共用方式為

如何針對叢集服務帳戶修改計算機物件時進行疑難解答

  • 發行項

本文說明如何在伺服器叢集的 Active Directory 中建立或修改計算機物件時,針對叢集服務進行疑難解答。

原始 KB 編號: 307532

建立電腦物件的 Active Directory 存取權限

根據預設,網域使用者群組的成員會獲得將工作站新增至網域的用戶權力。 根據預設,此用戶權力會設定為 Active Directory 中 10 個計算機物件的最大配額。 如果您超過此配額,則會記錄下列事件識別碼訊息:

如果數個叢集使用與其叢集服務帳戶相同的網域帳戶,您可能會在指定的叢集中建立十個計算機物件之前收到此錯誤訊息。 解決此問題的其中一個方法是將計算機容器上的建立計算機物件許可權授與叢集服務帳戶。 此許可權會覆寫將工作站新增至網域用戶權力,其預設配額為 10。

若要確認叢集服務帳戶具有將工作站新增至網域用戶權力:

  1. 登入要儲存叢集服務帳戶的域控制器。

  2. 從 [系統管理工具] 啟動域控制器安全策略計劃。

  3. 按兩下以展開 [本機原則],然後按兩下以展開 [用戶權力指派]。

  4. 按兩下 [ 將工作站新增至網域 ],並記下列出的帳戶。

  5. [已驗證的使用者] 群組 (預設群組) 應列出。 如果未列出,您必須將此用戶權力授與叢集服務帳戶或包含域控制器上叢集服務帳戶的群組。

    注意

    您必須將此用戶權力授與域控制器,因為計算機物件是在域控制器上建立的。

  6. 如果您明確將叢集服務帳戶新增至此用戶權力,請在域控制器上執行 gpupdate (或針對 Windows 2000 執行 secedit ),讓新的使用者權力復寫到所有域控制器。

  7. 確認原則不會被另一個原則覆寫。

叢集服務帳戶在本機節點上沒有適當的使用者權限

確認叢集服務帳戶在叢集的每個節點上都有適當的用戶權力。 叢集服務帳戶必須位於本機系統管理員群組中,而且應該具有下列許可權。 這些許可權會在叢集節點的設定期間提供給叢集服務帳戶。 較高層級的原則可能會過度寫入本機原則,或從先前操作系統升級不會新增所有必要的許可權。 若要確認這些許可權是在本機節點上提供,請遵循下列程式:

  1. 從 [系統管理工具] 群組啟動 [ 本機安全性設定] 主控台。

  2. 流覽至 [本機原則] 底下的 [用戶權力指派]。

  3. 確認已明確授與叢集服務帳戶下列許可權:

    • 以服務登入
    • 作為作業系統的一部分
    • 備份檔案及目錄
    • 調整處理序的記憶體配額
    • 增加排程優先順序
    • 還原檔案和目錄

    注意

    如果叢集服務帳戶已從本機 Administrators 群組中移除,請手動重新建立叢集服務帳戶,並提供叢集服務所需的許可權。

    如果遺漏任何許可權,請為叢集服務帳戶提供其明確許可權,然後停止並重新啟動叢集服務。 在您重新啟動叢集服務之前,新增的許可權才會生效。 如果叢集服務帳戶仍然無法建立計算機物件,請確認組策略未過度寫入本機原則。 若要這樣做,如果您位於 Windows Server 2000 網域或 MMC 嵌入式管理單元中的結果集,則可以在命令提示字元中輸入 gpresult。

    如果您是在 Windows Server 2003 網域中,請在 [RSOP] 的 [說明及支援] 中搜尋,以取得使用原則結果集的指示。

    如果叢集服務帳戶沒有「作為操作系統的一部分」許可權,網路名稱資源將會失敗,且Cluster.log會註冊下列訊息:

    使用上述步驟來確認叢集服務帳戶具有所有必要的許可權。 如果網域或組織單位 (OU) 組策略正在過度撰寫本機安全策略,則有幾個選項。 您可以將叢集節點放入自己的 OU 中,該 OU 具有「允許從父系傳播至此物件的可繼承許可權」取消選取。

使用預先建立的電腦物件時所需的存取權限

如果已驗證的使用者群組或叢集服務帳戶的成員遭到封鎖而無法建立計算機物件,如果您是網域系統管理員,則必須預先建立虛擬伺服器計算機物件。 您必須在預先建立的計算機物件上,將特定訪問許可權授與叢集服務帳戶。 叢集服務會嘗試更新符合虛擬伺服器 NetBIOS 名稱的計算機物件。

若要確認叢集服務帳戶具有計算機對象的適當許可權:

  1. 從 [系統管理工具] 啟動 Active Directory 使用者和電腦 嵌入式管理單元。

  2. 在 [ 檢視] 功能表上,選取 [ 進階功能]。

  3. 找出您想要叢集服務帳戶使用的計算機物件。

  4. 以滑鼠右鍵按兩下電腦物件,然後選取 [ 屬性]。

  5. 選取 [安全性] 索引標籤,然後選取 [新增]。

  6. 新增叢集服務帳戶或叢集服務帳戶所屬的群組。

  7. 授與使用者或群組下列許可權:

    • 重設密碼
    • 已驗證寫入 DNS 主機名
    • 已驗證寫入服務主體名稱

  8. 選取 [確定]。 如果有多個域控制器,您可能需要等待許可權變更複寫到其他域控制器(根據預設,每 15 分鐘就會發生一次複寫週期)。

在停用 Kerberos 時,網路名稱資源不會上線

如果計算機物件存在,但您未選取 [ 啟用 Kerberos 驗證 ] 選項,網路名稱資源就不會上線。 若要解決此問題,請使用下列其中一個程式:

  • 刪除 Active Directory 中對應的電腦物件。
  • 選取 [網络名稱] 資源上的 [啟用 Kerberos 驗證 ]。