Vorabbereitstellen von Clustercomputerobjekten in Active Directory Domain Services

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI (Versionen 21H2 und 20H2)

In diesem Thema wird gezeigt, wie Sie Clustercomputerobjekte in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) vorab bereitstellen. Sie können mit diesem Verfahren Benutzern oder Gruppen, die nicht über Berechtigungen zum Erstellen von Computerobjekten in AD DS verfügen, das Erstellen eines Failoverclusters ermöglichen.

Beim Erstellen eines Failoverclusters mit dem Clustererstellungs-Assistenten oder mit Windows PowerShell müssen Sie einen Namen für den Cluster angeben. Wenn Sie beim Erstellen des Clusters über ausreichende Berechtigungen verfügen, wird automatisch in AD DS ein Computerobjekt erstellt, das den gleichen Namen hat wie der Cluster. Dieses Objekt wird als Clusternamenobjekt oder CNO bezeichnet. Über das CNO werden automatisch virtuelle Computerobjekte (VCOs) erstellt, wenn Sie Clusterrollen konfigurieren, von denen Clientzugriffspunkte verwendet werden. Wenn Sie beispielsweise einen hoch verfügbaren Dateiserver mit einem Clientzugriffspunkt mit dem Namen Dateiserver1erstellen, wird vom CNO ein entsprechendes VCO in AD DS erstellt.

Hinweis

Es gibt eine Option zum Erstellen eines von Active Directory getrennten Clusters. In diesem Fall werden keine CNOs oder VCOs in AD DS erstellt. Diese Möglichkeit ist für bestimmte Typen von Clusterbereitstellungen gedacht. Weitere Informationen finden Sie unter Bereitstellen eines von Active Directory getrennten Clusters.

Für die automatische Erstellung des CNOs benötigt der Benutzer, der den Failovercluster erstellt, die Berechtigung Computerobjekte erstellen für die Organisationseinheit (Organizational Unit, OU) oder den Container, in dem sich die Server befinden, aus denen der Cluster gebildet werden soll. Ein Benutzer mit entsprechenden Berechtigungen in AD DS (normalerweise ein Domänenadministrator) kann das CNO vorab in AD DS bereitstellen, damit ein Benutzer oder eine Gruppe ohne diese Berechtigung einen Cluster erstellen kann. Dadurch hat der Domänenadministrator außerdem mehr Kontrolle über die für den Cluster verwendete Benennungskonvention sowie darüber, in welcher Organisationseinheit die Clusterobjekte erstellt werden.

Schritt 1: Vorabbereitstellen des CNOs in AD DS

Bevor Sie beginnen, sollten Sie sicherstellen, dass folgende Informationen vorhanden sind:

• Der Name, den Sie dem Cluster zuweisen möchten
• Der Name des Benutzerkontos oder der Gruppe, dem bzw. der Sie Rechte zum Erstellen des Clusters erteilen möchten

Als bewährte Methode wird empfohlen, eine Organisationseinheit für die Clusterobjekte zu erstellen. Wenn bereits eine Organisationseinheit vorhanden ist, die Sie verwenden möchten, ist zum Ausführen dieses Schritts mindestens die Mitgliedschaft in der Gruppe Konten-Operatoren erforderlich. Wenn Sie eine Organisationseinheit für die Clusterobjekte erstellen, müssen Sie mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um diesen Schritt auszuführen.

Hinweis

Wenn Sie das CNO im Standardcontainer %%amp;quot;Computer%%amp;quot; anstatt in einer Organisationseinheit erstellen, müssen Sie Schritt 3 dieses Themas nicht ausführen. In diesem Szenario kann ein Clusteradministrator bis zu zehn VCOs ohne zusätzliche Konfiguration erstellen.

So stellen Sie das CNO vorab in AD DS bereit

1. Öffnen Sie auf einem Computer, auf dem die AD DS-Tools aus den Remoteserver-Verwaltungstools installiert sind, oder auf einem Domänencontroller das Snap-In Active Directory-Benutzer und -Computer. Wenn Sie diese Schritte auf einem Server ausführen möchten, starten Sie den Server-Manager, und klicken Sie dann im Menü Tools auf Active Directory-Benutzer und -Computer.

2. Zum Erstellen einer Organisationseinheit für die Clustercomputerobjekte klicken Sie mit der rechten Maustaste auf den Domänennamen oder auf eine vorhandene Organisationseinheit; zeigen Sie auf Neu, und klicken Sie dann auf Organisationseinheit. Geben Sie in das Feld Name den Namen der Organisationseinheit ein, und klicken Sie dann auf OK.

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Organisationseinheit, in der Sie das CNO erstellen möchten; zeigen Sie auf Neu, und klicken Sie dann auf Computer.

4. Geben Sie in das Feld Computername den Namen für den Failovercluster ein, und klicken Sie anschließend auf OK.

   Hinweis

   Diesen Clusternamen gibt der Benutzer, der den Cluster erstellt, auf der Seite Zugriffspunkt für die Clusterverwaltung im Clustererstellungs-Assistenten oder als Wert des –Name -Parameters für das Windows PowerShell-Cmdlet New-Cluster an.

5. Als bewährte Methode klicken Sie mit der rechten Maustaste auf das soeben erstellte Computerkonto, wählen Sie Eigenschaften und dann die Registerkarte Objekt. Aktivieren Sie auf der Registerkarte Objekt das Kontrollkästchen Objekt vor versehentlichem Löschen schützen und wählen Sie dann OK aus.

6. Klicken Sie mit der rechten Maustaste auf das gerade erstellte Computerkonto, und klicken Sie dann auf Konto deaktivieren. Klicken Sie zur Bestätigung auf Ja , und dann auf OK.

   Hinweis

   Sie müssen das Konto deaktivieren, damit bei der Clustererstellung überprüft werden kann, ob das Konto zurzeit von einem vorhandenen Computer oder Cluster in der Domäne verwendet wird.

Abbildung 1. Deaktiviertes CNO in der Beispielorganisationseinheit %%amp;quot;Cluster%%amp;quot;

Schritt 2: Erteilen der Benutzerberechtigungen zum Erstellen des Clusters

Sie müssen Berechtigungen konfigurieren, damit das Benutzerkonto, das zum Erstellen des Failoverclusters verwendet wird, über Vollzugriff auf das gerade erstellte CNO verfügt:

Sie müssen mindestens Mitglied der Gruppe Konten-Operatoren sein, um diesen Schritt ausführen zu können.

So erteilen Sie die Benutzerberechtigungen zum Erstellen des Clusters

1. Stellen Sie in %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.

2. Suchen Sie das CNO, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.

3. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus.

4. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen auswählen das Benutzerkonto oder die Gruppe an, dem bzw. der Sie Berechtigungen erteilen möchten, und klicken Sie dann auf OK.

5. Wählen Sie das gerade hinzugefügte Benutzerkonto bzw. die gerade hinzugefügte Gruppe aus, und aktivieren Sie dann neben Vollzugriff das Kontrollkästchen Zulassen.

   

   Abbildung 2. Erteilen der Benutzer- oder Gruppenberechtigungen zum Erstellen des Clusters

6. Wählen Sie OK aus.

Nach Abschluss dieses Schritts kann der Benutzer, dem Sie Berechtigungen erteilt haben, den Failovercluster erstellen. Wenn sich das CNO jedoch in einer Organisationseinheit befindet, kann der Benutzer erst dann Clusterrollen erstellen, für die ein Clientzugriffspunkt erforderlich ist, wenn Sie Schritt 3 abgeschlossen haben.

Hinweis

Wenn sich das CNO im Standardcontainer %%amp;quot;Computer%%amp;quot; befindet, kann ein Clusteradministrator bis zu zehn VCOs ohne zusätzliche Konfiguration erstellen. Zum Hinzufügen von mehr als zehn VCOs müssen Sie explizit die Berechtigung Computerobjekte erstellen für das CNO für den Container %%amp;quot;Computer%%amp;quot; erteilen.

Schritt 3: Erteilen der CNO-Berechtigungen für die Organisationseinheit oder Vorabbereitstellen von VCOs für Clusterrollen

Wenn Sie eine Clusterrolle mit einem Clientzugriffspunkt erstellen, wird vom Cluster ein VCO in der gleichen Organisationseinheit erstellt, in der sich das CNO befindet. Damit dies automatisch geschieht, muss das CNO über Berechtigungen zum Erstellen von Computerobjekten in der Organisationseinheit verfügen.

Wenn Sie das CNO vorab in AD DS bereitgestellt haben, können Sie eine der folgenden Aktionen ausführen, um VCOs zu erstellen:

• Option 1: Erteilen der CNO-Berechtigungen für die Organisationseinheit. Wenn Sie diese Option verwenden, können vom Cluster automatisch VCOs in AD DS erstellt werden. Daher kann ein Administrator für den Failovercluster Clusterrollen erstellen und muss Sie dazu nicht bitten, VCOs vorab in AD DS bereitstellen.

Hinweis

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um die Schritte für diese Option ausführen zu können.

• Option 2: Vorabeinstellen einer VCO für eine Clusterrolle. Verwenden Sie diese Option, wenn aufgrund von Anforderungen in der Organisation Konten für Clusterrollen vorab bereitgestellt werden müssen. Beispielsweise kann es sein, dass Sie die Benennungskonvention steuern möchten, oder steuern möchten, welche Clusterrollen erstellt werden.

Hinweis

Sie müssen mindestens Mitglied der Gruppe Konten-Operatoren oder einer entsprechenden Gruppe sein, um die Schritte für diese Option ausführen zu können.

Erteilen Sie die CNO-Berechtigungen für die Organisationseinheit

1. Stellen Sie in %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.

2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, in der Sie in Schritt 1: Vorabbereitstellen des CNOs in AD DSdas CNO erstellt haben, und klicken Sie dann auf Eigenschaften.

3. Wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus.

4. Klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen auf Hinzufügen,

5. Klicken Sie neben Prinzipalauf Prinzipal auswählen.

6. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonto oder Gruppen auswählen auf Objekttypen, aktivieren Sie das Kontrollkästchen Computer und klicken Sie dann auf OK.

7. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Namen des CNOs ein, wählen Sie Namen überprüfen und dann OK. Wenn eine Warnmeldung angezeigt wird, aus der hervorgeht, dass Sie im Begriff sind, ein deaktiviertes Objekt hinzuzufügen, klicken Sie auf OK.

8. Stellen Sie im Dialogfeld Berechtigungseintrag sicher, dass die Liste Typ auf Zulassen und die Liste Anwenden auf auf Dieses und alle untergeordneten Objekte festgelegt ist.

9. Aktivieren Sie unter Berechtigungen das Kontrollkästchen Computerobjekte erstellen.

   

   Abbildung 3. Erteilen der Berechtigung zum Erstellen von Computerobjekten für das CNO

10. Klicken Sie auf OK, bis Sie zum Snap-In Active Directory-Benutzer und -Computer zurückkehren.

Ein Administrator des Failoverclusters kann jetzt Clusterrollen mit Clientzugriffspunkten erstellen und die Ressourcen online schalten.

Vorabeinstellen einer VCO für eine Clusterrolle

1. Stellen Sie, bevor Sie beginnen, sicher, dass Sie den Namen des Clusters und den Namen, den die Clusterrolle erhalten wird, kennen.
2. Stellen Sie in %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.
3. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Organisationseinheit, in der sich das CNO für den Cluster befindet, zeigen Sie auf Neu und wählen dann Computer aus.
4. Geben Sie in das Feld Computername den Namen für die Clusterrolle ein, und klicken Sie dann auf OK.
5. Als bewährte Methode klicken Sie mit der rechten Maustaste auf das soeben erstellte Computerkonto, wählen Sie Eigenschaften und dann die Registerkarte Objekt. Aktivieren Sie auf der Registerkarte Objekt das Kontrollkästchen Objekt vor versehentlichem Löschen schützen und wählen Sie dann OK aus.
6. Klicken Sie mit der rechten Maustaste auf das gerade erstellte Computerkonto, und klicken Sie dann auf Eigenschaften.
7. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus.
8. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonto oder Gruppen auswählen auf Objekttypen, aktivieren Sie das Kontrollkästchen Computer und klicken Sie dann auf OK.
9. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Namen des CNOs ein, wählen Sie Namen überprüfen und dann OK. Wenn eine Warnmeldung angezeigt wird, aus der hervorgeht, dass Sie im Begriff sind, ein deaktiviertes Objekt hinzuzufügen, klicken Sie auf OK.
10. Stellen Sie sicher, dass das CNO ausgewählt ist, und aktivieren Sie dann neben Vollzugriff das Kontrollkästchen Zulassen.
11. Wählen Sie OK aus.

Ein Administrator des Failoverclusters kann jetzt die Clusterrolle mit einem Clientzugriffspunkt erstellen, die dem vorab bereitgestellten VCO-Namen entspricht, und die Ressource online schalten.

Weitere Informationen

• Failoverclustering
• Konfigurieren von Clusterkonten in Active Directory