通过

针对故障转移群集使用的帐户进行故障排除

  • 项目

本文提供有关故障转移群集使用的帐户问题的故障排除指南。

创建故障转移群集并 配置群集服务或应用程序时,故障转移群集向导会创建必要的 Active Directory 帐户,并为其授予正确的权限。 如果删除了所需的帐户或更改了必要的权限,可能会导致问题。 以下小节提供了针对这些问题进行故障排除的步骤。

针对群集名称帐户的密码问题进行故障排除

收到有关计算机对象或群集标识的事件消息,其中包含以下文本:

Logon failure: unknown user name or bad password.

事件消息指示群集名称帐户的密码不再与群集软件存储的相应密码匹配。

注意

若要完成以下步骤:

  • 你的帐户应至少是本地管理员组的成员(或等效的)。 此外,应为帐户提供 群集名称帐户的“重置密码 ”权限(除非它是域管理员帐户或群集名称帐户的创建者所有者)。
  • 可以使用用于安装群集的帐户。

有关使用适当帐户和组成员身份的详细信息,请参阅本地和域默认组

有关确保群集管理员具有正确权限的详细信息,请参阅 提前规划密码重置和其他帐户维护

若要解决这些问题,请执行以下步骤:

  1. 选择“开始,转到管理工具,然后选择“故障转移群集管理器以打开故障转移群集管理单元。 如果出现“用户帐户控制”对话框,请确认其所显示的操作是你要执行的操作,然后选择“是”。

  2. 故障转移群集管理器 管理单元中,检查是否显示要配置的群集。 如果未显示,请在控制台树中右键单击“故障转移群集管理器”,选择“管理群集”,然后选择或指定所需的群集。

  3. 在中心窗格中,展开“群集核心资源”。

  4. 在“群集名称”下,右键单击“名称”项,然后选择“脱机”。

  5. 在“群集名称”下,右键单击“名称”项,指向“更多操作”,然后选择“修复 Active Directory 对象”。

    注意

    除非群集的名称资源处于脱机状态,否则修复 Active Directory 对象选项将灰显。 使群集 的名称 资源脱机不应对其他群集组(例如 SQL Server 故障转移群集实例)产生负面影响。 这是因为其他群集组不依赖于群集的名称资源。

如果删除群集名称帐户或从帐户中删除权限,则在尝试配置新的群集服务或应用程序时会遇到问题。 在此方案中,使用Active Directory 用户和计算机管理单元查看或更改群集名称帐户和其他相关帐户。

有关相关事件的详细信息(事件 ID 1193、1194、1206 和 1207),请参阅 群集帐户的 Active Directory 权限。

注意

以下步骤至少需要域管理员组中的成员身份(或等效)。 有关使用适当帐户和组成员身份的详细信息,请参阅本地和域默认组

若要解决这些问题,请执行以下步骤:

  1. 在域控制器上,选择“开始,转到“管理工具”,然后选择Active Directory 用户和计算机。 如果出现“用户帐户控制”对话框,请确认其所显示的操作是你要执行的操作,然后选择“是”。

  2. 展开默认的“计算机”容器或群集名称帐户(群集的计算机帐户)所在的文件夹。 计算机容器位于 Active Directory 用户和计算机\<domain-node>\Computers 中。

  3. 检查群集名称帐户的图标。 帐户不应通过对帐户使用向下箭头来禁用。 如果已禁用,请右键单击它,然后选择“ 启用帐户 ”(如果可能)。

  4. “视图 ”菜单上,确保 已选择“高级功能 ”选项。

    选择“高级功能”选项后,可以在Active Directory 用户和计算机中的帐户(对象)属性中看到“安全”选项卡。

  5. 右键单击默认 的计算机 容器或群集名称帐户所在的文件夹,然后选择“ 属性”。

  6. 在“安全性”选项卡上,选择“高级” 。

  7. 在具有权限的帐户列表中,选择群集名称帐户,然后选择“ 编辑”。

    注意

    如果未列出群集名称帐户,请选择“ 添加 ”并将其添加到列表中。

  8. 对于群集名称帐户(也称为群集名称对象或 CNO),请确保“创建计算机”对象选中“允许”复选框并读取所有属性权限。

    显示“创建计算机对象”和“读取所有属性权限”的“计算机权限”窗口的屏幕截图。

  9. 选择“确定,直到返回到Active Directory 用户和计算机管理单元。

  10. 查看与创建计算机帐户(对象)相关的域策略(如果适用),请查阅域管理员。 每次配置群集服务或应用程序时,都应确保群集名称帐户可以创建一个计算机帐户。 例如,如果域管理员已配置设置,导致所有新计算机帐户在专用容器而不是默认 计算机 容器中创建,请确保这些设置还允许群集名称帐户在该容器中创建新计算机帐户。

  11. 展开默认的“计算机”容器,或者某个群集服务或应用程序的计算机帐户所在的容器。

  12. 右键单击其中一个群集服务或应用程序的计算机帐户,然后选择“ 属性”。

  13. 在“安全性”选项卡上,确认群集名称帐户在具有权限的帐户中列出,然后选择它。 确认群集名称帐户具有 “完全控制 ”权限( 已选中“允许 ”复选框)。 如果没有,请将群集名称帐户添加到列表中,并向其 授予“完全控制 ”权限。

    显示列出群集名称帐户并具有完全控制权限的屏幕截图。

  14. 对群集中配置的每个群集服务和应用程序重复步骤 12-13。

  15. 确保尚未达到用于创建计算机对象的域范围配额(如果 10适用)。 如果此过程中的前一项已全部查看和更正,并且已达到配额,请考虑增加配额。 若要更改配额,请执行以下步骤:

    1. 以管理员身份打开命令提示符并运行 ADSIEdit.msc 该命令。
    2. 右键单击 ADSI 编辑,然后选择“连接到>确定”。 然后, 默认命名上下文 将添加到控制台树。
    3. 双击 “默认命名上下文”,右键单击其下的域对象,然后选择“ 属性”。
    4. 滚动到 ms-DS-MachineAccountQuota 并选择它。 选择“编辑”,更改值,然后选择“确定”。