie.

Vereisten met betrekking tot failoverclusters, Active Directory-domeinen en -accounts

Zoals beschreven in de voorgaande drie secties, moeten bepaalde vereisten worden voldaan voordat geclusterde services en toepassingen kunnen worden geconfigureerd op een failovercluster. De meest elementaire vereisten zijn de locatie van clusterknooppunten (binnen één domein) en het machtigingsniveau van het account van de persoon die het cluster installeert. Als aan deze vereisten wordt voldaan, kunnen de andere accounts die door het cluster vereist zijn, automatisch worden aangemaakt door de failovercluster-wizards. De volgende lijst bevat informatie over deze basisvereisten.

• knooppunten: Alle knooppunten moeten zich in hetzelfde Active Directory-domein bevinden. (Het domein kan niet worden gebaseerd op Windows NT 4.0, dat geen Active Directory bevat.)

• Account van de persoon die het cluster installeert: De persoon die het cluster installeert, moet een account met de volgende kenmerken gebruiken:

  • Het account moet een domeinaccount zijn. Het hoeft geen domeinbeheerdersaccount te zijn. Het kan een domeingebruikersaccount zijn als het voldoet aan de andere vereisten in deze lijst.

  • Het account moet beheerdersmachtigingen hebben op de servers die clusterknooppunten worden. De eenvoudigste manier om dit op te geven, is door een domeingebruikersaccount te maken en dat account vervolgens toe te voegen aan de lokale groep Administrators op elk van de servers die clusterknooppunten worden. Zie Stappen voor het configureren van het account voor de persoon die het cluster installeertverderop in deze handleiding voor meer informatie.

  • Het account (of de groep waarvan het account lid is) moet de machtigingen Computerobjecten maken en Alle eigenschappen lezen krijgen in de container die wordt gebruikt voor computeraccounts in het domein. Zie Stappen voor het configureren van het account voor de persoon die het cluster installeertverderop in deze handleiding voor meer informatie.

  • Als uw organisatie ervoor kiest om het clusternaamaccount (een computeraccount met dezelfde naam als het cluster) vooraf te configureren, moet het vooraf geconfigureerde clusternaamaccount de machtiging "Volledige controle" verlenen aan het account van degene die het cluster installeert. Zie voor andere belangrijke details over het vooraf configureren van het clusternaamaccount, Stappen voor het voorbereiden van het clusternaamaccountverderop in deze handleiding.

Vooruit plannen voor het opnieuw instellen van wachtwoorden en ander accountonderhoud

De beheerders van failoverclusters moeten soms het wachtwoord van het clusternaamaccount opnieuw instellen. Deze actie vereist een specifieke machtiging, de wachtwoord opnieuw instellen machtiging. Daarom is het raadzaam om de machtigingen van het clusternaamaccount te bewerken (met behulp van de module Active Directory: gebruikers en computers) om de beheerders van het cluster de wachtwoord opnieuw instellen te geven machtiging voor het clusternaamaccount. Zie Wachtwoordproblemen met het clusternaamaccount oplossenvoor meer informatie.

Stappen voor het configureren van het account voor de persoon die het cluster installeert

Het account van de persoon die het cluster installeert, is belangrijk omdat het de basis biedt van waaruit een computeraccount wordt gemaakt voor het cluster zelf.

Het minimale groepslidmaatschap dat is vereist voor het voltooien van de volgende procedure, is afhankelijk van of u het domeinaccount maakt en de vereiste machtigingen in het domein toewijst, of u het account (gemaakt door iemand anders) alleen in de lokale Administrators groep toewijst op de servers die knooppunten in het failovercluster zijn. Als het eerste, is lidmaatschap van Account Operators of gelijkwaardig het minimale lidmaatschap vereist om deze procedure te voltooien. Als dit laatste het geval is, is lidmaatschap van de lokale Administrators groep op de servers die knooppunten in het failovercluster zullen zijn, of een gelijkwaardig lidmaatschap, alles wat nodig is. Bekijk details over het gebruik van de juiste accounts en groepslidmaatschappen op https://go.microsoft.com/fwlink/?LinkId=83477.

Het account configureren voor de persoon die het cluster installeert

1. Maak of haal een domeinaccount op voor de persoon die het cluster installeert. Dit account kan een domeingebruikersaccount of een Accountoperators account zijn. Als u een standaardgebruikersaccount gebruikt, moet u dit later in deze procedure extra machtigingen geven.

2. Als het account dat is gemaakt of verkregen in stap 1 niet automatisch wordt opgenomen in de lokale Administrators groep op computers in het domein, voegt u het account toe aan de lokale Administrators groep op de servers die knooppunten in het failovercluster zijn:

   1. Klik op Start, klik op Systeembeheeren klik vervolgens op Serverbeheer.

   2. Vouw in de consolestructuur Configuratieuit, vouw lokale gebruikers en groepenuit en vouw Groepenuit.

   3. Klik in het middelste deelvenster met de rechtermuisknop op Administrators, klik op Toevoegen aan groepen klik vervolgens op Toevoegen.

   4. Typ onder Voer de objectnamen in die u wilt selecteren, typ de naam van het gebruikersaccount dat is gemaakt of verkregen in stap 1. Als u hierom wordt gevraagd, voert u een accountnaam en wachtwoord in met voldoende machtigingen voor deze actie. Klik vervolgens op OK.

   5. Herhaal deze stappen op elke server die een knooppunt in het failovercluster is.

   Belangrijk

   Deze stappen moeten worden herhaald op alle servers die knooppunten in het cluster zijn.
   

3. Als het account dat is gemaakt of verkregen in stap 1 een domeinbeheerdersaccount is, slaat u de rest van deze procedure over. Geef anders het account de machtigingen om Computerobjecten aan te maken en om alle eigenschappen te lezen in de container die wordt gebruikt voor computeraccounts in het domein:

   1. Klik op een domeincontroller op Start, klik op Systeembeheeren klik vervolgens op Active Directory: gebruikers en computers. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de actie die wordt weergegeven, is wat u wilt en klikt u vervolgens op Doorgaan.

   2. Controleer in het menu Weergave of Geavanceerde functies is geselecteerd.

      Wanneer Geavanceerde functies is geselecteerd, kunt u het tabblad Beveiliging in de eigenschappen van accounts (objecten) in Active Directory-gebruikers en -computerszien.

   3. Klik met de rechtermuisknop op de standaardcontainer Computers of de standaardcontainer waarin computeraccounts in uw domein worden gemaakt en klik vervolgens op Eigenschappen. Computers bevindt zich in Active Directory: gebruikers en computers/domeinknooppunt/Computers.

   4. Klik op het tabblad Security op Advanced.

   5. Klik op Toevoegen, typ de naam van het account dat is gemaakt of verkregen in stap 1 en klik vervolgens op OK-.

   6. Zoek in het dialoogvenster Machtigingsvermelding voorcontainer naar de machtigingen Computerobjecten maken en Alle eigenschappen lezen en zorg ervoor dat het selectievakje Toestaan is geselecteerd voor elk van deze.

      

Stappen voor het voorbereiden van het clusternaamaccount

Het is meestal eenvoudiger als u het clusternaamaccount niet vooraf configureert, zodat het account automatisch wordt aangemaakt en geconfigureerd wanneer u de wizard Cluster maken uitvoert. Als het echter nodig is om het clusternaamaccount vooraf te maken vanwege vereisten in uw organisatie, gebruikt u de volgende procedure.

Lidmaatschap van de Domeinadministrators groep, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien. Bekijk details over het gebruik van de juiste accounts en groepslidmaatschappen op https://go.microsoft.com/fwlink/?LinkId=83477. Houd er rekening mee dat u hetzelfde account voor deze procedure kunt gebruiken als bij het maken van het cluster.

Een clusternaamaccount voorbereiden

1. Zorg ervoor dat u weet welke naam het cluster heeft en de naam van het gebruikersaccount dat wordt gebruikt door de persoon die het cluster maakt. (Houd er rekening mee dat u dit account kunt gebruiken om deze procedure uit te voeren.)

2. Klik op een domeincontroller op Start, klik op Systeembeheeren klik vervolgens op Active Directory: gebruikers en computers. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de actie die wordt weergegeven, is wat u wilt en klikt u vervolgens op Doorgaan.

3. Klik in de consolestructuur met de rechtermuisknop op Computers of de standaardcontainer waarin computeraccounts in uw domein worden gemaakt. Computers bevindt zich in Active Directory: gebruikers en computers/domeinknooppunt/Computers.

4. Klik op Nieuwe en klik vervolgens op Computer.

5. Typ de naam die wordt gebruikt voor het failovercluster, met andere woorden de clusternaam die wordt opgegeven in de wizard Cluster maken en klik vervolgens op OK-.

6. Klik met de rechtermuisknop op het account dat u zojuist hebt gemaakt en klik vervolgens op Account uitschakelen. Als u wordt gevraagd uw keuze te bevestigen, klikt u op Ja.

   Het account moet worden uitgeschakeld, zodat wanneer de wizard Cluster maken wordt uitgevoerd, bevestigd kan worden dat het account dat voor het cluster zal worden gebruikt, momenteel niet in gebruik is door een bestaande computer of cluster in het domein.

7. Controleer in het menu Weergave of Geavanceerde functies is geselecteerd.

   Wanneer Geavanceerde functies is geselecteerd, ziet u het tabblad Security in de eigenschappen van accounts (objecten) in Active Directory: gebruikers en computers.

8. Klik met de rechtermuisknop op de map waarop u in stap 3 hebt geklikt en klik vervolgens op Eigenschappen.

9. Klik op het tabblad Security op Advanced.

10. Klik op Toevoegen, klik op Objecttypen en zorg ervoor dat Computers is geselecteerd en klik vervolgens op OK. Typ vervolgens onder Voer de objectnaam in omte selecteren, typ de naam van het computeraccount dat u zojuist hebt gemaakt en klik vervolgens op OK-. Als er een bericht wordt weergegeven waarin wordt aangegeven dat u een uitgeschakeld object wilt toevoegen, klikt u op OK.

11. In het dialoogvenster Machtigingsvermelding, zoek de machtigingen Computerobjecten maken en Alle eigenschappen lezen. Zorg ervoor dat het selectievakje Toestaan voor elk van deze is ingeschakeld.

    

12. Klik op OK totdat u bent teruggegaan naar de Active Directory Users and Computers snap-in.

13. Als u hetzelfde account gebruikt om deze procedure uit te voeren, zoals wordt gebruikt om het cluster te maken, slaat u de resterende stappen over. Anders moet u machtigingen configureren zodat het gebruikersaccount dat wordt gebruikt voor het maken van het cluster volledig beheer heeft van het computeraccount dat u zojuist hebt gemaakt:

    1. Controleer in het menu Weergave of Geavanceerde functies is geselecteerd.

    2. Klik met de rechtermuisknop op het computeraccount dat u zojuist hebt gemaakt en klik vervolgens op Eigenschappen.

    3. Klik op het tabblad Beveiliging op Toevoegen. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de actie die wordt weergegeven, is wat u wilt en klikt u vervolgens op Doorgaan.

    4. Gebruik het dialoogvenster Gebruikers, computers of groepen selecteren om het gebruikersaccount op te geven dat wordt gebruikt bij het maken van het cluster. Klik vervolgens op OK.

    5. Zorg ervoor dat het gebruikersaccount dat u zojuist hebt toegevoegd is geselecteerd en schakel naast Volledig beheerhet selectievakje Toestaan in.

       

Stappen voor het voorbereiden van een account voor een geclusterde service of toepassing

Het is meestal eenvoudiger als u het computeraccount niet voorbereidt voor een geclusterde service of toepassing, maar in plaats daarvan het account automatisch kunt maken en configureren wanneer u de wizard Hoge beschikbaarheid uitvoert. Als het nodig is om accounts vooraf in te stellen vanwege vereisten in uw organisatie, gebruik dan de volgende procedure.

Lidmaatschap van de accountoperators groep, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien. Bekijk details over het gebruik van de juiste accounts en groepslidmaatschappen op https://go.microsoft.com/fwlink/?LinkId=83477.

Een account voorbereiden voor een geclusterde service of toepassing

1. Zorg ervoor dat u de naam van het cluster en de naam kent die de geclusterde service of toepassing heeft.

2. Klik op een domeincontroller op Start, klik op Systeembeheeren klik vervolgens op Active Directory: gebruikers en computers. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de actie die wordt weergegeven, is wat u wilt en klikt u vervolgens op Doorgaan.

3. Klik in de consolestructuur met de rechtermuisknop op Computers of de standaardcontainer waarin computeraccounts in uw domein worden gemaakt. Computers bevindt zich in Active Directory: gebruikers en computers/domeinknooppunt/Computers.

4. Klik op Nieuwe en klik vervolgens op Computer.

5. Typ de naam die u wilt gebruiken voor de geclusterde service of toepassing en klik vervolgens op OK-.

6. Controleer in het menu Weergave of Geavanceerde functies is geselecteerd.

   Wanneer Geavanceerde functies is geselecteerd, ziet u het tabblad Beveiliging in de eigenschappen van accounts (objecten) in Active Directory Gebruikers en Computers.

7. Klik met de rechtermuisknop op het computeraccount dat u zojuist hebt gemaakt en klik vervolgens op Eigenschappen.

8. Klik op het tabblad Beveiliging op Toevoegen.

9. Klik op Objecttypen en zorg ervoor dat Computers is geselecteerd, en klik vervolgens op OK. Typ vervolgens onder Voer de objectnaam in omte selecteren, typ het clusternaamaccount en klik vervolgens op OK-. Als er een bericht wordt weergegeven waarin wordt aangegeven dat u een uitgeschakeld object wilt toevoegen, klikt u op OK.

10. Zorg ervoor dat het clusternaamaccount is geselecteerd en schakel naast Volledig beheerhet selectievakje Toestaan in.

    

Stappen voor het oplossen van problemen met betrekking tot accounts die door het cluster worden gebruikt

Zie Problemen oplossen met accounts die worden gebruikt door failoverclustersvoor meer informatie.