Condividi tramite

Configurazione di account di cluster in Active Directory

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Azure Stack HCI, versioni 21H2 e 20H2

In Windows Server, quando si crea un cluster di failover e si configurano servizi o applicazioni in cluster, le procedure guidate del cluster di failover creano gli account computer di Active Directory necessari (detti anche oggetti computer) e assegnano loro autorizzazioni specifiche. Le procedure guidate creano un account computer per il cluster stesso (questo account è detto anche oggetto nome cluster o CNO) e un account computer per la maggior parte dei tipi di servizi e applicazioni in cluster, l'eccezione è una macchina virtuale Hyper-V. Le autorizzazioni per questi account vengono impostate automaticamente dalle procedure guidate del cluster di failover. Se le autorizzazioni vengono modificate, dovranno essere modificate per soddisfare i requisiti del cluster. Questa guida descrive questi account e autorizzazioni di Active Directory, fornisce informazioni generali sul motivo per cui sono importanti e descrive i passaggi per la configurazione e la gestione degli account.

Panoramica degli account Active Directory necessari per un cluster di failover

Questa sezione descrive gli account computer di Active Directory (detti anche oggetti computer di Active Directory) importanti per un cluster di failover. Questi account sono:

  • Account utente usato per creare il cluster. Si tratta dell'account utente usato per avviare la creazione guidata cluster. L'account è importante perché fornisce la base da cui viene creato un account computer per il cluster stesso.

  • Account del nome del cluster. (l'account computer del cluster stesso, chiamato anche oggetto nome cluster o CNO). Questo account viene creato automaticamente dalla Creazione guidata cluster e ha lo stesso nome del cluster. L'account del nome del cluster è molto importante, perché tramite questo account vengono creati automaticamente altri account durante la configurazione di nuovi servizi e applicazioni nel cluster. Se l'account del nome del cluster viene eliminato o le autorizzazioni vengono rimosse, non è possibile creare altri account come richiesto dal cluster, finché l'account del nome del cluster non viene ripristinato o le autorizzazioni corrette vengono ripristinate.

    Ad esempio, se si crea un cluster denominato Cluster1 e quindi si tenta di configurare un server di stampa cluster denominato PrintServer1 nel cluster, l'account Cluster1 in Active Directory dovrà conservare le autorizzazioni corrette in modo che possa essere usato per creare un account computer denominato PrintServer1.

    L'account del nome del cluster viene creato nel contenitore predefinito per gli account computer in Active Directory. Per impostazione predefinita si tratta del contenitore "Computer", ma l'amministratore di dominio può scegliere di reindirizzarlo a un altro contenitore o a un'unità organizzativa.

  • Account computer (oggetto computer) di un servizio o di un'applicazione in cluster. Questi account vengono creati automaticamente dalla procedura guidata disponibilità elevata come parte del processo di creazione della maggior parte dei tipi di servizi o applicazioni in cluster, l'eccezione è una macchina virtuale Hyper-V. All'account del nome del cluster vengono concesse le autorizzazioni necessarie per controllare questi account.

    Ad esempio, se si dispone di un cluster denominato Cluster1 e quindi si crea un file server cluster denominato FileServer1, la creazione guidata disponibilità elevata crea un account computer Active Directory denominato FileServer1. La procedura guidata disponibilità elevata concede inoltre all'account Cluster1 le autorizzazioni necessarie per controllare l'account FileServer1.

Nella tabella seguente vengono descritte le autorizzazioni necessarie per questi account.

Conto Dettagli sulle autorizzazioni

Account usato per creare il cluster

Richiede autorizzazioni amministrative per i server che diventeranno nodi del cluster. Sono inoltre necessarie le autorizzazioni Crea oggetti computer e Leggi tutte le proprietà nel contenitore usato per gli account computer nel dominio.

Account del nome del cluster (account computer del cluster stesso)

Quando viene eseguita la creazione guidata cluster, crea l'account del nome del cluster nel contenitore predefinito usato per gli account computer nel dominio. Per impostazione predefinita, l'account del nome del cluster (come altri account computer) può creare fino a dieci account computer nel dominio.

Se si crea l'account del nome del cluster (oggetto nome cluster) prima di creare il cluster, ovvero pre-installare l'account, è necessario assegnargli le autorizzazioni Crea oggetti computer e Leggi tutte le proprietà nel contenitore usato per gli account computer nel dominio. È anche necessario disabilitare l'account e assegnarne il Controllo completo all'account che verrà usato dall'amministratore che installa il cluster. Per maggiori informazioni, consultare la sezione Passaggi per la pre-installazione dell'account del nome del cluster più avanti in questa guida.

Account computer di un servizio o di un'applicazione in cluster

Quando viene eseguita la procedura guidata a disponibilità elevata (per creare un nuovo servizio o un'applicazione in cluster), nella maggior parte dei casi viene creato un account computer per il servizio o l'applicazione in cluster in Active Directory. All'account del nome del cluster vengono concesse le autorizzazioni necessarie per controllare questo account. L'eccezione è una macchina virtuale Hyper-V in cluster: per questa operazione non viene creato alcun account computer.

Se si pre-installa l'account computer per un servizio o un'applicazione in cluster, è necessario configurarlo con le autorizzazioni necessarie. Per maggiori informazioni, consultare la sezione Passaggi per la pre-installazione di un account per un servizio o un'applicazione in cluster più avanti in questa guida.

Nota

Nelle versioni precedenti di Windows Server, era presente un account per il servizio Cluster. Dal momento che Windows Server 2008, tuttavia, il servizio cluster viene eseguito automaticamente in un contesto speciale che fornisce le autorizzazioni e i privilegi specifici necessari per il servizio (simile al contesto di sistema locale, ma con privilegi ridotti). Altri account sono tuttavia necessari, come descritto in questa guida.

Modalità di creazione degli account tramite procedure guidate nel clustering di failover

Il diagramma seguente illustra l'uso e la creazione di account computer (oggetti Active Directory) descritti nella sottosezione precedente. Questi account vengono eseguiti quando un amministratore esegue la Creazione guidata cluster e quindi esegue la procedura guidata disponibilità elevata (per configurare un servizio o un'applicazione in cluster).

Use and creation of computer accounts

Si noti che il diagramma precedente mostra un singolo amministratore che esegue sia la creazione guidata cluster che la procedura guidata Disponibilità elevata. Tuttavia, potrebbe trattarsi di due amministratori diversi che usano due account utente diversi, se entrambi gli account hanno autorizzazioni sufficienti. Le autorizzazioni sono descritte in dettaglio in Requisiti relativi a cluster di failover, domini di Active Directory e account, più avanti in questa guida.

Come possono verificarsi problemi se gli account necessari per il cluster vengono modificati

Il diagramma seguente illustra come possono verificarsi problemi se l'account del nome del cluster (uno degli account richiesti dal cluster) viene modificato dopo la creazione automatica della creazione guidata cluster.

Problems if cluster name is changed

Se si verifica il tipo di problema visualizzato nel diagramma, viene Visualizzatore eventi registrato un determinato evento (1193, 1194, 1206 o 1207). Per altre informazioni su questi eventi, vedere https://go.microsoft.com/fwlink/?LinkId=118271.

Si noti che un problema simile alla creazione di un account per un servizio o un'applicazione in cluster può verificarsi se è stata raggiunta la quota a livello di dominio per la creazione di oggetti computer (per impostazione predefinita, 10). In caso affermativo, potrebbe essere opportuno rivolgersi all'amministratore di dominio per aumentare la quota, anche se si tratta di un'impostazione a livello di dominio e deve essere modificata solo dopo un'attenta considerazione e solo dopo aver confermato che il diagramma precedente non descrive la situazione. Per maggiori informazioni, consultare la sezione Risolvere i problemi causati dalle modifiche apportate agli account Active Directory correlati al cluster.

Come descritto nelle tre sezioni precedenti, è necessario soddisfare determinati requisiti prima che i servizi e le applicazioni in cluster possano essere configurati correttamente in un cluster di failover. I requisiti di base riguardano la posizione dei nodi del cluster (all'interno di un singolo dominio) e il livello di autorizzazioni dell'account della persona che installa il cluster. Se questi requisiti sono soddisfatti, gli altri account richiesti dal cluster possono essere creati automaticamente dalle procedure guidate del cluster di failover. L'elenco seguente fornisce informazioni dettagliate su questi requisiti di base.

  • Nodi: tutti i nodi del cluster devono trovarsi nello stesso dominio Active Directory. Il dominio non può essere basato su Windows NT 4.0, che non include Active Directory.

  • Account della persona che installa il cluster: la persona che installa il cluster deve usare un account con le caratteristiche seguenti:

    • L'account deve essere un account di dominio. Non deve essere un account amministratore di dominio. Può essere un account utente di dominio se soddisfa gli altri requisiti in questo elenco.

    • L'account deve disporre di autorizzazioni amministrative per i server che diventeranno nodi del cluster. Il modo più semplice per fornire questo approccio consiste nel creare un account utente di dominio e quindi aggiungere tale account al gruppo locale Amministratori locale in ognuno dei server che diventeranno nodi del cluster. Per maggiori informazioni, consultare la sezione Passaggi per la configurazione dell'account per la persona che installa il cluster più avanti in questa guida.

    • All'account (o il gruppo di cui l'account è membro) devono essere assegnate le autorizzazioni Crea oggetti computer e Leggi tutte le proprietà nel contenitore usato per gli account computer nel dominio. Per maggiori informazioni, consultare la sezione Passaggi per la configurazione dell'account per la persona che installa il cluster più avanti in questa guida.

    • Se l'organizzazione sceglie di pre-installare l'account del nome del cluster (un account computer con lo stesso nome del cluster), l'account del nome del cluster pre-installato deve concedere l'autorizzazione "Controllo completo" all'account della persona che installa il cluster. Per maggiori dettagli importanti su come pre-installare l'account del nome del cluster, consultare la sezione Passaggi per la pre-installazione dell'account del nome del cluster più avanti in questa guida.

Pianificazione in anticipo per la reimpostazione della password e altre operazioni di manutenzione dell'account

Gli amministratori dei cluster di failover potrebbero talvolta dover reimpostare la password dell'account del nome del cluster. Questa azione richiede un'autorizzazione specifica, ovvero l'autorizzazione Reimposta password. Pertanto, è consigliabile modificare le autorizzazioni dell'account del nome del cluster (usando lo snap-in Utenti e computer di Active Directory) per concedere agli amministratori del cluster l'autorizzazione Reimposta password per l'account del nome del cluster. Per maggiori informazioni, consultare la sezione Risolvere i problemi relativi alle password con l'account del nome del cluster.

Procedura per la configurazione dell'account per l'utente che installa il cluster

L'account della persona che installa il cluster è importante perché fornisce la base da cui viene creato un account computer per il cluster stesso.

L'appartenenza minima al gruppo necessaria per completare la procedura seguente dipende dal fatto che si stia creando l'account di dominio e assegnando le autorizzazioni necessarie nel dominio o se si inserisce solo l'account (creato da un altro utente) nel gruppo locale Amministratori nei server che saranno nodi nel cluster di failover. In quel caso, l'appartenenza a Operatori account o equivalenti è il requisito minimo per eseguire questa procedura. In questo caso, l'appartenenza al gruppo locale Amministratori nei server che saranno nodi nel cluster di failover o equivalente è tutto ciò che è necessario. Consulta i dettagli sull'utilizzo degli account appropriati e delle appartenenze ai gruppi all'indirizzo https://go.microsoft.com/fwlink/?LinkId=83477.

Per configurare l'account per la persona che installa il cluster

  1. Creare o ottenere un account di dominio per la persona che installa il cluster. Questo account può essere un account utente di dominio o un account Operatori account. Se si usa un account utente standard, sarà necessario concedere alcune autorizzazioni aggiuntive più avanti in questa procedura.

  2. Se l'account creato o ottenuto nel passaggio 1 non viene incluso automaticamente nel gruppo locale Amministratori nei computer del dominio, aggiungere l'account al gruppo locale Amministratori nei server che saranno nodi nel cluster di failover:

    1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazionee quindi Server Manager.

    2. Nell'albero della console, espandere Configurazione, espandere Utenti e gruppi locali, quindi espandere Gruppi.

    3. Nel riquadro centrale, fare clic con il pulsante destro del mouse su Amministratori, fare clic su Aggiungi al gruppo, quindi fare clic su Aggiungi.

    4. In Immettere i nomi degli oggetti da selezionare, digitare il nome dell'account utente creato o ottenuto nel passaggio 1. Se richiesto, immettere un nome account e una password con autorizzazioni sufficienti per questa azione. Quindi fare clic su OK.

    5. Ripetere questi passaggi in ogni server che sarà un nodo nel cluster di failover.

    Importante

    Questi passaggi devono essere ripetuti in tutti i server che saranno nodi del cluster.

  3. Se l'account creato od ottenuto nel passaggio 1 è un account amministratore di dominio, ignorare il resto di questa procedura. In caso contrario, assegnare all'account le autorizzazioni Crea oggetti computer e Leggi tutte le proprietà nel contenitore usato per gli account computer nel dominio:

    1. Nel controller di dominio, fare clic su Avvio, fare clic su Strumenti amministrativi, quindi su Utenti e computer Active Directory. Se viene visualizzata la finestra di dialogo Controllo account utente , confermare che l'azione visualizzata è quella desiderata e scegliere Continua.

    2. Nel menu Visualizza assicurarsi che Funzionalità avanzate sia selezionato.

      Quando Funzionalità avanzate è selezionato, è possibile visualizzare la scheda Sicurezza nelle proprietà degli account (oggetti) in Utenti e computer Active Directory.

    3. Fare clic con il pulsante destro del mouse sul contenitore predefinitoComputer o sul contenitore predefinito in cui gli account computer vengono creati nel dominio, quindi fare clic su Proprietà. Computer si trova in Utenti e computer Active Directory/nodo di dominio/Computer.

    4. Nella scheda Sicurezza fare clic su Avanzate.

    5. Fare clic su Aggiungi, digitare il nome dell'account creato o ottenuto nel passaggio 1 e quindi fare clic su OK.

    6. Nella finestra di dialogo Voce autorizzazione per contenitore, individuare le autorizzazioni Crea oggetti computer e Leggi tutte le proprietà e assicurarsi che la casella di controllo Consenti sia selezionata per entrambe.

      Screenshot that shows Create Computer objects option set to Allow.

Passaggi per la pre-installazione dell'account del nome del cluster

In genere è più semplice se non si pre-installare l'account del nome del cluster, ma si consente invece di creare e configurare automaticamente l'account quando si esegue la Creazione guidata cluster. Tuttavia, se è necessario pre-installare l'account del nome del cluster a causa dei requisiti dell'organizzazione, usare la procedura seguente.

L'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente è il requisito minimo per completare la procedura. Consulta i dettagli sull'utilizzo degli account appropriati e delle appartenenze ai gruppi all'indirizzo https://go.microsoft.com/fwlink/?LinkId=83477. Si noti che è possibile usare lo stesso account per questa procedura da usare durante la creazione del cluster.

Per pre-installare un account del nome del cluster

  1. Assicurarsi di conoscere il nome che il cluster avrà e il nome dell'account utente che verrà usato dalla persona che crea il cluster. Si noti che è possibile usare tale account per eseguire questa procedura.

  2. Nel controller di dominio, fare clic su Avvio, fare clic su Strumenti amministrativi, quindi su Utenti e computer Active Directory. Se viene visualizzata la finestra di dialogo Controllo account utente , confermare che l'azione visualizzata è quella desiderata e scegliere Continua.

  3. Nell'albero della console fare clic con il pulsante destro del mouse su Computer o sul contenitore predefinito in cui vengono creati gli account computer nel dominio. Computer si trova in Utenti e computer Active Directory/nodo di dominio/Computer.

  4. Fare clic su Nuovo, quindi su PySpark.

  5. Digitare il nome che verrà usato per il cluster di failover, in altre parole, il nome del cluster che verrà specificato nella Creazione guidata cluster e quindi fare clic su OK.

  6. Fare clic con il pulsante destro del mouse sull'account computer appena creato, quindi fare clic su Disabilita account. Se viene richiesto di confermare la scelta, fare clic su .

    L'account deve essere disabilitato in modo che, quando viene eseguita la procedura guidata Crea cluster, possa confermare che l'account che verrà utilizzato per il cluster non è attualmente utilizzato da un computer o da un cluster esistente nel dominio.

  7. Nel menu Visualizza assicurarsi che Funzionalità avanzate sia selezionato.

    Quando Funzionalità avanzate è selezionato, è possibile visualizzare la scheda Sicurezza nelle proprietà degli account (oggetti) in Utenti e computer Active Directory.

  8. Fare clic con il pulsante destro del mouse sulla cartella su cui si è fatto clic con il pulsante destro del mouse nel passaggio 3, quindi fare clic su Proprietà.

  9. Nella scheda Sicurezza fare clic su Avanzate.

  10. Fare clic su Aggiungi, fare clic su Tipi oggetto e assicurarsi che Computer sia selezionato, quindi fare clic su OK. Quindi, in Immettere il nome dell'oggetto da selezionare, digitare il nome dell'account computer appena creato e quindi fare clic su OK. Se viene visualizzato un messaggio che indica che si sta per aggiungere un oggetto disabilitato, fare clic su OK.

  11. Nella finestra di dialogo Voce di autorizzazione, individuare le autorizzazioni Crea oggetti computer e Leggi tutte le proprietà e assicurarsi che la casella di controllo Consenti sia selezionata per entrambe.

    Permission Entry dialog box

  12. Fare clic su OK fino a tornare allo snap-in Utenti e computer Active Directory.

  13. Se si usa lo stesso account per eseguire questa procedura, come verrà usato per creare il cluster, ignorare i passaggi rimanenti. In caso contrario, è necessario configurare le autorizzazioni in modo che l'account utente che verrà usato per creare il cluster abbia il controllo completo dell'account computer appena creato:

    1. Nel menu Visualizza assicurarsi che Funzionalità avanzate sia selezionato.

    2. Fare clic con il pulsante destro del mouse sull'account computer appena creato, quindi fare clic su Proprietà.

    3. Nella scheda Sicurezza fare clic su Aggiungi. Se viene visualizzata la finestra di dialogo Controllo account utente , confermare che l'azione visualizzata è quella desiderata e scegliere Continua.

    4. Usare la finestra di dialogo Seleziona utenti, computer o gruppi per specificare l'account utente che verrà usato durante la creazione del cluster. Quindi fare clic su OK.

    5. Assicurarsi che l'account utente appena aggiunto sia selezionato, quindi, accanto a Controllo completo, selezionare la casella di controllo Consenti.

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

Procedura per la pre-installazione di un account per un servizio o un'applicazione in cluster

In genere è più semplice se non si pre-installa l'account computer per un servizio o un'applicazione in cluster, ma consente invece di creare e configurare automaticamente l'account quando si esegue la procedura guidata disponibilità elevata. Tuttavia, se è necessario pre-installare gli account a causa dei requisiti dell'organizzazione, usare la procedura seguente.

Il requisito minimo per completare questa procedura è l'appartenenza al gruppo locale Operatori account o a un gruppo equivalente. Consulta i dettagli sull'utilizzo degli account appropriati e delle appartenenze ai gruppi all'indirizzo https://go.microsoft.com/fwlink/?LinkId=83477.

Per pre-installare un account per un servizio o un'applicazione in cluster

  1. Assicurarsi di conoscere il nome del cluster e il nome che avrà il servizio o l'applicazione cluster.

  2. Nel controller di dominio, fare clic su Avvio, fare clic su Strumenti amministrativi, quindi su Utenti e computer Active Directory. Se viene visualizzata la finestra di dialogo Controllo account utente , confermare che l'azione visualizzata è quella desiderata e scegliere Continua.

  3. Nell'albero della console fare clic con il pulsante destro del mouse su Computer o sul contenitore predefinito in cui vengono creati gli account computer nel dominio. Computer si trova in Utenti e computer Active Directory/nodo di dominio/Computer.

  4. Fare clic su Nuovo, quindi su PySpark.

  5. Digitare il nome che verrà usato per il servizio o l'applicazione in cluster, quindi fare clic su OK.

  6. Nel menu Visualizza assicurarsi che Funzionalità avanzate sia selezionato.

    Quando Funzionalità avanzate è selezionato, è possibile visualizzare la scheda Sicurezza nelle proprietà degli account (oggetti) in Utenti e computer Active Directory.

  7. Fare clic con il pulsante destro del mouse sull'account computer appena creato, quindi fare clic su Proprietà.

  8. Nella scheda Sicurezza fare clic su Aggiungi.

  9. Fare clic su Tipi oggetto e assicurarsi che Computer sia selezionato, quindi fare clic su OK. Fare clic su Aggiungi, fare clic su Tipi oggetto e assicurarsi che Computer sia selezionato, quindi fare clic su OK. Quindi, in Immettere il nome dell'oggetto da selezionare, digitare l'account del nome del cluster e quindi fare clic su OK. Se viene visualizzato un messaggio che indica che si sta per aggiungere un oggetto disabilitato, fare clic su OK.

  10. Verificare che l'oggetto nome cluster sia selezionato, quindi, accanto a Controllo completo, selezionare la casella di controllo Consenti.

    Security tab

Per maggiori informazioni, consultare la sezione Risolvere i problemi relativi agli account usati dai cluster di failover.