Como solucionar problemas da conta de serviço de cluster quando ela modifica objetos de computador

Este artigo descreve como solucionar problemas do serviço de cluster quando ele cria ou modifica um objeto de computador no Active Directory para um cluster de servidor (servidor virtual).

Número original do KB: 307532

Direitos de acesso do Active Directory para criar um objeto de computador

Por padrão, os membros do grupo Usuários do Domínio recebem o direito de usuário para adicionar estações de trabalho a um domínio. Por padrão, esse direito de usuário é definido como uma cota máxima de 10 objetos de computador no Active Directory. Se você exceder essa cota, a seguinte mensagem de ID de evento será registrada:

Se vários clusters estiverem usando a mesma conta de domínio que sua conta de serviço de cluster, você poderá receber essa mensagem de erro antes de criar dez objetos de computador em um determinado cluster. Uma maneira de resolver esse problema é conceder à conta de serviço de cluster a permissão Criar Objetos de Computador no contêiner Computadores. Essa permissão substitui o direito de usuário Adicionar estações de trabalho a um domínio, que tem uma cota padrão de dez.

Para verificar se a conta de serviço de cluster tem o direito de usuário Adicionar estações de trabalho a um domínio:

1. Entre no controlador de domínio no qual a conta de serviço de cluster está armazenada.

2. Inicie o programa Política de Segurança do Controlador de Domínio em Ferramentas Administrativas.

3. Clique para expandir Diretivas Locais e, em seguida, clique para expandir Atribuições de Direitos de Usuário.

4. Clique duas vezes em Adicionar estações de trabalho a um domínio e anote as contas listadas.

5. O grupo Usuários Autenticados (o grupo padrão) deve ser listado. Se ele não estiver listado, você deverá conceder esse direito de usuário à conta de serviço de cluster ou a um grupo que contenha a conta de serviço de cluster nos controladores de domínio.

   Observação

   Você deve conceder esse direito de usuário aos controladores de domínio porque os objetos de computador são criados nos controladores de domínio.

6. Se você adicionar explicitamente a conta de serviço de cluster a esse direito de usuário, execute gpupdate no controlador de domínio (ou execute secedit para Windows 2000) para que o novo direito de usuário seja replicado para todos os controladores de domínio.

7. Verifique se a política não será substituída por outra política.

A conta do Serviço de Cluster não tem direitos de usuário adequados em nó local

Verifique se a conta do Serviço de Cluster tem os direitos de usuário apropriados em cada nó do cluster. A conta do Serviço de Cluster deve estar no grupo de administradores locais e deve ter os direitos listados abaixo. Esses direitos são concedidos à conta do Serviço de Cluster durante a configuração do nó Cluster. É possível que uma política de nível superior esteja substituindo a política local ou que uma atualização de um sistema operacional anterior não adicione todos os direitos necessários. Para verificar se esses direitos são concedidos no nó local, siga estes procedimentos:

1. Inicie o console Configurações de Segurança Local no grupo Ferramentas Administrativas.

2. Navegue até Atribuições de Direitos de Usuário em Políticas Locais.

3. Verifique se a conta do Serviço de Cluster recebeu explicitamente os seguintes direitos:

   • Entrada como um serviço
   • Atuar como parte do sistema operacional
   • Fazer backup de arquivos e pastas
   • Ajustar cotas de memória para um processo
   • Aumentar prioridade de agendamento
   • Restaurar arquivos e diretórios

   Observação

   Se a conta do Serviço de Cluster tiver sido removida do Grupo de Administradores local, recrie manualmente a conta do serviço de Cluster e conceda ao Serviço de Cluster os direitos necessários.

   Se algum dos direitos estiver ausente, conceda à conta do Serviço de Cluster direitos explícitos para ele e, em seguida, pare e reinicie o Serviço de Cluster. Os direitos adicionados não entram em vigor até que você reinicie o Serviço de Cluster. Se a conta do Serviço de Cluster ainda não puder criar um Objeto de Computador, verifique se uma Política de Grupo não está substituindo a Política Local. Para fazer isso, você pode digitar gpresult no Prompt de Comando se estiver em um Domínio do Windows 2000 ou RSOP (Conjunto de Diretivas Resultante) de um Snap-in do MMC se estiver em um domínio do Windows Server 2003.

   Se você estiver em um domínio do Windows Server 2003, pesquise na Ajuda e Suporte em "RSOP" para obter instruções sobre como usar o Conjunto de Diretivas Resultante.

   Se a conta do Serviço de Cluster não tiver o direito "Agir como parte do sistema operacional", o recurso Nome da Rede falhará e o Cluster.log registrará a seguinte mensagem:

   Use as etapas acima para verificar se a conta do Serviço de Cluster tem todos os direitos necessários. Se as políticas de segurança locais estiverem sendo substituídas por uma política de Grupo de Domínio ou Unidade Organizacional (UO), haverá várias opções. Você pode colocar os nós de cluster em sua própria UO que tenha a opção "Permitir permissões herdáveis do pai para propagar para este objeto" desmarcada.

Direitos de acesso necessários ao usar um objeto de computador pré-criado

Se os membros do grupo Usuários Autenticados ou da conta de serviço de cluster forem impedidos de criar um objeto de computador, se você for o administrador do domínio, deverá pré-criar o objeto de computador do servidor virtual. Você deve conceder determinados direitos de acesso à conta de serviço de cluster no objeto de computador pré-criado. O serviço de cluster tenta atualizar o objeto de computador que corresponde ao nome NetBIOS do servidor virtual.

Para verificar se a conta de serviço de cluster tem as permissões adequadas no objeto de computador:

1. Inicie o snap-in Usuários e Computadores do Active Directory em Ferramentas Administrativas.

2. No menu Exibir, selecione Recursos Avançados.

3. Localize o objeto de computador que você deseja que a conta de serviço de cluster use.

4. Clique com o botão direito do mouse no objeto de computador e selecione Propriedades.

5. Selecione a guia Segurança e, em seguida, selecione Adicionar.

6. Adicione a conta de serviço de cluster ou um grupo do qual a conta de serviço de cluster seja membro.

7. Conceda ao usuário ou ao grupo as seguintes permissões:

   • Redefinir senha
   • Gravação validada no nome do host DNS
   • Nome validado de gravação na entidade de serviço

8. Clique em OK. Se houver vários controladores de domínio, talvez seja necessário aguardar que a alteração de permissão seja replicada para os outros controladores de domínio (por padrão, um ciclo de replicação ocorre a cada 15 minutos).

O recurso de nome de rede não fica online quando o kerberos estiver desabilitado

Um recurso de Nome de Rede não ficará online se existir um objeto de computador, mas você não selecionará a opção Habilitar Autenticação Kerberos . Para resolver o problema, use um dos seguintes procedimentos:

• Exclua o objeto de computador correspondente no Active Directory.
• Selecione Habilitar Autenticação Kerberos no recurso Nome da Rede.