Устранение неполадок с учетными записями, используемыми отказоустойчивыми кластерами

В этой статье приводятся рекомендации по устранению неполадок с учетными записями, используемыми отказоустойчивыми кластерами.

При создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастер отработки отказа создает необходимые учетные записи Active Directory и дает им правильные разрешения. Проблемы могут возникать при удалении необходимой учетной записи или изменении необходимых разрешений. Действия по устранению неполадок описаны в следующих разделах.

Устранение неполадок с паролями учетной записи имени кластера

Вы получаете сообщение о событиях о объектах компьютера или удостоверении кластера, включающее следующий текст:

Logon failure: unknown user name or bad password.

Сообщение о событии указывает, что пароль для учетной записи имени кластера больше не совпадает с соответствующим паролем, хранящимся в программном обеспечении кластеризации.

Примечание.

Чтобы выполнить следующие действия:

• Ваша учетная запись должна быть по крайней мере членом локальной группы администраторов (или эквивалентной). Кроме того, учетная запись должна быть предоставлена разрешение сброса пароля для учетной записи имени кластера (если она не является учетной записью администратора домена или владельцем владельца имени кластера).
• Вы можете использовать учетную запись, используемую для установки кластера.

Дополнительные сведения об использовании соответствующих учетных записей и членства в группах см. в разделе "Локальные и доменные группы по умолчанию".

Дополнительные сведения о том, чтобы администраторы кластера имели правильные разрешения, см. в статье "Планирование сбросов паролей" и других служб обслуживания учетных записей.

Чтобы устранить эти проблемы, выполните следующие действия.

1. Выберите "Пуск", выберите "Администрирование" и выберите диспетчер отказоустойчивых кластеров, чтобы открыть оснастку отказоустойчивого кластера. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое действие является нужным, а затем нажмите кнопку "Да".

2. В оснастке диспетчера отказоустойчивых кластеров проверьте, отображается ли кластер, который требуется настроить. Если он не отображается, в дереве консоли щелкните правой кнопкой мыши диспетчер отказоустойчивости кластеров, выберите пункт "Управление кластером", а затем выберите или укажите нужный кластер.

3. В центральной области разверните Ресурсы ядра кластера.

4. В разделе "Имя кластера" щелкните правой кнопкой мыши элемент "Имя", а затем выберите "Отключено".

5. В разделе "Имя кластера" щелкните правой кнопкой мыши элемент "Имя ", наведите указатель мыши на другие действия и выберите " Восстановить объект Active Directory".

   Примечание.

   Параметр "Восстановить объект Active Directory" будет серым, если ресурс имени кластера не находится в автономном режиме. Использование ресурса имени кластера в автономном режиме не должно негативно повлиять на другие группы кластеров, например экземпляр отказоустойчивого кластера SQL Server. Это связано с тем, что другие группы кластеров не зависят от ресурса имени кластера.

Устранение неполадок, вызванных изменениями учетных записей Active Directory, связанных с кластером

Если учетная запись имени кластера удаляется или разрешения удаляются из учетной записи, возникают проблемы при попытке настроить новую кластеризованную службу или приложение. В этом сценарии используйте оснастку Пользователи и компьютеры Active Directory для просмотра или изменения учетной записи имени кластера и других связанных учетных записей.

Дополнительные сведения о связанных событиях (идентификаторы событий 1193, 1194, 1206 и 1207) см. в разделе "Разрешения Active Directory для учетных записей кластера".

Примечание.

Для выполнения следующих действий требуется по крайней мере членство в группе администраторов домена (или эквивалентно). Дополнительные сведения об использовании соответствующих учетных записей и членства в группах см. в разделе "Локальные и доменные группы по умолчанию".

Чтобы устранить эти проблемы, выполните следующие действия.

1. На контроллере домена выберите "Пуск", перейдите в раздел "Администрирование" и выберите Пользователи и компьютеры Active Directory. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое действие является нужным, а затем нажмите кнопку "Да".

2. Разверните контейнер компьютеров по умолчанию или папку, в которой находится учетная запись имени кластера (учетная запись компьютера для кластера). Контейнер "Компьютеры" находится в Пользователи и компьютеры Active Directory\<domain-node>\Computers.

3. Проверьте значок учетной записи имени кластера. Учетная запись не должна быть отключена с помощью стрелки вниз. Если он отключен, щелкните его правой кнопкой мыши и выберите включить учетную запись , если это возможно.

4. В меню "Вид" убедитесь, что выбран параметр "Дополнительные функции".

   Если выбран параметр "Дополнительные функции", вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

5. Щелкните правой кнопкой мыши контейнер компьютеров по умолчанию или папку, в которой находится учетная запись имени кластера, а затем выберите "Свойства".

6. На вкладке Безопасность нажмите кнопку Дополнительно.

7. В списке учетных записей с разрешениями выберите учетную запись имени кластера и нажмите кнопку "Изменить".

   Примечание.

   Если учетная запись имени кластера не указана, нажмите кнопку "Добавить " и добавьте ее в список.

8. Для учетной записи имени кластера (также известной как объект имени кластера или CNO), убедитесь, что флажок Allow выбран для объектов Create Computer и Read all properties permissions.

   

9. Нажмите кнопку "ОК", пока не вернеесь к оснастке Пользователи и компьютеры Active Directory.

10. Проверьте политики домена (обратитесь к администратору домена, если применимо), связанному с созданием учетных записей компьютеров (объектов). Убедитесь, что учетная запись имени кластера может создавать учетную запись компьютера каждый раз при настройке кластеризованной службы или приложения. Например, если администратор домена настроил параметры, которые вызывают создание всех новых учетных записей компьютеров в специализированном контейнере, а не в контейнере компьютеров по умолчанию, убедитесь, что эти параметры также позволяют учетной записи имени кластера создавать новые учетные записи компьютеров в этом контейнере.

11. Разверните контейнер компьютеров по умолчанию или контейнер, в котором находится учетная запись компьютера для одной из кластеризованных служб или приложений.

12. Щелкните правой кнопкой мыши учетную запись компьютера для одной из кластеризованных служб или приложений, а затем выберите пункт "Свойства".

13. На вкладке "Безопасность" убедитесь, что учетная запись имени кластера указана среди учетных записей с разрешениями и выберите ее. Убедитесь, что у учетной записи имени кластера есть разрешение "Полный доступ " ( установлен флажок "Разрешить "). Если это не так, добавьте учетную запись имени кластера в список и предоставьте ему разрешение "Полный доступ ".

    

14. Повторите шаги 12–13 для каждой кластеризованной службы и приложения, настроенных в кластере.

15. Убедитесь, 10что квота на уровне домена (по умолчанию) для создания объектов компьютера не достигнута (при необходимости обратитесь к администратору домена). Если предыдущие элементы этой процедуры были проверены и исправлены, и квота достигнута, рассмотрите возможность увеличения квоты. Чтобы изменить квоту, выполните следующие действия.

    1. Откройте командную строку от имени администратора и выполните ADSIEdit.msc команду.
    2. Щелкните правой кнопкой мыши команду ADSI Edit, а затем нажмите кнопку "Подключиться к>ОК". Затем контекст именования по умолчанию добавляется в дерево консоли.
    3. Дважды щелкните контекст именования по умолчанию, щелкните правой кнопкой мыши объект домена и выберите "Свойства".
    4. Прокрутите страницу до ms-DS-MachineAccountQuota и выберите ее. Нажмите кнопку "Изменить", изменить значение и нажмите кнопку "ОК".