Active Directory でクラスターのアカウントを構成するConfiguring cluster accounts in Active Directory

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、および Windows Server 2008Applies to: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008

Windows Server では、フェールオーバークラスターを作成し、クラスター化されたサービスまたはアプリケーションを構成すると、フェールオーバークラスターウィザードによって必要な Active Directory コンピューターアカウント (コンピューターオブジェクトとも呼ばれます) が作成され、特定のアクセス許可が付与されます。In Windows Server, when you create a failover cluster and configure clustered services or applications, the failover cluster wizards create the necessary Active Directory computer accounts (also called computer objects) and give them specific permissions. ウィザードは、クラスター自体のコンピューターアカウント (このアカウントはクラスター名オブジェクトまたは CNO とも呼ばれます) と、クラスター化されたサービスとアプリケーションのほとんどの種類のコンピューターアカウント (Hyper-v 仮想マシン) を作成します。The wizards create a computer account for the cluster itself (this account is also called the cluster name object or CNO) and a computer account for most types of clustered services and applications, the exception being a Hyper-V virtual machine. これらのアカウントのアクセス許可は、フェールオーバークラスターウィザードによって自動的に設定されます。The permissions for these accounts are set automatically by the failover cluster wizards. アクセス許可が変更された場合は、クラスターの要件に合わせて変更する必要があります。If the permissions are changed, they will need to be changed back to match cluster requirements. このガイドでは、これらの Active Directory アカウントとアクセス許可について説明し、重要な理由についての背景情報を提供し、アカウントを構成および管理する手順について説明します。This guide describes these Active Directory accounts and permissions, provides background about why they are important, and describes steps for configuring and managing the accounts.

フェールオーバークラスターで必要とされる Active Directory アカウントの概要Overview of Active Directory accounts needed by a failover cluster

このセクションでは、フェールオーバークラスターにとって重要な Active Directory コンピューターアカウント (Active Directory コンピューターオブジェクト) について説明します。This section describes the Active Directory computer accounts (also called Active Directory computer objects) that are important for a failover cluster. これらのアカウントは次のとおりです。These accounts are as follows:

  • クラスターの作成に使用されたユーザーアカウント。The user account used to create the cluster. これは、クラスターの作成ウィザードを起動するために使用されるユーザーアカウントです。This is the user account used to start the Create Cluster wizard. このアカウントは、クラスター自体に対してコンピューターアカウントを作成するための基礎を提供するため、重要です。The account is important because it provides the basis from which a computer account is created for the cluster itself.

  • クラスター名アカウント。The cluster name account. (クラスター自体のコンピューターアカウント (クラスター名オブジェクトまたは CNO とも呼ばれます)。(the computer account of the cluster itself, also called the cluster name object or CNO). このアカウントは、クラスターの作成ウィザードによって自動的に作成され、クラスターと同じ名前になります。This account is created automatically by the Create Cluster wizard and has the same name as the cluster. クラスター名アカウントは非常に重要です。このアカウントを使用すると、クラスターで新しいサービスとアプリケーションを構成するときに、他のアカウントが自動的に作成されるためです。The cluster name account is very important, because through this account, other accounts are automatically created as you configure new services and applications on the cluster. クラスター名アカウントが削除された場合、またはアクセス許可が失われた場合、クラスター名アカウントが復元されるか、適切なアクセス許可が復元されるまで、他のアカウントをクラスターで要求されたように作成することはできません。If the cluster name account is deleted or permissions are taken away from it, other accounts cannot be created as required by the cluster, until the cluster name account is restored or the correct permissions are reinstated.

    たとえば、Cluster1 という名前のクラスターを作成し、クラスター上で PrintServer1 という名前のクラスター化されたプリントサーバーを構成しようとすると、Active Directory の Cluster1 アカウントは、PrintServer1 という名前のコンピューターアカウントを作成するために使用できるように、正しいアクセス許可を保持する必要があります。For example, if you create a cluster called Cluster1 and then try to configure a clustered print server called PrintServer1 on your cluster, the Cluster1 account in Active Directory will need to retain the correct permissions so that it can be used to create a computer account called PrintServer1.

    クラスター名アカウントは、Active Directory のコンピューターアカウントの既定のコンテナーに作成されます。The cluster name account is created in the default container for computer accounts in Active Directory. 既定では、これは "Computers" コンテナーですが、ドメイン管理者は別のコンテナーまたは組織単位 (OU) にリダイレクトすることを選択できます。By default this is the "Computers" container, but the domain administrator can choose to redirect it to another container or organizational unit (OU).

  • クラスター化されたサービスまたはアプリケーションのコンピューターアカウント (コンピューターオブジェクト)。The computer account (computer object) of a clustered service or application. これらのアカウントは、多くの種類のクラスター化されたサービスまたはアプリケーションを作成するプロセスの一部として、高可用性ウィザードによって自動的に作成されます。ただし、Hyper-v 仮想マシンの場合は例外です。These accounts are created automatically by the High Availability wizard as part of the process of creating most types of clustered services or application, the exception being a Hyper-V virtual machine. クラスター名アカウントには、これらのアカウントを制御するために必要なアクセス許可が付与されます。The cluster name account is granted the necessary permissions to control these accounts.

    たとえば、Cluster1 という名前のクラスターがある場合に、FileServer1 という名前のクラスター化されたファイルサーバーを作成すると、高可用性ウィザードによって、FileServer1 という Active Directory のコンピューターアカウントが作成されます。For example, if you have a cluster called Cluster1 and then you create a clustered file server called FileServer1, the High Availability wizard creates an Active Directory computer account called FileServer1. 高可用性ウィザードでは、FileServer1 アカウントを制御するために必要なアクセス許可を Cluster1 アカウントに付与することもできます。The High Availability wizard also gives the Cluster1 account the necessary permissions to control the FileServer1 account.

次の表では、これらのアカウントに必要なアクセス許可について説明します。The following table describes the permissions required for these accounts.

アカウントAccount アクセス許可の詳細Details about permissions

クラスターの作成に使用されるアカウントAccount used to create the cluster

クラスターノードとなるサーバーの管理アクセス許可が必要です。Requires administrative permissions on the servers that will become cluster nodes. また、ドメイン内のコンピューターアカウントに使用されるコンテナーに、[ コンピューターオブジェクトの作成 ] および [ すべてのプロパティの読み取り ] アクセス許可が必要です。Also requires Create Computer objects and Read All Properties permissions in the container that is used for computer accounts in the domain.

クラスター名アカウント (クラスター自体のコンピューターアカウント)Cluster name account (computer account of the cluster itself)

クラスターの作成ウィザードを実行すると、ドメイン内のコンピューターアカウントに使用される既定のコンテナーにクラスター名アカウントが作成されます。When the Create Cluster wizard is run, it creates the cluster name account in the default container that is used for computer accounts in the domain. 既定では、クラスター名アカウント (他のコンピューターアカウントと同様) では、ドメイン内に最大10個のコンピューターアカウントを作成できます。By default, the cluster name account (like other computer accounts) can create up to ten computer accounts in the domain.

クラスターを作成する前にクラスター名アカウント (クラスター名オブジェクト) を作成する場合 (つまり、アカウントを事前設定する場合)、ドメイン内のコンピューターアカウントに使用されるコンテナーの [ コンピューターオブジェクトの作成 ] および [ すべてのプロパティの読み取り ] アクセス許可を付与する必要があります。If you create the cluster name account (cluster name object) before creating the cluster—that is, prestage the account—you must give it the Create Computer objects and Read All Properties permissions in the container that is used for computer accounts in the domain. また、アカウントを無効にし、クラスターをインストールする管理者が使用するアカウントに フルコントロール を付与する必要があります。You must also disable the account, and give Full Control of it to the account that will be used by the administrator who installs the cluster. 詳細については、このガイドの後の「 クラスター名アカウントを事前設定する手順」を参照してください。For more information, see Steps for prestaging the cluster name account, later in this guide.

クラスター化されたサービスまたはアプリケーションのコンピューターアカウントComputer account of a clustered service or application

高可用性ウィザードを実行すると (新しいクラスター化されたサービスまたはアプリケーションを作成するため)、ほとんどの場合、クラスター化されたサービスまたはアプリケーションのコンピューターアカウントが Active Directory に作成されます。When the High Availability wizard is run (to create a new clustered service or application), in most cases a computer account for the clustered service or application is created in Active Directory. このアカウントを制御するために必要なアクセス許可がクラスター名アカウントに付与されます。The cluster name account is granted the necessary permissions to control this account. 例外はクラスター化された Hyper-v 仮想マシンです。こののコンピューターアカウントは作成されません。The exception is a clustered Hyper-V virtual machine: no computer account is created for this.

クラスター化されたサービスまたはアプリケーションのコンピューターアカウントを事前設定する場合は、必要なアクセス許可で構成する必要があります。If you prestage the computer account for a clustered service or application, you must configure it with the necessary permissions. 詳細については、このガイドの後の「 クラスター化されたサービスまたはアプリケーションのアカウントを事前設定する手順」を参照してください。For more information, see Steps for prestaging an account for a clustered service or application, later in this guide.

注意

以前のバージョンの Windows Server では、クラスターサービスのアカウントがありました。In earlier versions of Windows Server, there was an account for the Cluster service. ただし、Windows Server 2008 以降、このクラスターサービスは、サービスに必要な特定のアクセス許可と特権 (ローカルシステムコンテキストに似ていますが、特権が制限されています) を提供する特別なコンテキストで自動的に実行されます。Since Windows Server 2008, however, the Cluster service automatically runs in a special context that provides the specific permissions and privileges necessary for the service (similar to the local system context, but with reduced privileges). ただし、このガイドで説明されているように、他のアカウントが必要です。Other accounts are needed, however, as described in this guide.

フェールオーバークラスタリングでウィザードを使用してアカウントを作成する方法How accounts are created through wizards in failover clustering

次の図は、前のサブセクションで説明したコンピューターアカウント (Active Directory オブジェクト) の使用方法と作成方法を示しています。The following diagram illustrates the use and creation of computer accounts (Active Directory objects) that are described in the previous subsection. これらのアカウントは、管理者がクラスターの作成ウィザードを実行し、(クラスター化されたサービスまたはアプリケーションを構成するために) 高可用性ウィザードを実行したときに再生されます。These accounts come into play when an administrator runs the Create Cluster wizard and then runs the High Availability wizard (to configure a clustered service or application).

コンピューターアカウントの使用と作成

上の図は、クラスターの作成ウィザードと高可用性ウィザードの両方を実行している単一の管理者を示しています。Note that the above diagram shows a single administrator running both the Create Cluster wizard and the High Availability wizard. ただし、2つの異なるユーザーアカウントを使用する2人の管理者が、両方のアカウントに十分なアクセス許可を持っている可能性があります。However, this could be two different administrators using two different user accounts, if both accounts had sufficient permissions. アクセス許可の詳細については、このガイドの「フェールオーバークラスター、Active Directory ドメイン、およびアカウントに関する要件」を参照してください。The permissions are described in more detail in Requirements related to failover clusters, Active Directory domains, and accounts, later in this guide.

クラスターで必要なアカウントが変更された場合に発生する問題How problems can result if accounts needed by the cluster are changed

次の図は、クラスターの作成ウィザードでクラスター名アカウント (クラスターに必要なアカウントの1つ) が自動的に作成された後に、そのアカウントが変更された場合の問題を示しています。The following diagram illustrates how problems can result if the cluster name account (one of the accounts required by the cluster) is changed after it is automatically created by the Create Cluster wizard.

クラスター名が変更された場合の問題

図に示されている問題の種類が発生すると、特定のイベント (1193、1194、1206、または 1207) がイベントビューアーに記録されます。If the type of problem shown in the diagram occurs, a certain event (1193, 1194, 1206, or 1207) is logged in Event Viewer. これらのイベントの詳細については、「」を参照してください https://go.microsoft.com/fwlink/?LinkId=118271For more information about these events, see https://go.microsoft.com/fwlink/?LinkId=118271.

コンピューターオブジェクト (既定では 10) を作成するためのドメイン全体のクォータに達した場合は、クラスター化されたサービスまたはアプリケーションのアカウントの作成に関する同様の問題が発生する可能性があります。Note that a similar problem with creating an account for a clustered service or application can occur if the domain-wide quota for creating computer objects (by default, 10) has been reached. 含まれている場合は、クォータの増加についてドメイン管理者に相談することをお勧めします。ただし、これはドメイン全体の設定であるため、慎重に検討した後でのみ変更し、前の図で状況を説明していないことを確認した後にのみ変更することをお勧めします。If it has, it might be appropriate to consult with the domain administrator about increasing the quota, although this is a domain-wide setting and should be changed only after careful consideration, and only after confirming that the preceding diagram does not describe your situation. 詳細については、このガイドの後の「 クラスター関連の Active Directory アカウントの変更によって発生する問題のトラブルシューティングの手順」を参照してください。For more information, see Steps for troubleshooting problems caused by changes in cluster-related Active Directory accounts, later in this guide.

前の3つのセクションで説明したように、クラスター化されたサービスとアプリケーションをフェールオーバークラスターで正常に構成するには、特定の要件を満たす必要があります。As described in the preceding three sections, certain requirements must be met before clustered services and applications can be successfully configured on a failover cluster. 最も基本的な要件は、クラスターノードの場所 (1 つのドメイン内) と、クラスターをインストールするユーザーのアカウントのアクセス許可のレベルに関係します。The most basic requirements concern the location of cluster nodes (within a single domain) and the level of permissions of the account of the person who installs the cluster. これらの要件を満たしている場合は、フェールオーバークラスターウィザードによって、クラスターに必要なその他のアカウントが自動的に作成されます。If these requirements are met, the other accounts required by the cluster can be created automatically by the failover cluster wizards. 次の一覧は、これらの基本的な要件についての詳細を示しています。The following list provides details about these basic requirements.

  • ノード: すべてのノードは同じ Active Directory ドメイン内に存在する必要があります。Nodes: All nodes must be in the same Active Directory domain. (ドメインは、Active Directory を含まない Windows NT 4.0 に基づくことはできません)。(The domain cannot be based on Windows NT 4.0, which does not include Active Directory.)

  • クラスターをインストールするユーザーのアカウント: クラスターをインストールするユーザーは、次の特性を持つアカウントを使用する必要があります。Account of the person who installs the cluster: The person who installs the cluster must use an account with the following characteristics:

    • アカウントはドメインアカウントである必要があります。The account must be a domain account. ドメイン管理者アカウントである必要はありません。It does not have to be a domain administrator account. この一覧の他の要件を満たしている場合は、ドメインユーザーアカウントを使用できます。It can be a domain user account if it meets the other requirements in this list.

    • このアカウントは、クラスターノードとなるサーバーの管理アクセス許可を持っている必要があります。The account must have administrative permissions on the servers that will become cluster nodes. これを実現する最も簡単な方法は、ドメインユーザーアカウントを作成し、クラスターノードとなる各サーバーのローカルの Administrators グループにそのアカウントを追加することです。The simplest way to provide this is to create a domain user account, and then add that account to the local Administrators group on each of the servers that will become cluster nodes. 詳細については、このガイドの後半の「 クラスターをインストールするユーザーのアカウントを構成する手順」を参照してください。For more information, see Steps for configuring the account for the person who installs the cluster, later in this guide.

    • アカウント (またはアカウントがメンバーとなっているグループ) には、ドメイン内のコンピューターアカウントに使用されるコンテナーの [ コンピューターオブジェクトの作成 ] および [ すべてのプロパティの読み取り ] アクセス許可が付与されている必要があります。The account (or the group that the account is a member of) must be given the Create Computer objects and Read All Properties permissions in the container that is used for computer accounts in the domain. 詳細については、このガイドの後半の「 クラスターをインストールするユーザーのアカウントを構成する手順」を参照してください。For more information, see Steps for configuring the account for the person who installs the cluster, later in this guide.

    • クラスター名アカウント (クラスターと同じ名前のコンピューターアカウント) を事前設定することを選択した場合、事前設定されたクラスター名アカウントは、クラスターをインストールするユーザーのアカウントに "フルコントロール" アクセス許可を付与する必要があります。If your organization chooses to prestage the cluster name account (a computer account with the same name as the cluster), the prestaged cluster name account must give "Full Control" permission to the account of the person who installs the cluster. クラスター名アカウントを事前設定する方法に関するその他の重要な詳細については、このガイドの「 クラスター名アカウントを事前設定する手順」を参照してください。For other important details about how to prestage the cluster name account, see Steps for prestaging the cluster name account, later in this guide.

パスワードのリセットとその他のアカウントのメンテナンスを事前に計画するPlanning ahead for password resets and other account maintenance

フェールオーバークラスターの管理者は、場合によっては、クラスター名アカウントのパスワードのリセットが必要になることがあります。The administrators of failover clusters might sometimes need to reset the password of the cluster name account. この操作には、特定のアクセス許可、" パスワードのリセット " アクセス許可が必要です。This action requires a specific permission, the Reset password permission. そのため、クラスター名アカウントのアクセス許可を編集することをお勧めします (Active Directory ユーザーとコンピュータースナップインを使用します)。クラスターの管理者に、クラスター名アカウントの パスワードリセット アクセス許可を付与します。Therefore, it is a best practice to edit the permissions of the cluster name account (by using the Active Directory Users and Computers snap-in) to give the administrators of the cluster the Reset password permission for the cluster name account. 詳細については、このガイドの後の「 クラスター名アカウントのパスワードに関する問題のトラブルシューティングの手順」を参照してください。For more information, see Steps for troubleshooting password problems with the cluster name account, later in this guide.

クラスターをインストールするユーザーのアカウントを構成する手順Steps for configuring the account for the person who installs the cluster

クラスターをインストールするユーザーのアカウントは、クラスター自体に対してコンピューターアカウントが作成される基準を提供するため、重要です。The account of the person who installs the cluster is important because it provides the basis from which a computer account is created for the cluster itself.

次の手順を完了するために最低限必要なグループメンバーシップは、ドメインアカウントを作成し、ドメインに必要なアクセス許可を割り当てるか、または (他のユーザーによって作成された) アカウントをフェールオーバークラスター内のノードとなるサーバーのローカルの Administrators グループに配置するかによって異なります。The minimum group membership required to complete the following procedure depends on whether you are creating the domain account and assigning it the required permissions in the domain, or whether you are only placing the account (created by someone else) into the local Administrators group on the servers that will be nodes in the failover cluster. 前者の場合、この手順を実行するには、 Account Operators またはそれと同等のメンバーシップが最低限必要です。If the former, membership in Account Operators or equivalent, is the minimum required to complete this procedure. 後者の場合、フェールオーバークラスター内のノードとなるサーバーのローカル Administrators グループのメンバーシップ、またはそれと同等のメンバーシップがすべて必要です。If the latter, membership in the local Administrators group on the servers that will be nodes in the failover cluster, or equivalent, is all that is required. 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「」を参照 https://go.microsoft.com/fwlink/?LinkId=83477 してください。Review details about using the appropriate accounts and group memberships at https://go.microsoft.com/fwlink/?LinkId=83477.

クラスターをインストールするユーザーのアカウントを構成するにはTo configure the account for the person who installs the cluster

  1. クラスターをインストールするユーザーのドメインアカウントを作成または取得します。Create or obtain a domain account for the person who installs the cluster. このアカウントには、ドメインユーザーアカウントまたは アカウントオペレーター アカウントを使用できます。This account can be a domain user account or an Account Operators account. 標準ユーザーアカウントを使用する場合は、この手順の後半で、追加のアクセス許可を付与する必要があります。If you use a standard user account, you'll have to give it some extra permissions later in this procedure.

  2. 手順 1. で作成または取得したアカウントが、ドメイン内のコンピューターのローカルの administrators グループに自動的に含まれていない場合は、フェールオーバークラスター内のノードとなるサーバーのローカルの administrators グループにアカウントを追加します。If the account that was created or obtained in step 1 isn't automatically included in the local Administrators group on computers in the domain, add the account to the local Administrators group on the servers that will be nodes in the failover cluster:

    1. [スタート] ボタンをクリックし、[管理ツール]、[サーバー マネージャー] の順にクリックします。Click Start, click Administrative Tools, and then click Server Manager.

    2. コンソールツリーで、[ 構成]、[ ローカルユーザーとグループ]、[ グループ] の順に展開します。In the console tree, expand Configuration, expand Local Users and Groups, and then expand Groups.

    3. 中央のウィンドウで、[ Administrators] を右クリックし、[ グループに追加] をクリックして、[ 追加] をクリックします。In the center pane, right-click Administrators, click Add to Group, and then click Add.

    4. [ 選択するオブジェクト名を入力してください] に、手順1で作成または取得したユーザーアカウントの名前を入力します。Under Enter the object names to select, type the name of the user account that was created or obtained in step 1. メッセージが表示されたら、この操作に必要なアクセス許可を持つアカウント名とパスワードを入力します。If prompted, enter an account name and password with sufficient permissions for this action. 次に、 [OK] をクリックしますThen click OK.

    5. フェールオーバークラスター内のノードとなる各サーバーで、これらの手順を繰り返します。Repeat these steps on each server that will be a node in the failover cluster.

重要

これらの手順は、クラスター内のノードとなるすべてのサーバーで繰り返す必要があります。These steps must be repeated on all servers that will be nodes in the cluster.

  1. 手順 1. で作成または取得したアカウントがドメイン管理者アカウントである場合は、この手順の残りの部分をスキップします。If the account that was created or obtained in step 1 is a domain administrator account, skip the rest of this procedure. それ以外の場合は、ドメイン内のコンピューターアカウントに使用されるコンテナーで、[ コンピューターオブジェクトの作成 ] および [ すべてのプロパティの読み取り ] のアクセス許可をアカウントに付与します。Otherwise, give the account the Create Computer objects and Read All Properties permissions in the container that is used for computer accounts in the domain:

    1. ドメインコントローラーで、[ スタート] をクリックし、[ 管理ツール] をクリックして、[ ユーザーとコンピューターの Active Directory] をクリックします。On a domain controller, click Start, click Administrative Tools, and then click Active Directory Users and Computers. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.

    2. [ 表示 ] メニューで、 [高度な機能 ] が選択されていることを確認します。On the View menu, make sure that Advanced Features is selected.

      [高度な機能] を選択すると、[ Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。When Advanced Features is selected, you can see the Security tab in the properties of accounts (objects) in Active Directory Users and Computers.

    3. [既定の コンピューター ] コンテナー、またはドメイン内にコンピューターアカウントが作成された既定のコンテナーを右クリックし、[ プロパティ] をクリックします。Right-click the default Computers container or the default container in which computer accounts are created in your domain, and then click Properties. コンピューターActive Directory ユーザーとコンピューター/ドメインノード/コンピューターにあります。Computers is located in Active Directory Users and Computers/domain-node/Computers.

    4. [セキュリティ] タブで [詳細設定] をクリックします。On the Security tab, click Advanced.

    5. [ 追加] をクリックし、手順1で作成または取得したアカウントの名前を入力して、[ OK] をクリックします。Click Add, type the name of the account that was created or obtained in step 1, and then click OK.

    6. [コンテナー のアクセス許可エントリ ] ダイアログボックスで、[コンピューターオブジェクトの作成] および [すべての プロパティの読み取り] のアクセス許可を見つけ、それぞれに対して [許可] チェックボックスがオンになっていることを確認します。In the Permission Entry forcontainer dialog box, locate the Create Computer objects and Read All Properties permissions, and make sure that the Allow check box is selected for each one.

      [コンピューターオブジェクトの作成] オプションが [許可] に設定されているスクリーンショット。Screenshot that shows Create Computer objects option set to Allow.

クラスター名アカウントを事前設定する手順Steps for prestaging the cluster name account

クラスター名アカウントを事前設定せずに、クラスターの作成ウィザードを実行したときにアカウントを自動的に作成および構成できるようにする場合は、通常はより簡単です。It is usually simpler if you do not prestage the cluster name account, but instead allow the account to be created and configured automatically when you run the Create Cluster wizard. ただし、組織の要件によりクラスター名アカウントを事前設定する必要がある場合は、次の手順を使用します。However, if it is necessary to prestage the cluster name account because of requirements in your organization, use the following procedure.

この手順を実行するには、Domain Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。Membership in the Domain Admins group, or equivalent, is the minimum required to complete this procedure. 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「」を参照 https://go.microsoft.com/fwlink/?LinkId=83477 してください。Review details about using the appropriate accounts and group memberships at https://go.microsoft.com/fwlink/?LinkId=83477. この手順では、クラスターの作成時に使用するのと同じアカウントを使用できます。Note that you can use the same account for this procedure as you will use when creating the cluster.

クラスター名アカウントを事前設定するにはTo prestage a cluster name account

  1. クラスターの名前と、クラスターの作成者が使用するユーザーアカウントの名前がわかっていることを確認してください。Make sure that you know the name that the cluster will have, and the name of the user account that will be used by the person who creates the cluster. (このアカウントを使用してこの手順を実行できます)。(Note that you can use that account to perform this procedure.)

  2. ドメインコントローラーで、[ スタート] をクリックし、[ 管理ツール] をクリックして、[ ユーザーとコンピューターの Active Directory] をクリックします。On a domain controller, click Start, click Administrative Tools, and then click Active Directory Users and Computers. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.

  3. コンソールツリーで、[ コンピューター ] を右クリックするか、ドメイン内にコンピューターアカウントが作成されている既定のコンテナーを右クリックします。In the console tree, right-click Computers or the default container in which computer accounts are created in your domain. コンピューターActive Directory ユーザーとコンピューター/ドメインノード/コンピューターにあります。Computers is located in Active Directory Users and Computers/domain-node/Computers.

  4. [ 新規 ] をクリックし、[ コンピューター] をクリックします。Click New and then click Computer.

  5. フェールオーバークラスターに使用する名前 (つまり、クラスターの作成ウィザードで指定するクラスター名) を入力し、[ OK] をクリックします。Type the name that will be used for the failover cluster, in other words, the cluster name that will be specified in the Create Cluster wizard, and then click OK.

  6. 作成したアカウントを右クリックし、[ アカウントを無効に する] をクリックします。Right-click the account that you just created, and then click Disable Account. 選択内容を確認するメッセージが表示されたら、[ はい] をクリックします。If prompted to confirm your choice, click Yes.

    このアカウントは無効にする必要があります。これにより、 クラスターの作成 ウィザードを実行するときに、クラスターに使用するアカウントが、現在ドメイン内の既存のコンピューターまたはクラスターによって使用されていないことを確認できます。The account must be disabled so that when the Create Cluster wizard is run, it can confirm that the account it will use for the cluster is not currently in use by an existing computer or cluster in the domain.

  7. [ 表示 ] メニューで、 [高度な機能 ] が選択されていることを確認します。On the View menu, make sure that Advanced Features is selected.

    [高度な機能] を選択すると、[ Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。When Advanced Features is selected, you can see the Security tab in the properties of accounts (objects) in Active Directory Users and Computers.

  8. 手順 3. で右クリックしたフォルダーを右クリックし、[ プロパティ] をクリックします。Right-click the folder that you right-clicked in step 3, and then click Properties.

  9. [セキュリティ] タブで [詳細設定] をクリックします。On the Security tab, click Advanced.

  10. [ 追加] をクリックし、[ オブジェクトの種類 ] をクリックして [ コンピューター ] が選択されていることを確認し、[ OK] をクリックします。Click Add, click Object Types and make sure that Computers is selected, and then click OK. 次に、[ 選択するオブジェクト名を入力してください] に、作成したコンピューターアカウントの名前を入力し、[ OK] をクリックします。Then, under Enter the object name to select, type the name of the computer account you just created, and then click OK. 無効なオブジェクトを追加しようとしているというメッセージが表示された場合は、[ OK] をクリックします。If a message appears, saying that you are about to add a disabled object, click OK.

  11. [ アクセス許可エントリ ] ダイアログボックスで、 [コンピューターオブジェクトの作成 ] および [すべてのプロパティの 読み取り ] のアクセス許可を見つけ、それぞれに対して [ 許可 ] チェックボックスがオンになっていることを確認します。In the Permission Entry dialog box, locate the Create Computer objects and Read All Properties permissions, and make sure that the Allow check box is selected for each one.

    [アクセス許可エントリ] ダイアログボックス

  12. Active Directory ユーザーとコンピューター ] スナップインに戻るまで、[ OK ] をクリックします。Click OK until you have returned to the Active Directory Users and Computers snap-in.

  13. クラスターの作成に使用するのと同じアカウントを使用してこの手順を実行する場合は、残りの手順を省略します。If you are using the same account to perform this procedure as will be used to create the cluster, skip the remaining steps. それ以外の場合は、クラスターの作成に使用されるユーザーアカウントが、作成したコンピューターアカウントに対してフルコントロールを持つように、アクセス許可を構成する必要があります。Otherwise, you must configure permissions so that the user account that will be used to create the cluster has full control of the computer account you just created:

    1. [ 表示 ] メニューで、 [高度な機能 ] が選択されていることを確認します。On the View menu, make sure that Advanced Features is selected.

    2. 作成したコンピューター アカウントを右クリックし、[プロパティ] をクリックします。Right-click the computer account you just created, and then click Properties.

    3. [セキュリティ] タブで [追加] をクリックします。On the Security tab, click Add. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.

    4. [ユーザー、コンピュータ、またはグループの選択] ダイアログボックスを使用して、クラスタの作成時に使用されるユーザーアカウントを指定します。Use the Select Users, Computers, or Groups dialog box to specify the user account that will be used when creating the cluster. 次に、 [OK] をクリックしますThen click OK.

    5. 追加したユーザーアカウントが選択されていることを確認し、[ フルコントロール] の横にある [ 許可 ] チェックボックスをオンにします。Make sure that the user account that you just added is selected, and then, next to Full Control, select the Allow check box.

      [Cluster1 のプロパティ] ダイアログボックスの [セキュリティ] タブを示すスクリーンショット。

クラスター化されたサービスまたはアプリケーションのアカウントを事前設定する手順Steps for prestaging an account for a clustered service or application

通常は、クラスター化されたサービスまたはアプリケーションのコンピューターアカウントを事前設定しないで、高可用性ウィザードを実行するときにアカウントを自動的に作成および構成できるようにする方が簡単です。It is usually simpler if you do not prestage the computer account for a clustered service or application, but instead allow the account to be created and configured automatically when you run the High Availability wizard. ただし、組織の要件によってアカウントを事前設定する必要がある場合は、次の手順を使用します。However, if it is necessary to prestage accounts because of requirements in your organization, use the following procedure.

この手順を実行するには、 Account Operators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。Membership in the Account Operators group, or equivalent, is the minimum required to complete this procedure. 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「」を参照 https://go.microsoft.com/fwlink/?LinkId=83477 してください。Review details about using the appropriate accounts and group memberships at https://go.microsoft.com/fwlink/?LinkId=83477.

クラスター化されたサービスまたはアプリケーションのアカウントを事前設定するにはTo prestage an account for a clustered service or application

  1. クラスターの名前とクラスター化されたサービスまたはアプリケーションの名前がわかっていることを確認してください。Make sure that you know the name of the cluster and the name that the clustered service or application will have.

  2. ドメインコントローラーで、[ スタート] をクリックし、[ 管理ツール] をクリックして、[ ユーザーとコンピューターの Active Directory] をクリックします。On a domain controller, click Start, click Administrative Tools, and then click Active Directory Users and Computers. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.

  3. コンソールツリーで、[ コンピューター ] を右クリックするか、ドメイン内にコンピューターアカウントが作成されている既定のコンテナーを右クリックします。In the console tree, right-click Computers or the default container in which computer accounts are created in your domain. コンピューターActive Directory ユーザーとコンピューター/ドメインノード/コンピューターにあります。Computers is located in Active Directory Users and Computers/domain-node/Computers.

  4. [ 新規 ] をクリックし、[ コンピューター] をクリックします。Click New and then click Computer.

  5. クラスター化されたサービスまたはアプリケーションに使用する名前を入力し、[ OK] をクリックします。Type the name that you will use for the clustered service or application, and then click OK.

  6. [ 表示 ] メニューで、 [高度な機能 ] が選択されていることを確認します。On the View menu, make sure that Advanced Features is selected.

    [高度な機能] を選択すると、[ Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。When Advanced Features is selected, you can see the Security tab in the properties of accounts (objects) in Active Directory Users and Computers.

  7. 作成したコンピューター アカウントを右クリックし、[プロパティ] をクリックします。Right-click the computer account you just created, and then click Properties.

  8. [セキュリティ] タブで [追加] をクリックします。On the Security tab, click Add.

  9. [ オブジェクトの種類 ] をクリックし、[ コンピューター ] が選択されていることを確認して、[ OK] をクリックします。Click Object Types and make sure that Computers is selected, and then click OK. 次に、[ 選択するオブジェクト名を入力してください] にクラスター名アカウントを入力し、[ OK] をクリックします。Then, under Enter the object name to select, type the cluster name account, and then click OK. 無効なオブジェクトを追加しようとしているというメッセージが表示された場合は、[ OK] をクリックします。If a message appears, saying that you are about to add a disabled object, click OK.

  10. [クラスター名アカウント] が選択されていることを確認し、[ フルコントロール] の横にある [ 許可 ] チェックボックスをオンにします。Make sure that the cluster name account is selected, and then, next to Full Control, select the Allow check box.

    [セキュリティ] タブ

このガイドで既に説明したように、フェールオーバークラスターを作成し、クラスター化されたサービスまたはアプリケーションを構成すると、フェールオーバークラスターウィザードによって必要な Active Directory アカウントが作成され、適切なアクセス許可が付与されます。As described earlier in this guide, when you create a failover cluster and configure clustered services or applications, the failover cluster wizards create the necessary Active Directory accounts and give them the correct permissions. 必要なアカウントが削除されたり、必要なアクセス許可が変更されたりすると、問題が発生する可能性があります。If a needed account is deleted, or necessary permissions are changed, problems can result. 次のサブセクションでは、これらの問題をトラブルシューティングする手順について説明します。The following subsections provide steps for troubleshooting these issues.

クラスター名アカウントのパスワードに関する問題のトラブルシューティングの手順Steps for troubleshooting password problems with the cluster name account

コンピューターオブジェクトに関するイベントメッセージ、または次のテキストを含むクラスター id に関するイベントメッセージがある場合は、この手順を使用します。Use this procedure if there is an event message about computer objects or about the cluster identity that includes the following text. このテキストは、イベントメッセージの先頭ではなく、イベントメッセージ内にあることに注意してください。Note that this text will be within the event message, not at the beginning of the event message:

Logon failure: unknown user name or bad password.

前の説明に一致するイベントメッセージは、クラスター名アカウントのパスワードと、クラスターソフトウェアによって保存されている対応するパスワードが一致しなくなったことを示します。Event messages that fit the previous description indicate that the password for the cluster name account and the corresponding password stored by the clustering software no longer match.

クラスター管理者が必要に応じて次の手順を実行するための適切なアクセス許可を持っていることを確認する方法については、このガイドの前半の「パスワードのリセットとその他のアカウントのメンテナンスのための事前計画」を参照してください。For information about ensuring that cluster administrators have the correct permissions to perform the following procedure as needed, see Planning ahead for password resets and other account maintenance, earlier in this guide.

この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure. また、アカウントが Domain Admins アカウントであるか、またはクラスター名アカウントの作成者の所有者でない場合は、そのアカウントに、クラスター名アカウントの [パスワードのリセット] アクセス許可を付与する必要があります。In addition, your account must be given Reset password permission for the cluster name account (unless your account is a Domain Admins account or is the Creator Owner of the cluster name account). この手順では、クラスターをインストールしたユーザーが使用したアカウントを使用できます。The account that was used by the person who installed the cluster can be used for this procedure. 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「」を参照 https://go.microsoft.com/fwlink/?LinkId=83477 してください。Review details about using the appropriate accounts and group memberships at https://go.microsoft.com/fwlink/?LinkId=83477.

クラスター名アカウントのパスワードに関する問題のトラブルシューティングを行うにはTo troubleshoot password problems with the cluster name account

  1. フェールオーバー クラスタ スナップインを開くには、[スタート] ボタンをクリックし、[管理ツール] をクリックします。次に、[フェールオーバー クラスタ管理] をクリックします。To open the failover cluster snap-in, click Start, click Administrative Tools, and then click Failover Cluster Management. ([ ユーザーアカウント制御 ] ダイアログボックスが表示されたら、表示された操作が正しいことを確認し、[ 続行] をクリックします)。(If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.)

  2. 構成するクラスタがフェールオーバー クラスタの管理スナップインに表示されない場合は、コンソール ツリーで [フェールオーバー クラスタ管理] を右クリックして [クラスタの管理] をクリックし、目的のクラスタを選択または指定します。In the Failover Cluster Management snap-in, if the cluster you want to configure is not displayed, in the console tree, right-click Failover Cluster Management, click Manage a Cluster, and select or specify the cluster you want.

  3. 中央のウィンドウで、[ クラスターコアリソース] を展開します。In the center pane, expand Cluster Core Resources.

  4. [ クラスター名] で、[ 名前 ] 項目を右クリックし、[ 他の操作] をポイントして、[ Active Directory オブジェクトの修復] をクリックします。Under Cluster Name, right-click the Name item, point to More Actions, and then click Repair Active Directory Object.

クラスター名アカウントが削除された場合、またはアクセス許可が失われた場合は、新しいクラスター化されたサービスまたはアプリケーションを構成しようとすると問題が発生します。If the cluster name account is deleted or if permissions are taken away from it, problems will occur when you try to configure a new clustered service or application. これが原因である可能性がある問題のトラブルシューティングを行うには、Active Directory ユーザーとコンピューター] スナップインを使用して、クラスター名アカウントとその他の関連アカウントを表示または変更します。To troubleshoot a problem where this might be the cause, use the Active Directory Users and Computers snap-in to view or change the cluster name account and other related accounts. この種類の問題が発生したときにログに記録されるイベント (イベント1193、1194、1206、または 1207) については、「」を参照してください https://go.microsoft.com/fwlink/?LinkId=118271For information about the events that are logged when this type of problem occurs (event 1193, 1194, 1206, or 1207), see https://go.microsoft.com/fwlink/?LinkId=118271.

この手順を実行するには、Domain Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。Membership in the Domain Admins group, or equivalent, is the minimum required to complete this procedure. 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「」を参照 https://go.microsoft.com/fwlink/?LinkId=83477 してください。Review details about using the appropriate accounts and group memberships at https://go.microsoft.com/fwlink/?LinkId=83477.

  1. ドメインコントローラーで、[ スタート] をクリックし、[ 管理ツール] をクリックして、[ ユーザーとコンピューターの Active Directory] をクリックします。On a domain controller, click Start, click Administrative Tools, and then click Active Directory Users and Computers. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.

  2. [既定の コンピューター ] コンテナー、またはクラスター名アカウント (クラスターのコンピューターアカウント) が配置されているフォルダーを展開します。Expand the default Computers container or the folder in which the cluster name account (the computer account for the cluster) is located. コンピューターActive Directory ユーザーとコンピューター/ドメインノード/コンピューターにあります。Computers is located in Active Directory Users and Computers/domain-node/Computers.

  3. クラスター名アカウントのアイコンを確認します。Examine the icon for the cluster name account. これには下向きの矢印がない必要があります。つまり、アカウントを無効にすることはできません。It must not have a downward-pointing arrow on it, that is, the account must not be disabled. 無効になっていると思われる場合は、右クリックして、[ アカウントの有効化] コマンドを探します。If it appears to be disabled, right-click it and look for the command Enable Account. コマンドが表示されたら、それをクリックします。If you see the command, click it.

  4. [ 表示 ] メニューで、 [高度な機能 ] が選択されていることを確認します。On the View menu, make sure that Advanced Features is selected.

    [高度な機能] を選択すると、[ Active Directory ユーザーとコンピューター] のアカウント (オブジェクト) のプロパティに [セキュリティ] タブが表示されます。When Advanced Features is selected, you can see the Security tab in the properties of accounts (objects) in Active Directory Users and Computers.

  5. [既定の コンピューター ] コンテナー、またはクラスター名アカウントがあるフォルダーを右クリックします。Right-click the default Computers container or the folder in which the cluster name account is located.

  6. [プロパティ] をクリックします。Click Properties.

  7. [セキュリティ] タブで [詳細設定] をクリックします。On the Security tab, click Advanced.

  8. アクセス許可のあるアカウントの一覧で、クラスター名のアカウントをクリックし、[ 編集] をクリックします。In the list of accounts with permissions, click the cluster name account, and then click Edit.

注意

クラスター名のアカウントが表示されていない場合は、[ 追加 ] をクリックして一覧に追加します。If the cluster name account is not listed, click Add and add it to the list.

  1. クラスター名アカウント (クラスター名オブジェクトまたは CNO とも呼ばれます) の場合は、[コンピューターオブジェクトの作成] および [すべてのプロパティの読み取り] のアクセス許可に [許可] が選択されていることを確認します。For the cluster name account (also known as the cluster name object or CNO), ensure that Allow is selected for the Create Computer objects and Read All Properties permissions.

    [コンピューターオブジェクトを作成する] オプションが [許可] に設定されている [アクセス許可エントリ] ダイアログボックスを示すスクリーンショット。

  2. Active Directory ユーザーとコンピューター ] スナップインに戻るまで、[ OK ] をクリックします。Click OK until you have returned to the Active Directory Users and Computers snap-in.

  3. コンピューターアカウント (オブジェクト) の作成に関連するドメインポリシー (該当する場合は、ドメイン管理者によるコンサルティング) を確認します。Review domain policies (consulting with a domain administrator if applicable) related to the creation of computer accounts (objects). クラスター化されたサービスまたはアプリケーションを構成するたびに、クラスター名アカウントでコンピューターアカウントを作成できることを確認します。Ensure that the cluster name account can create a computer account each time you configure a clustered service or application. たとえば、ドメイン管理者が、既定の コンピューター コンテナーではなく、特殊なコンテナーに新しいコンピューターアカウントを作成するように設定している場合は、これらの設定によって、クラスター名アカウントがそのコンテナーに新しいコンピューターアカウントを作成することも許可されていることを確認してください。For example, if your domain administrator has configured settings that cause all new computer accounts to be created in a specialized container rather than the default Computers container, make sure that these settings allow the cluster name account to create new computer accounts in that container also.

  4. [既定の コンピューター ] コンテナー、またはクラスター化されたサービスまたはアプリケーションのいずれかのコンピューターアカウントがあるコンテナーを展開します。Expand the default Computers container or the container in which the computer account for one of the clustered services or applications is located.

  5. クラスター化されたサービスまたはアプリケーションの1つのコンピューターアカウントを右クリックし、[ プロパティ] をクリックします。Right-click the computer account for one of the clustered services or applications, and then click Properties.

  6. [ セキュリティ ] タブで、アクセス許可のあるアカウントの中にクラスター名のアカウントが表示されていることを確認し、それを選択します。On the Security tab, confirm that the cluster name account is listed among the accounts that have permissions, and select it. クラスター名アカウントに フルコントロール のアクセス許可があることを確認します ([ 許可 ] チェックボックスがオンになっています)。Confirm that the cluster name account has Full Control permission (the Allow check box is selected). 表示されていない場合は、クラスター名アカウントを一覧に追加し、 フルコントロール アクセス許可を付与します。If it does not, add the cluster name account to the list and give it Full Control permission.

[セキュリティ] タブ

  1. クラスターに構成されているクラスター化されたサービスとアプリケーションごとに、手順13-14 を繰り返します。Repeat steps 13-14 for each clustered service and application configured in the cluster.

  2. コンピューターオブジェクト (既定では 10) を作成するためのドメイン全体のクォータに達していないことを確認します (該当する場合は、ドメイン管理者に相談してください)。Check that the domain-wide quota for creating computer objects (by default, 10) has not been reached (consulting with a domain administrator if applicable). この手順の前の項目をすべて確認して修正し、クォータに達した場合は、クォータを増やすことを検討してください。If the previous items in this procedure have all been reviewed and corrected, and if the quota has been reached, consider increasing the quota. クォータを変更するには:To change the quota:

  3. 管理者としてコマンドプロンプトを開き、 ADSIEdit を実行します。Open a command prompt as an administrator and run ADSIEdit.msc.

  4. [ ADSI エディター] を右クリックし、[ 接続先] をクリックして、[ OK] をクリックします。Right-click ADSI Edit, click Connect to, and then click OK. 既定の名前付けコンテキスト がコンソールツリーに追加されます。The Default naming context is added to the console tree.

  5. [既定の 名前付けコンテキスト] をダブルクリックし、その下にあるドメインオブジェクトを右クリックして、[ プロパティ] をクリックします。Double-click Default naming context, right-click the domain object underneath it, and then click Properties.

  6. [ Ms-DS-MachineAccountQuota] までスクロールして選択し、[ 編集] をクリックして値を変更し、[ OK] をクリックします。Scroll to ms-DS-MachineAccountQuota, select it, click Edit, change the value, and then click OK.