Active Directory でクラスターのアカウントを構成する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Azure Stack HCI、バージョン 21H2 および 20H2

Windows Server では、フェールオーバー クラスターを作成し、クラスター化されたサービスまたはアプリケーションを構成すると、フェールオーバー クラスター ウィザードによって必要な Active Directory コンピューター アカウント (コンピューター オブジェクトとも呼ばれます) が作成され、特定のアクセス許可が付与されます。 ウィザードでは、クラスター自体のコンピューター アカウント (このアカウントはクラスター名オブジェクトまたは CNO とも呼ばれます) と、クラスター化されたサービスとアプリケーションのほとんどの種類のコンピューター アカウント (例外は Hyper-V 仮想マシン) が作成されます。 これらのアカウントのアクセス許可は、フェールオーバー クラスター ウィザードによって自動的に設定されます。 アクセス許可が変更された場合は、クラスターの要件に合わせて変更する必要があります。 このガイドでは、これらの Active Directory アカウントとアクセス許可について説明します、また、重要な理由についての背景情報を提供し、アカウントを構成および管理する手順について説明します。

フェールオーバー クラスターで必要な Active Directory アカウントの概要

このセクションでは、フェールオーバー クラスターに重要な Active Directory コンピューター アカウント (Active Directory コンピューター オブジェクトとも呼ばれます) について説明します。 これらのアカウントは次のとおりです。

  • クラスターの作成に使用するアカウント。 これは、クラスターの作成ウィザードを起動するために使用されるユーザー アカウントです。 アカウントは、クラスター自体に対してコンピューター アカウントが作成される基準を提供するため、重要です。

  • クラスター名アカウント。 (クラスター自体のコンピューター アカウント (クラスター名オブジェクトまたは CNO とも呼ばれます))。 このアカウントは、クラスターの作成ウィザードによって自動的に作成され、クラスターと同じ名前になります。 クラスター名アカウントは非常に重要です。このアカウントを使用すると、クラスターで新しいサービスとアプリケーションを構成するときに、他のアカウントが自動的に作成されるためです。 クラスター名アカウントが削除された場合、またはアクセス許可が失われた場合、クラスター名アカウントが復元されるか、適切なアクセス許可が回復されるまで、クラスターで要求された場合でも、他のアカウントを作成することはできません。

    たとえば、Cluster1 という名前のクラスターを作成し、PrintServer1 という名前のクラスター化されたプリント サーバーをクラスターに構成しようとすると、PrintServer1 の名前のコンピューター アカウントを作成するために使用できるように、Active Directory の Cluster1 アカウントに正しいアクセス許可を保持する必要があります。

    クラスター名アカウントは、Active Directory のコンピューター アカウントの既定のコンテナーに作成されます。 既定では、これは [コンピューター] コンテナーですが、ドメイン管理者は別のコンテナーまたは組織単位 (OU) にリダイレクトすることを選択できます。

  • クラスター化されたサービスまたはアプリケーションのコンピューター アカウント (コンピューター オブジェクト)。 これらのアカウントは、ほとんどの種類のクラスター化されたサービスまたはアプリケーションを作成するプロセスの一部として、高可用性ウィザードによって自動的に作成されます (Hyper-V 仮想マシンは例外です)。 これらのアカウントを制御するために必要なアクセス許可がクラスター名アカウントに付与されます。

    たとえば、Cluster1 という名前のクラスターがある場合に、FileServer1 という名前のクラスター化されたファイル サーバーを作成すると、高可用性ウィザードによって、FileServer1 の名前の Active Directory コンピューター アカウントが作成されます。 高可用性ウィザードでは、FileServer1 アカウントを制御するために必要なアクセス許可を Cluster1 アカウントに付与することもできます。

次の表では、これらのアカウントに必要なアクセス許可について説明します。

Account アクセス許可の詳細

クラスターの作成に使用するアカウント

クラスター ノードとなるサーバーの管理アクセス許可が必要です。 また、ドメイン内のコンピューター アカウントに使用されるコンテナーの [コンピューター オブジェクトの作成] および [すべてのプロパティの読み取り] アクセス許可も必要です。

クラスター名アカウント (クラスター自体のコンピューター アカウント)

クラスターの作成ウィザードを実行すると、ドメイン内のコンピューター アカウントに使用される既定のコンテナーにクラスター名アカウントが作成されます。 既定では、クラスター名アカウント (他のコンピューター アカウントと同様) では、ドメイン内に最大 10 個のコンピューター アカウントを作成できます。

クラスターを作成する前に、クラスター名アカウント (クラスター名オブジェクト) を作成する場合 (つまり、アカウントを事前設定する場合)、ドメイン内のコンピューター アカウントに使用されるコンテナーの [コンピューター オブジェクトの作成] および [すべてのプロパティの読み取り] アクセス許可を付与する必要があります。 また、アカウントを無効にし、クラスターをインストールする管理者が使用するアカウントに [フルコントロール] を付与する必要があります。 詳細については、このガイドで後述する「クラスター名アカウントを事前設定する手順」を参照してください。

クラスター化されたサービスまたはアプリケーションのコンピューター アカウント

(クラスター化された新しいサービスまたはアプリケーションを作成するために) 高可用性ウィザードを実行すると、ほとんどの場合、クラスター化されたサービスまたはアプリケーションのコンピューター アカウントが Active Directory に作成されます。 このアカウントを制御するために必要なアクセス許可がクラスター名アカウントに付与されます。 例外は、クラスター化された Hyper-V 仮想マシンです。これにはコンピューター アカウントが作成されません。

クラスター化されたサービスまたはアプリケーションのコンピューター アカウントを事前設定する場合は、必要なアクセス許可で構成する必要があります。 詳細については、このガイドで後述する「クラスター化されたサービスまたはアプリケーションのアカウントを事前設定する手順」を参照してください。

Note

以前のバージョンの Windows Server では、クラスター サービスのアカウントがありました。 これに対し、Windows Server 2008 以降では、クラスター サービスに必要な特定の許可と権限が付与される特別なコンテキスト (ローカル システム コンテキストに似ているが、これよりも特権が少ないコンテキスト) で、クラスター サービスが自動的に実行されます。 ただし、このガイドで説明されているように、他のアカウントが必要です。

フェールオーバー クラスタリングでウィザードを使用してアカウントを作成する方法

次の図は、前のサブセクションで説明したコンピューター アカウント (Active Directory オブジェクト) の使用方法と作成方法を示しています。 これらのアカウントは、(クラスター化されたサービスまたはアプリケーションを構成するために) 管理者がクラスターの作成ウィザードを実行し、高可用性ウィザードを実行したときに機能します。

Use and creation of computer accounts

上の図は、クラスターの作成ウィザードと高可用性ウィザードの両方を実行している 1 人の管理者を示していることに注意してください。 ただし、それぞれ異なるユーザー アカウントを使用する 2 人の管理者が、両方のアカウントに十分なアクセス許可を持っている可能性があります。 アクセス許可の詳細については、このガイドで後述する「フェールオーバー クラスター、Active Directory ドメイン、アカウントに関する要件」を参照してください。

クラスターで必要なアカウントが変更された場合にどのような問題が発生する可能性があるか

次の図は、クラスターの作成ウィザードでクラスター名アカウント (クラスターに必要なアカウントの 1 つ) が自動的に作成された後に、そのアカウントが変更されると、どのような問題が発生する可能性があるかを示しています。

Problems if cluster name is changed

図に示されている問題の種類が発生すると、特定のイベント (1193、1194、1206、1207) がイベント ビューアーに記録されます。 これらのイベントの詳細については、「https://go.microsoft.com/fwlink/?LinkId=118271」を参照してください。

コンピューター オブジェクト (既定では 10) を作成するためのドメイン全体のクォータに達した場合は、クラスター化されたサービスまたはアプリケーションのアカウントの作成に関する同様の問題が発生する可能性があることに注意してください。 この場合、クォータの増加についてドメイン管理者に相談することをお勧めします。ただし、これはドメイン全体の設定であるため、慎重に検討し、前の図で状況が説明されていないことを確認してから変更することをお勧めします。 詳細については、「クラスター関連の Active Directory アカウントの変更によって発生する問題のトラブルシューティング」を参照してください。

前の 3 つのセクションで説明したように、クラスター化されたサービスとアプリケーションをフェールオーバー クラスターで正常に構成するには、特定の要件を満たす必要があります。 最も基本的な要件は、クラスター ノードの場所 (1 つのドメイン内) と、クラスターをインストールするユーザーのアカウントのアクセス許可のレベルに関するものです。 これらの要件を満たしている場合は、フェールオーバー クラスター ウィザードによって、クラスターに必要なその他のアカウントが自動的に作成されます。 次の一覧に、これらの基本的な要件の詳細を示します。

  • ノード: すべてのクラスター ノードが同じ Active Directory ドメインにある必要があります。 (ドメインは、Active Directory を含まない Windows NT 4.0 に基づくことはできません。)

  • クラスターをインストールするユーザーのアカウント: クラスターをインストールするユーザーは、次の特性を持つアカウントを使用する必要があります。

    • このアカウントはドメイン アカウントである必要があります。 ドメイン管理者アカウントである必要はありません。 この一覧の他の要件を満たしている場合は、ドメイン ユーザー アカウントを使用できます。

    • アカウントには、クラスター ノードとなるサーバーの管理アクセス許可が必要です。 これを実現する最も簡単な方法は、ドメイン ユーザー アカウントを作成し、クラスター ノードとなる各サーバーのローカルの Administrators グループにそのアカウントを追加することです。 詳細については、このガイドで後述する「クラスターをインストールするユーザーのアカウントを構成する手順」を参照してください。

    • アカウント (またはアカウントがメンバーとなっているグループ) には、ドメイン内のコンピューター アカウントに使用されるコンテナーの [コンピューター オブジェクトの作成] および [すべてのプロパティの読み取り] アクセス許可が付与されている必要があります。 詳細については、このガイドで後述する「クラスターをインストールするユーザーのアカウントを構成する手順」を参照してください。

    • クラスター名アカウント (クラスターと同じ名前のコンピューター アカウント) を事前設定することを選択した場合、事前設定されたクラスター名アカウントは、クラスターをインストールするユーザーのアカウントに [フルコントロール] アクセス許可を付与する必要があります。 クラスター名アカウントを事前設定する方法に関するその他の重要な詳細については、このガイドで後述する「クラスター名アカウントを事前設定する手順」を参照してください。

パスワードのリセットとその他のアカウントのメンテナンスを事前に計画する

フェールオーバー クラスターの管理者は、クラスター名アカウントのパスワードのリセットが必要になることがあります。 この操作には、特定のアクセス許可の [パスワードのリセット] アクセス許可が必要です。 そのため、([Active Directory ユーザーとコンピュータース] ナップインを使用して) クラスター名アカウントのアクセス許可を編集し、ラスターの管理者に、クラスター名アカウントの [パスワードのリセット] アクセス許可を付与することをお勧めします。 詳細については、「クラスター名アカウントに関するパスワードの問題のトラブルシューティング」を参照してください。

クラスターをインストールするユーザーのアカウントを構成する手順

クラスターをインストールするユーザーのアカウントは、クラスター自体に対してコンピューター アカウントが作成される基準を提供するため、重要です。

次の手順を完了するために最低限必要なグループ メンバーシップは、ドメイン アカウントを作成して、ドメインに必要なアクセス許可を割り当てるか、または (他のユーザーによって作成された) アカウントをフェールオーバー クラスター内のノードとなるサーバーのローカルの Administrators グループのみに配置するかによって異なります。 前者では、この手順を実行するために、Account Operators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 後者では、フェールオーバー クラスター内のノードとなるサーバーのローカルの Administrators グループのメンバーシップ、またはそれと同等のメンバーシップがすべて必要です。 適切なアカウントとグループ メンバーシップの使用方法の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 を参照してください。

クラスターをインストールするユーザーのアカウントを構成するには

  1. クラスターをインストールするユーザーのアカウントを構成します。 このアカウントには、ドメイン ユーザー アカウントまたは アカウント オペレーター アカウントを使用できます。 標準ユーザー アカウントを使用する場合は、この手順で後述する、追加のアクセス許可を付与する必要があります。

  2. 手順 1 で作成または取得したアカウントが、ドメイン内のコンピューターのローカルの Administrators グループに自動的に含まれていない場合は、フェールオーバー クラスター内のノードとなるサーバーのローカルの Administrators グループにアカウントを追加します。

    1. [スタート] ボタンをクリックし、[管理ツール]、[サーバー マネージャー] の順にクリックします。

    2. コンソール ツリーで [構成][ローカル ユーザーとグループ] の順に展開してから、[グループ] を展開します。

    3. 中央のペインで、[管理者] を右クリックし、[グループに追加] をクリックして、[追加] をクリックします。

    4. [選択するオブジェクト名を入力してください] に、手順 1 で作成または取得したユーザー アカウントの名前を入力します。 メッセージが表示されたら、この操作に必要なアクセス許可を持つアカウント名とパスワードを入力します。 次に、 [OK] をクリックします

    5. フェールオーバー クラスター内のノードとなる各サーバーで、これらの手順を繰り返します。

    重要

    これらの手順は、クラスター内のノードとなるすべてのサーバーで繰り返す必要があります。

  3. 手順 1. で作成または取得したアカウントがドメイン管理者アカウントである場合は、この手順の残りの部分をスキップします。 それ以外の場合は、ドメイン内のコンピューター アカウントに使用されるコンテナーの [コンピューター オブジェクトの作成] および [すべてのプロパティの読み取り] アクセス許可をアカウントに付与します。

    1. ドメイン コントローラーで、[スタート][管理ツール][Active Directory ユーザーとコンピューター] の順にクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。

    2. [表示] メニューで、[拡張機能] がオンになっていることを確認します。

      [拡張機能] を選択すると、[Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。

    3. 既定の [コンピューター] コンテナー、またはドメイン内にコンピューター アカウントが作成される既定のコンテナーを右クリックし、[プロパティ] をクリックします。 [コンピューター]は、[Active Directory ユーザーとコンピューター]/[ドメイン ノード]/[コンピューター]にあります。

    4. [セキュリティ] タブで [詳細設定] をクリックします。

    5. [追加] をクリックし、手順 1 で作成または取得したユーザー アカウントの名前を入力して、[OK] をクリックします。

    6. [コンテナーアクセス許可エントリ] ダイアログ ボックスで、[コンピューター オブジェクトの作成] および [すべてのプロパティの読み取り] のアクセス許可を見つけ、それぞれに対して [許可] チェックボックスがオンになっていることを確認します。

      Screenshot that shows Create Computer objects option set to Allow.

クラスター名アカウントを事前設定する手順

通常は、クラスター名アカウントを事前設定せずに、クラスターの作成ウィザードを実行したときにアカウントを自動的に作成および構成できるようにする方が簡単です。 ただし、組織の要件により、クラスター名アカウントを事前設定する必要がある場合は、次の手順を使用します。

この手順を実行するには、Domain Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントとグループ メンバーシップの使用方法の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 を参照してください。 この手順では、クラスターの作成時に使用するのと同じアカウントを使用できることに注意してください。

クラスター名アカウントを事前設定するには

  1. クラスターの名前と、クラスターの作成者が使用するユーザー アカウントの名前がわかっていることを確認してください。 (このアカウントを使用して、この手順を実行できることに注意してください。)

  2. ドメイン コントローラーで、[スタート][管理ツール][Active Directory ユーザーとコンピューター] の順にクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。

  3. コンソール ツリーで、[コンピューター] を右クリックするか、ドメイン内にコンピューター アカウントが作成される既定のコンテナーを右クリックします。 [コンピューター]は、[Active Directory ユーザーとコンピューター]/[ドメイン ノード]/[コンピューター]にあります。

  4. [新規作成][コンピューター] の順にクリックします。

  5. フェールオーバー クラスターに使用する名前 (つまり、クラスターの作成ウィザードで指定するクラスター名) を入力し、[OK] をクリックします。

  6. 直前に作成したアカウントを右クリックし、[アカウントを無効にする] をクリックします。 選択内容を確認するメッセージが表示されたら、[はい] をクリックします。

    このアカウントは無効にする必要があります。これにより、クラスターの作成ウィザードを実行するときに、クラスターに使用するアカウントが、ドメイン内の既存のコンピューターまたはクラスターによって現在使用されていないことを確認できます。

  7. [表示] メニューで、[拡張機能] がオンになっていることを確認します。

    [拡張機能] を選択すると、[Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。

  8. 手順 3 で右クリックしたフォルダーを右クリックし、[プロパティ] をクリックします。

  9. [セキュリティ] タブで [詳細設定] をクリックします。

  10. [追加] をクリックし、[オブジェクトの種類] をクリックして、[コンピューター] が選択されていることを確認してから、[OK] をクリックします。 次に、[選択するオブジェクト名を入力してください] に、作成したコンピューター アカウントの名前を入力し、[OK] をクリックします。 無効なオブジェクトを追加しようとしているというメッセージが表示された場合は、[OK] をクリックします。

  11. [アクセス許可エントリ] ダイアログ ボックスで、[コンピューター オブジェクトの作成] および [すべてのプロパティの読み取り] のアクセス許可を見つけ、それぞれに対して [許可] チェックボックスがオンになっていることを確認します。

    Permission Entry dialog box

  12. [Active Directory ユーザーとコンピューター] スナップインに戻るまで、[OK] をクリックします。

  13. クラスターの作成に使用するのと同じアカウントを使用して、この手順を実行する場合は、残りの手順を省略します。 それ以外の場合は、クラスターの作成に使用されるユーザー アカウントが、作成したコンピューター アカウントのフル コントロールを持つように、アクセス許可を構成する必要があります。

    1. [表示] メニューで、[拡張機能] がオンになっていることを確認します。

    2. 作成したコンピューター アカウントを右クリックし、[プロパティ] をクリックします。

    3. [セキュリティ] タブで [追加] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。

    4. [ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスを使用して、クラスターの作成時に使用されるユーザー アカウントを指定します。 次に、 [OK] をクリックします

    5. 追加したユーザー アカウントまたはグループを選択し、[フル コントロール]の横にある [許可] チェック ボックスをオンにします。

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

クラスター化されたサービスまたはアプリケーションのアカウントを事前設定する手順

通常は、クラスター化されたサービスまたはアプリケーションのコンピューター アカウントを事前設定せずに、高可用性ウィザードを実行したときにアカウントを自動的に作成および構成できるようにする方が簡単です。 ただし、組織の要件により、アカウントを事前設定する必要がある場合は、次の手順を使用します。

この手順を実行するには、Account Operators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントとグループ メンバーシップの使用方法の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 を参照してください。

クラスター化されたサービスまたはアプリケーションのアカウントを事前設定するには

  1. クラスターの名前と、クラスター化されたサービスまたはアプリケーションに使用する名前を確認します。

  2. ドメイン コントローラーで、[スタート][管理ツール][Active Directory ユーザーとコンピューター] の順にクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。

  3. コンソール ツリーで、[コンピューター] を右クリックするか、ドメイン内にコンピューター アカウントが作成される既定のコンテナーを右クリックします。 [コンピューター]は、[Active Directory ユーザーとコンピューター]/[ドメイン ノード]/[コンピューター]にあります。

  4. [新規作成][コンピューター] の順にクリックします。

  5. クラスター化されたサービスまたはアプリケーションに使用する名前を入力し、[OK] をクリックします。

  6. [表示] メニューで、[拡張機能] がオンになっていることを確認します。

    [拡張機能] を選択すると、[Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。

  7. 作成したコンピューター アカウントを右クリックし、[プロパティ] をクリックします。

  8. [セキュリティ] タブで [追加] をクリックします。

  9. [オブジェクトの種類] をクリックし、[コンピューター] が選択されていることを確認してから、[OK] をクリックします。 次に、[選択するオブジェクト名を入力してください] にクラスター名アカウントを入力し、[OK] をクリックします。 無効なオブジェクトを追加しようとしているというメッセージが表示された場合は、[OK] をクリックします。

  10. クラスター名アカウントが選択されていることを確認し、[フル コントロール]の横にある [許可] チェック ボックスをオンにします。

    Security tab

詳細については、「フェールオーバー クラスターで使用されるアカウントに関する問題のトラブルシューティング」を参照してください。