Share via

Mengonfigurasi akun kluster di Direktori Aktif

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Azure Stack HCI, versi 21H2 dan 20H2

Di Windows Server, saat Anda membuat kluster failover dan mengonfigurasi layanan atau aplikasi berkluster, wizard kluster failover membuat akun komputer Direktori Aktif yang diperlukan (juga disebut objek komputer) dan memberi mereka izin khusus. Wizard membuat akun komputer untuk kluster itu sendiri (akun ini juga disebut objek nama kluster atau CNO) dan akun komputer untuk sebagian besar jenis layanan dan aplikasi berkluster, pengecualiannya adalah komputer virtual Hyper-V. Izin untuk akun ini diatur secara otomatis oleh wizard kluster failover. Jika izin diubah, izin harus diubah kembali agar sesuai dengan persyaratan kluster. Panduan ini menjelaskan akun dan izin Direktori Aktif ini, memberikan latar belakang tentang mengapa mereka penting, dan menjelaskan langkah-langkah untuk mengonfigurasi dan mengelola akun.

Gambaran umum akun Direktori Aktif yang diperlukan oleh kluster failover

Bagian ini menjelaskan akun komputer Direktori Aktif (juga disebut objek komputer Direktori Aktif) yang penting untuk kluster failover. Akun-akun ini adalah sebagai berikut:

  • Akun pengguna yang digunakan untuk membuat kluster. Ini adalah akun pengguna yang digunakan untuk memulai wizard Buat Kluster. Akun ini penting karena memberikan dasar dari mana akun komputer dibuat untuk kluster itu sendiri.

  • Akun nama kluster. (akun komputer kluster itu sendiri, juga disebut objek nama kluster atau CNO). Akun ini dibuat secara otomatis oleh wizard Buat Kluster dan memiliki nama yang sama dengan kluster. Akun nama kluster sangat penting, karena melalui akun ini, akun lain secara otomatis dibuat saat Anda mengonfigurasi layanan dan aplikasi baru pada kluster. Jika akun nama kluster dihapus atau izin diambil darinya, akun lain tidak dapat dibuat seperti yang diperlukan oleh kluster, sampai akun nama kluster dipulihkan atau izin yang benar dipulihkan.

    Misalnya, jika Anda membuat kluster yang disebut Cluster1 dan kemudian mencoba mengonfigurasi server cetak berkluster yang disebut PrintServer1 pada kluster Anda, akun Cluster1 di Direktori Aktif perlu mempertahankan izin yang benar sehingga dapat digunakan untuk membuat akun komputer yang disebut PrintServer1.

    Akun nama kluster dibuat dalam kontainer default untuk akun komputer di Direktori Aktif. Secara default ini adalah kontainer "Komputer", tetapi administrator domain dapat memilih untuk mengalihkannya ke kontainer atau unit organisasi (OU) lain.

  • Akun komputer (objek komputer) dari layanan atau aplikasi terkluster. Akun-akun ini dibuat secara otomatis oleh wizard Ketersediaan Tinggi sebagai bagian dari proses pembuatan sebagian besar jenis layanan atau aplikasi berkluster, pengecualiannya adalah komputer virtual Hyper-V. Akun nama kluster diberikan izin yang diperlukan untuk mengontrol akun ini.

    Misalnya, jika Anda memiliki kluster yang disebut Cluster1 dan kemudian Anda membuat server file berkluster yang disebut FileServer1, wizard Ketersediaan Tinggi membuat akun komputer Direktori Aktif yang disebut FileServer1. Wizard Ketersediaan Tinggi juga memberi akun Cluster1 izin yang diperlukan untuk mengontrol akun FileServer1.

Tabel berikut ini menjelaskan izin yang diperlukan untuk akun ini.

Akun Detail tentang izin

Akun yang digunakan untuk membuat kluster

Memerlukan izin administratif pada server yang akan menjadi node kluster. Juga memerlukan izin Buat objek Komputer dan Baca Semua Properti dalam kontainer yang digunakan untuk akun komputer di domain.

Akun nama kluster (akun komputer kluster itu sendiri)

Saat wizard Buat Kluster dijalankan, wizard membuat akun nama kluster di kontainer default yang digunakan untuk akun komputer di domain. Secara default, akun nama kluster (seperti akun komputer lainnya) dapat membuat hingga sepuluh akun komputer di domain.

Jika Anda membuat akun nama kluster (objek nama kluster) sebelum membuat kluster—yaitu, prestage akun—Anda harus memberinya izin Buat objek Komputer dan Baca Semua Properti dalam kontainer yang digunakan untuk akun komputer di domain. Anda juga harus menonaktifkan akun, dan memberikan Kontrol Penuh pada akun yang akan digunakan oleh administrator yang menginstal kluster. Untuk informasi selengkapnya, lihat Langkah-langkah untuk prestaging akun nama kluster, nanti dalam panduan ini.

Akun komputer layanan atau aplikasi berkluster

Saat wizard Ketersediaan Tinggi dijalankan (untuk membuat layanan atau aplikasi berkluster baru), dalam kebanyakan kasus, akun komputer untuk layanan atau aplikasi terkluster dibuat di Direktori Aktif. Akun nama kluster diberikan izin yang diperlukan untuk mengontrol akun ini. Pengecualiannya adalah komputer virtual Hyper-V berkluster: tidak ada akun komputer yang dibuat untuk ini.

Jika Anda melakukan prestage akun komputer untuk layanan atau aplikasi terkluster, Anda harus mengonfigurasinya dengan izin yang diperlukan. Untuk informasi selengkapnya, lihat Langkah-langkah untuk prestaging akun untuk layanan atau aplikasi terkluster, nanti dalam panduan ini.

Catatan

Di versi Windows Server sebelumnya, ada akun untuk layanan Kluster. Karena Windows Server 2008, namun, layanan Kluster secara otomatis berjalan dalam konteks khusus yang menyediakan izin dan hak istimewa tertentu yang diperlukan untuk layanan (mirip dengan konteks sistem lokal, tetapi dengan hak istimewa yang dikurangi). Namun, akun lain diperlukan seperti yang dijelaskan dalam panduan ini.

Cara akun dibuat melalui wizard dalam pengklusteran failover

Diagram berikut mengilustrasikan penggunaan dan pembuatan akun komputer (objek Direktori Aktif) yang dijelaskan dalam sub bagian sebelumnya. Akun-akun ini mulai diputar ketika administrator menjalankan wizard Buat Kluster lalu menjalankan wizard Ketersediaan Tinggi (untuk mengonfigurasi layanan atau aplikasi terkluster).

Use and creation of computer accounts

Perhatikan bahwa diagram di atas menunjukkan satu administrator yang menjalankan wizard Buat Kluster dan wizard Ketersediaan Tinggi. Namun, ini bisa menjadi dua administrator yang berbeda menggunakan dua akun pengguna yang berbeda, jika kedua akun memiliki izin yang memadai. Izin dijelaskan secara lebih rinci dalam Persyaratan yang terkait dengan kluster failover, domain Direktori Aktif, dan akun, nanti dalam panduan ini.

Bagaimana masalah dapat mengakibatkan jika akun yang diperlukan oleh kluster diubah

Diagram berikut menggambarkan bagaimana masalah dapat mengakibatkan jika akun nama kluster (salah satu akun yang diperlukan oleh kluster) diubah setelah dibuat secara otomatis oleh wizard Buat Kluster.

Problems if cluster name is changed

Jika jenis masalah yang ditunjukkan dalam diagram terjadi, peristiwa tertentu (1193, 1194, 1206, atau 1207) masuk Pemantau Peristiwa. Untuk informasi selengkapnya tentang peristiwa ini, lihat https://go.microsoft.com/fwlink/?LinkId=118271.

Perhatikan bahwa masalah serupa dengan membuat akun untuk layanan atau aplikasi berkluster dapat terjadi jika kuota di seluruh domain untuk membuat objek komputer (secara default, 10) telah tercapai. Jika sudah, mungkin tepat untuk berkonsultasi dengan administrator domain tentang meningkatkan kuota, meskipun ini adalah pengaturan di seluruh domain dan harus diubah hanya setelah pertimbangan yang cermat, dan hanya setelah mengonfirmasi bahwa diagram sebelumnya tidak menjelaskan situasi Anda. Untuk informasi selengkapnya, lihat Memecahkan masalah yang disebabkan oleh perubahan di akun Active Directory terkait kluster.

Seperti yang dijelaskan dalam tiga bagian sebelumnya, persyaratan tertentu harus dipenuhi sebelum layanan dan aplikasi terkluster dapat berhasil dikonfigurasi pada kluster failover. Persyaratan paling mendasar menyangkut lokasi node kluster (dalam satu domain) dan tingkat izin akun orang yang menginstal kluster. Jika persyaratan ini terpenuhi, akun lain yang diperlukan oleh kluster dapat dibuat secara otomatis oleh wizard kluster failover. Daftar berikut ini menyediakan detail tentang persyaratan dasar ini.

  • Simpul: Semua simpul harus berada di domain Direktori Aktif yang sama. (Domain tidak dapat didasarkan pada Windows NT 4.0, yang tidak menyertakan Direktori Aktif.)

  • Akun orang yang menginstal kluster: Orang yang menginstal kluster harus menggunakan akun dengan karakteristik berikut:

    • Akun harus merupakan akun domain. Ini tidak harus menjadi akun administrator domain. Ini bisa menjadi akun pengguna domain jika memenuhi persyaratan lain dalam daftar ini.

    • Akun harus memiliki izin administratif pada server yang akan menjadi node kluster. Cara paling sederhana untuk menyediakan ini adalah dengan membuat akun pengguna domain, lalu menambahkan akun tersebut ke grup Administrator lokal di setiap server yang akan menjadi node kluster. Untuk informasi selengkapnya, lihat Langkah-langkah untuk mengonfigurasi akun untuk orang yang menginstal kluster, nanti dalam panduan ini.

    • Akun (atau grup tempat akun adalah anggota) harus diberi izin Buat objek Komputer dan Baca Semua Properti dalam kontainer yang digunakan untuk akun komputer di domain. Untuk informasi selengkapnya, lihat Langkah-langkah untuk mengonfigurasi akun untuk orang yang menginstal kluster, nanti dalam panduan ini.

    • Jika organisasi Anda memilih untuk melakukan prestage akun nama kluster (akun komputer dengan nama yang sama dengan kluster), akun nama kluster yang telah ditetapkan harus memberikan izin "Kontrol Penuh" ke akun orang yang menginstal kluster. Untuk detail penting lainnya tentang cara melakukan prestage akun nama kluster, lihat Langkah-langkah untuk prestaging akun nama kluster, nanti dalam panduan ini.

Merencanakan ke depan untuk pengaturan ulang kata sandi dan pemeliharaan akun lainnya

Administrator kluster failover terkadang perlu mengatur ulang kata sandi akun nama kluster. Tindakan ini memerlukan izin tertentu, izin Atur ulang kata sandi . Oleh karena itu, ini adalah praktik terbaik untuk mengedit izin akun nama kluster (dengan menggunakan snap-in Pengguna Direktori Aktif dan Komputer) untuk memberi administrator kluster izin Atur ulang kata sandi untuk akun nama kluster. Untuk informasi selengkapnya, lihat Memecahkan masalah kata sandi dengan akun nama kluster.

Langkah-langkah untuk mengonfigurasi akun untuk orang yang menginstal kluster

Akun orang yang menginstal kluster penting karena memberikan dasar dari mana akun komputer dibuat untuk kluster itu sendiri.

Keanggotaan grup minimum yang diperlukan untuk menyelesaikan prosedur berikut tergantung pada apakah Anda membuat akun domain dan menetapkannya izin yang diperlukan di domain, atau apakah Anda hanya menempatkan akun (dibuat oleh orang lain) ke dalam grup Administrator lokal di server yang akan menjadi simpul di kluster failover. Jika sebelumnya, keanggotaan di Operator Akun atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Jika yang terakhir, keanggotaan dalam grup Administrator lokal di server yang akan menjadi simpul di kluster failover, atau yang setara, adalah semua yang diperlukan. Tinjau detail tentang menggunakan akun dan keanggotaan grup yang sesuai di https://go.microsoft.com/fwlink/?LinkId=83477.

Untuk mengonfigurasi akun untuk orang yang menginstal kluster

  1. Membuat atau mendapatkan akun domain untuk orang yang menginstal kluster. Akun ini bisa menjadi akun pengguna domain atau akun Operator Akun. Jika Anda menggunakan akun pengguna standar, Anda harus memberinya beberapa izin tambahan nanti dalam prosedur ini.

  2. Jika akun yang dibuat atau diperoleh di langkah 1 tidak secara otomatis disertakan dalam grup Administrator lokal di komputer di domain, tambahkan akun ke grup Administrator lokal di server yang akan menjadi simpul di kluster failover:

    1. Klik Mulai, klik Alat Administratif, lalu klik Manajer Server.

    2. Di pohon konsol, perluas Konfigurasi, perluas Pengguna dan Grup Lokal, lalu perluas Grup.

    3. Di panel tengah, klik kanan Administrator, klik Tambahkan ke Grup, lalu klik Tambahkan.

    4. Di bawah Masukkan nama objek untuk dipilih, ketik nama akun pengguna yang dibuat atau diperoleh di langkah 1. Jika diminta, masukkan nama akun dan kata sandi dengan izin yang memadai untuk tindakan ini. Lalu klik OK.

    5. Ulangi langkah-langkah ini di setiap server yang akan menjadi node di kluster failover.

    Penting

    Langkah-langkah ini harus diulang pada semua server yang akan menjadi simpul dalam kluster.

  3. Jika akun yang dibuat atau diperoleh di langkah 1 adalah akun administrator domain, lewati sisa prosedur ini. Jika tidak, berikan akun izin Buat objek Komputer dan Baca Semua Properti dalam kontainer yang digunakan untuk akun komputer di domain:

    1. Pada pengendali domain, klik Mulai, klik Alat Administratif, lalu klik Pengguna Direktori Aktif dan Komputer. Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan bahwa tindakan yang ditampilkannya adalah apa yang Anda inginkan, lalu klik Lanjutkan.

    2. Pada menu Tampilan, pastikan Fitur Tingkat Lanjut dipilih.

      Saat Fitur Tingkat Lanjut dipilih, Anda dapat melihat tab Keamanan di properti akun (objek) di Pengguna Direktori Aktif dan Komputer.

    3. Klik kanan kontainer Komputer default atau kontainer default tempat akun komputer dibuat di domain Anda, lalu klik Properti. Komputer terletak di Pengguna Direktori Aktif dan Komputer/simpul domain/Komputer.

    4. Pada tab Keamanan , klik Tingkat Lanjut.

    5. Klik Tambahkan, ketik nama akun yang dibuat atau diperoleh di langkah 1, lalu klik OK.

    6. Dalam kotak dialog Entri Izin untukkontainer , temukan izin Buat objek Komputer dan Baca Semua Properti , dan pastikan bahwa kotak centang Perbolehkan dipilih untuk masing-masing objek.

      Screenshot that shows Create Computer objects option set to Allow.

Langkah-langkah untuk prestaging akun nama kluster

Biasanya lebih sederhana jika Anda tidak melakukan prestage akun nama kluster, tetapi sebaliknya memungkinkan akun dibuat dan dikonfigurasi secara otomatis saat Anda menjalankan wizard Buat Kluster. Namun, jika perlu melakukan prestage akun nama kluster karena persyaratan di organisasi Anda, gunakan prosedur berikut.

Keanggotaan dalam grup Admin Domain, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Tinjau detail tentang menggunakan akun dan keanggotaan grup yang sesuai di https://go.microsoft.com/fwlink/?LinkId=83477. Perhatikan bahwa Anda dapat menggunakan akun yang sama untuk prosedur ini seperti yang akan Anda gunakan saat membuat kluster.

Untuk melakukan prestage akun nama kluster

  1. Pastikan Anda mengetahui nama yang akan dimiliki kluster, dan nama akun pengguna yang akan digunakan oleh orang yang membuat kluster. (Perhatikan bahwa Anda dapat menggunakan akun tersebut untuk melakukan prosedur ini.)

  2. Pada pengendali domain, klik Mulai, klik Alat Administratif, lalu klik Pengguna Direktori Aktif dan Komputer. Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan bahwa tindakan yang ditampilkannya adalah apa yang Anda inginkan, lalu klik Lanjutkan.

  3. Di pohon konsol, klik kanan Komputer atau kontainer default tempat akun komputer dibuat di domain Anda. Komputer terletak di Pengguna Direktori Aktif dan Komputer/simpul domain/Komputer.

  4. Klik Baru lalu klik Komputer.

  5. Ketik nama yang akan digunakan untuk kluster failover, dengan kata lain, nama kluster yang akan ditentukan dalam wizard Buat Kluster, lalu klik OK.

  6. Klik kanan akun yang baru saja Anda buat, lalu klik Nonaktifkan Akun. Jika diminta untuk mengonfirmasi pilihan Anda, klik Ya.

    Akun harus dinonaktifkan sehingga ketika wizard Buat Kluster dijalankan, akun tersebut dapat mengonfirmasi bahwa akun yang akan digunakan untuk kluster saat ini tidak digunakan oleh komputer atau kluster yang ada di domain.

  7. Pada menu Tampilan, pastikan Fitur Tingkat Lanjut dipilih.

    Saat Fitur Tingkat Lanjut dipilih, Anda dapat melihat tab Keamanan di properti akun (objek) di Pengguna Direktori Aktif dan Komputer.

  8. Klik kanan folder yang Anda klik kanan di langkah 3, lalu klik Properti.

  9. Pada tab Keamanan , klik Tingkat Lanjut.

  10. Klik Tambahkan, klik Tipe Objek dan pastikan Komputerdipilih, lalu klik OK. Kemudian, di bawah Masukkan nama objek untuk dipilih, ketik nama akun komputer yang baru saja Anda buat, lalu klik OK. Jika pesan muncul, yang mengatakan bahwa Anda akan menambahkan objek yang dinonaktifkan, klik OK.

  11. Dalam kotak dialog Entri Izin, temukan izin Buat objek Komputer dan Baca Semua Properti , dan pastikan bahwa kotak centang Perbolehkan dipilih untuk masing-masing objek.

    Permission Entry dialog box

  12. Klik OK hingga Anda kembali ke snap-in Pengguna Direktori Aktif dan Komputer .

  13. Jika Anda menggunakan akun yang sama untuk melakukan prosedur ini seperti yang akan digunakan untuk membuat kluster, lewati langkah-langkah yang tersisa. Jika tidak, Anda harus mengonfigurasi izin sehingga akun pengguna yang akan digunakan untuk membuat kluster memiliki kontrol penuh atas akun komputer yang baru saja Anda buat:

    1. Pada menu Tampilan, pastikan Fitur Tingkat Lanjut dipilih.

    2. Klik kanan akun komputer yang baru saja Anda buat, lalu klik Properti.

    3. Pada tab Keamanan , klik Tambahkan. Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan bahwa tindakan yang ditampilkannya adalah apa yang Anda inginkan, lalu klik Lanjutkan.

    4. Gunakan kotak dialog Pilih Pengguna, Komputer, atau Grup untuk menentukan akun pengguna yang akan digunakan saat membuat kluster. Lalu klik OK.

    5. Pastikan bahwa akun pengguna yang baru saja Anda tambahkan dipilih, lalu, di samping Kontrol Penuh, pilih kotak centang Izinkan .

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

Langkah-langkah untuk prestaging akun untuk layanan atau aplikasi berkluster

Biasanya lebih sederhana jika Anda tidak melakukan prestage akun komputer untuk layanan atau aplikasi berkluster, tetapi sebaliknya memungkinkan akun dibuat dan dikonfigurasi secara otomatis saat Anda menjalankan wizard Ketersediaan Tinggi. Namun, jika perlu melakukan prestage akun karena persyaratan di organisasi Anda, gunakan prosedur berikut.

Keanggotaan dalam grup Operator Akun, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Tinjau detail tentang menggunakan akun dan keanggotaan grup yang sesuai di https://go.microsoft.com/fwlink/?LinkId=83477.

Untuk melakukan prestage akun untuk layanan atau aplikasi berkluster

  1. Pastikan Anda mengetahui nama kluster dan nama yang akan dimiliki layanan atau aplikasi terkluster.

  2. Pada pengendali domain, klik Mulai, klik Alat Administratif, lalu klik Pengguna Direktori Aktif dan Komputer. Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan bahwa tindakan yang ditampilkannya adalah apa yang Anda inginkan, lalu klik Lanjutkan.

  3. Di pohon konsol, klik kanan Komputer atau kontainer default tempat akun komputer dibuat di domain Anda. Komputer terletak di Pengguna Direktori Aktif dan Komputer/simpul domain/Komputer.

  4. Klik Baru lalu klik Komputer.

  5. Ketik nama yang akan Anda gunakan untuk layanan atau aplikasi berkluster, lalu klik OK.

  6. Pada menu Tampilan, pastikan Fitur Tingkat Lanjut dipilih.

    Saat Fitur Tingkat Lanjut dipilih, Anda dapat melihat tab Keamanan di properti akun (objek) di Pengguna Direktori Aktif dan Komputer.

  7. Klik kanan akun komputer yang baru saja Anda buat, lalu klik Properti.

  8. Pada tab Keamanan , klik Tambahkan.

  9. Klik Tipe Objek dan pastikan Komputer dipilih, lalu klik OK. Lalu, di bawah Masukkan nama objek untuk dipilih, ketik akun nama kluster, lalu klik OK. Jika pesan muncul, yang mengatakan bahwa Anda akan menambahkan objek yang dinonaktifkan, klik OK.

  10. Pastikan bahwa akun nama kluster dipilih, lalu, di samping Kontrol Penuh, pilih kotak centang Izinkan.

    Security tab

Untuk informasi selengkapnya, lihat Memecahkan masalah dengan akun yang digunakan oleh kluster failover.