通过

如何在修改计算机对象时对群集服务帐户进行故障排除

  • 项目

本文介绍如何在服务器群集(虚拟服务器)的 Active Directory 中创建或修改计算机对象时对群集服务进行故障排除。

原始 KB 数: 307532

用于创建计算机对象的 Active Directory 访问权限

默认情况下,域用户组的成员被授予将工作站添加到域的用户权限。 默认情况下,此用户权限设置为 Active Directory 中 10 个计算机对象的最大配额。 如果超出此配额,则会记录以下事件 ID 消息:

如果多个群集使用与其群集服务帐户相同的域帐户,可能会在给定群集中创建 10 个计算机对象之前收到此错误消息。 解决此问题的一种方法是向群集服务帐户授予计算机容器的“创建计算机对象”权限。 此权限将“将工作站添加到域”用户权限,该权限的默认配额为 10。

若要验证群集服务帐户是否具有“将工作站添加到域”用户权限,请执行以下操作:

  1. 登录到在其中存储群集服务帐户的域控制器。

  2. 从管理工具启动域控制器安全策略计划。

  3. 单击以展开本地策略,然后单击以展开 用户权限分配

  4. 双击“ 将工作站添加到域 ”,并记下列出的帐户。

  5. 应列出经过身份验证的用户组(默认组)。 如果未列出,则必须向此用户授予群集服务帐户或包含域控制器上的群集服务帐户的组的权限。

    注意

    必须授予此用户对域控制器的权限,因为计算机对象是在域控制器上创建的。

  6. 如果将群集服务帐户显式添加到此用户权限,请在域控制器(或针对 Windows 2000 运行 gpupdatesecedit 上运行,以便将新用户权限复制到所有域控制器。

  7. 验证策略不会被另一个策略覆盖。

群集服务帐户在本地节点上没有适当的用户权限

验证群集服务帐户在群集的每个节点上是否具有适当的用户权限。 群集服务帐户必须位于本地管理员组中,并且应具有下面列出的权限。 在配置群集节点期间,这些权限将提供给群集服务帐户。 高级策略可能过度写入本地策略,或者从以前的操作系统升级不会添加所有必需的权限。 若要验证本地节点上是否提供了这些权限,请遵循以下过程:

  1. 管理工具 组启动本地安全设置控制台。

  2. 导航到“本地策略”下的“用户权限分配”。

  3. 验证群集服务帐户是否已显式授予以下权限:

    • 作为服务登录
    • 以操作系统方式操作
    • 备份文件和目录
    • 为进程调整内存配额
    • 提高计划优先级
    • 还原文件和目录

    注意

    如果群集服务帐户已从本地管理员组中删除,请手动重新创建群集服务帐户,并为群集服务提供所需的权限。

    如果缺少任何权限,请为其授予群集服务帐户显式权限,然后停止并重启群集服务。 在重启群集服务之前,添加的权限不会生效。 如果群集服务帐户仍无法创建计算机对象,请验证组策略是否未过度写入本地策略。 若要执行此操作,如果在 Windows 2000 域或来自 MMC 管理单元(RSOP)的 Windows 2000 域中,则可以在命令提示符处键入 gpresult(如果位于 Windows Server 2003 域)。

    如果你位于 Windows Server 2003 域中,请在“RSOP”上的“帮助和支持”中搜索,获取有关使用结果策略集的说明。

    如果群集服务帐户没有“充当操作系统的一部分”权限,则网络名称资源将失败,Cluster.log将注册以下消息:

    使用上述步骤验证群集服务帐户是否具有所有必需的权限。 如果本地安全策略由域或组织单位(OU)组策略过度写入,则有多种选项。 可以将群集节点置于其自己的 OU 中,该 OU 具有“允许从父级传播到此对象的可继承权限”取消选中。

使用预先创建的计算机对象时所需的访问权限

如果已验证的用户组或群集服务帐户的成员被阻止创建计算机对象,如果你是域管理员,则必须预先创建虚拟服务器计算机对象。 必须在预先创建的计算机对象上向群集服务帐户授予某些访问权限。 群集服务尝试更新与虚拟服务器的 NetBIOS 名称匹配的计算机对象。

若要验证群集服务帐户是否对计算机对象具有适当的权限,请执行以下操作:

  1. 从管理工具启动Active Directory 用户和计算机管理单元。

  2. “视图 ”菜单上,选择“ 高级功能”。

  3. 找到希望群集服务帐户使用的计算机对象。

  4. 右键单击计算机对象,然后选择“ 属性”。

  5. 选择 “安全 ”选项卡,然后选择“ 添加”。

  6. 添加群集服务帐户或群集服务帐户所属的组。

  7. 向用户或组授予以下权限:

    • 重置密码
    • 已验证写入 DNS 主机名
    • 已验证写入服务主体名称

  8. 选择“确定”。 如果有多个域控制器,可能需要等待权限更改复制到其他域控制器(默认情况下,复制周期每 15 分钟发生一次)。

禁用 kerberos 时,网络名称资源无法联机

如果计算机对象存在,但未选择“ 启用 Kerberos 身份验证 ”选项,则网络名称资源不会联机。 若要解决此问题,请使用以下任一过程:

  • 删除 Active Directory 中的相应计算机对象。
  • 在网络名称资源上选择“ 启用 Kerberos 身份验证 ”。