Настройка учетных записей кластеров в Active Directory

область применения: Windows Server 2022, Azure Stack хЦи, версия 20H2; Windows сервер 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows server 2008 R2 и Windows server 2008

в Windows Server при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отказоустойчивого кластера создают необходимые Active Directory учетные записи компьютеров (также называемые объектами компьютеров) и предоставляют им определенные разрешения. Мастера создают учетную запись компьютера для самого кластера (Эта учетная запись также называется объектом имени кластера или CNO) и учетная запись компьютера для большинства типов кластерных служб и приложений, но это исключение является виртуальной машиной Hyper-V. Разрешения для этих учетных записей устанавливаются автоматически мастерами отказоустойчивого кластера. Если разрешения изменены, их необходимо изменить в соответствии с требованиями к кластеру. В этом руководстве описываются эти Active Directory учетные записи и разрешения, приводятся общие сведения о том, почему они важны, и описываются действия по настройке учетных записей и управлению ими.

Общие сведения об учетных записях Active Directory, необходимых для отказоустойчивого кластера

В этом разделе описаны учетные записи Active Directory компьютеров (также называемые Active Directory объектами компьютеров), которые важны для отказоустойчивого кластера. Это следующие учетные записи:

  • Учетная запись пользователя, используемая для создания кластера. Это учетная запись пользователя, используемая для запуска мастера создания кластера. Учетная запись важна, так как она обеспечивает базис, с помощью которого учетная запись компьютера создается для самого кластера.

  • Учетная запись имени кластера. (учетная запись компьютера самого кластера, также называемая объектом имени кластера или CNO). Эта учетная запись автоматически создается мастером создания кластера и имеет то же имя, что и кластер. Учетная запись имени кластера очень важна, так как с помощью этой учетной записи другие учетные записи автоматически создаются при настройке новых служб и приложений в кластере. Если учетная запись имени кластера удалена или из нее отправляются разрешения, другие учетные записи не могут быть созданы по мере необходимости в кластере, пока не будет восстановлена учетная запись имени кластера или не будут заменены правильные разрешения.

    Например, если вы создаете кластер с именем Cluster1 и попытаетесь настроить кластеризованный сервер печати под названием PrintServer1 в кластере, учетной записи Cluster1 в Active Directory потребуется хранить правильные разрешения, чтобы ее можно было использовать для создания учетной записи компьютера с именем PrintServer1.

    Учетная запись имени кластера создается в контейнере по умолчанию для учетных записей компьютеров в Active Directory. По умолчанию это контейнер «Computers», но администратор домена может перенаправить его в другой контейнер или подразделение (OU).

  • Учетная запись компьютера (объект-компьютер) кластеризованной службы или приложения. Эти учетные записи автоматически создаются мастером высокой доступности в процессе создания большинства типов кластерных служб или приложений, но это исключение является виртуальной машиной Hyper-V. Учетной записи имени кластера предоставляются необходимые разрешения для управления этими учетными записями.

    Например, если имеется кластер с именем Cluster1, а затем создается кластеризованный файловый сервер с именем FileServer1, то мастер высокой доступности создает Active Directory учетную запись компьютера с именем FileServer1. Мастер высокой доступности также предоставляет учетной записи Cluster1 необходимые разрешения для управления учетной записью FileServer1.

В следующей таблице описаны разрешения, необходимые для этих учетных записей.

Учетная запись Сведения о разрешениях

Учетная запись, используемая для создания кластера

Требуются права администратора на серверах, которые станут узлами кластера. Также требуются разрешения Create Computer objects и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене.

Учетная запись имени кластера (учетная запись компьютера самого кластера)

При запуске мастера создания кластера учетная запись имени кластера создается в контейнере по умолчанию, который используется для учетных записей компьютеров в домене. По умолчанию учетная запись имени кластера (как и другие учетные записи компьютеров) может создавать до десяти учетных записей компьютеров в домене.

Если создать учетную запись имени кластера (объект имени кластера) перед созданием кластера, то есть предварительно подготовить учетную запись, необходимо предоставить ей разрешения на Создание объектов Computer и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене. Необходимо также отключить учетную запись и предоставить ей полный контроль над учетной записью, которая будет использоваться администратором, устанавливающим кластер. Дополнительные сведения см. в подразделе действия для предварительной подготовки учетной записи имени кластерадалее в этом руководстве.

Учетная запись компьютера кластеризованной службы или приложения

При запуске мастера высокой доступности (для создания новой кластеризованной службы или приложения) в большинстве случаев в Active Directory создается учетная запись компьютера для кластерной службы или приложения. Учетной записи имени кластера предоставляются необходимые разрешения для управления этой учетной записью. Исключением является кластеризованная виртуальная машина Hyper-V: для этого не создана учетная запись компьютера.

При предварительной настройке учетной записи компьютера для кластеризованной службы или приложения необходимо настроить ее с необходимыми разрешениями. Дополнительные сведения см. в подразделе шаги предварительной подготовки учетной записи для кластеризованной службы или приложениядалее в этом руководстве.

Примечание

в более ранних версиях Windows Server была учетная запись для служба кластеров. однако с Windows Server 2008 служба кластеров автоматически выполняется в специальном контексте, который предоставляет определенные разрешения и привилегии, необходимые для службы (как в контексте локальной системы, но с ограниченными правами). Однако другие учетные записи необходимы, как описано в этом разделе.

Создание учетных записей с помощью мастеров в отказоустойчивой кластеризации

На следующей схеме показано использование и создание учетных записей компьютеров (Active Directory объектов), описанных в предыдущем подразделе. Эти учетные записи возникают, когда администратор запускает мастер создания кластера, а затем запускает мастер высокой доступности (для настройки кластеризованной службы или приложения).

Использование и создание учетных записей компьютеров

Обратите внимание, что на приведенной выше схеме показан один администратор, запускающий как мастер создания кластеров, так и мастер высокой доступности. Однако это может быть два разных администратора, использующих две разные учетные записи пользователей, если обе учетные записи имели достаточные разрешения. Разрешения более подробно описаны в разделе требования, связанные с отказоустойчивыми кластерами, Active Directory доменами и учетными записями далее в этом пошаговом окне.

Как могут возникать проблемы при изменении учетных записей, необходимых для кластера

На следующей схеме показано, как могут возникнуть проблемы при изменении учетной записи имени кластера (одной из учетных записей, необходимых для кластера) после автоматического создания мастером создания кластеров.

Проблемы при изменении имени кластера

Если отображается тип проблемы, показанной на диаграмме, в Просмотр событий регистрируется определенное событие (1193, 1194, 1206 или 1207). Дополнительные сведения об этих событиях см. в разделе https://go.microsoft.com/fwlink/?LinkId=118271 .

Обратите внимание, что подобная проблема с созданием учетной записи для кластеризованной службы или приложения может произойти, если достигнута квота на уровне домена для создания объектов-компьютеров (по умолчанию — 10). Если это так, то, возможно, потребуется обратиться к администратору домена, чтобы увеличить квоту, хотя это параметр на уровне домена, и его следует изменить только после тщательного рассмотрения и только после подтверждения того, что Предыдущая схема не описывает ситуацию. Дополнительные сведения см. в разделе действия по устранению неполадок, вызванных изменениями в учетных записях Active Directory, связанных с кластером, далее в этом руководстве.

Как описано в предыдущих трех разделах, для успешной настройки кластерных служб и приложений в отказоустойчивом кластере должны быть выполнены определенные требования. Основные требования касаются расположения узлов кластера (в пределах одного домена) и уровня разрешений учетной записи пользователя, устанавливающего кластер. Если эти требования соблюдены, другие учетные записи, необходимые для кластера, можно создать автоматически с помощью мастеров отказоустойчивого кластера. В следующем списке приведены сведения о базовых требованиях.

  • Узлы: Все узлы должны находиться в одном домене Active Directory. (домен не может быть основан на Windows NT 4,0, который не включает Active Directory.)

  • Учетная запись пользователя, устанавливающего кластер: Пользователь, который устанавливает кластер, должен использовать учетную запись со следующими характеристиками:

    • Учетная запись должна быть учетной записью домена. Она не обязательно должна быть учетной записью администратора домена. Это может быть учетная запись пользователя домена, если она соответствует другим требованиям, указанным в этом списке.

    • Учетная запись должна иметь разрешения администратора на серверах, которые станут узлами кластера. Самый простой способ предоставить это — создать учетную запись пользователя домена, а затем добавить эту учетную запись в локальную группу администраторов на каждом из серверов, которые станут узлами кластера. Дополнительные сведения см. в подразделе действия по настройке учетной записи для пользователя, устанавливающего кластер, далее в этом руководстве.

    • Учетной записи (или группе, в которую входит учетная запись) необходимо предоставить разрешения Создание объектов Computer и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене. Дополнительные сведения см. в подразделе действия по настройке учетной записи для пользователя, устанавливающего кластер, далее в этом руководстве.

    • Если в вашей организации выбрана Предварительная учетная запись имени кластера (учетная запись компьютера с тем же именем, что и у кластера), учетная запись с именем предварительно подготовленное имя кластера должна предоставить учетной записи пользователя, устанавливающего кластер, разрешение «Полный доступ». Другие важные сведения о предварительной настройке учетной записи имени кластера см. в подразделе действия для предварительной подготовки учетной записи имени кластерадалее в этом руководстве.

Заблаговременное планирование сброса паролей и других процедур обслуживания учетных записей

Администраторам отказоустойчивых кластеров иногда может потребоваться сбросить пароль учетной записи имени кластера. Для этого действия требуется определенное разрешение, разрешение на Сброс пароля . Поэтому рекомендуется изменить разрешения учетной записи имени кластера (с помощью оснастки "пользователи и компьютеры" Active Directory), чтобы предоставить администраторам кластера разрешение на Сброс пароля для учетной записи имени кластера. Дополнительные сведения см. в подразделе действия по устранению проблем с паролями в учетной записи имени кластерадалее в этом руководстве.

Действия по настройке учетной записи для пользователя, устанавливающего кластер

Учетная запись пользователя, устанавливающего кластер, важна, так как он обеспечивает базис, с помощью которого учетная запись компьютера создается для самого кластера.

Минимальное членство в группе, необходимое для выполнения следующей процедуры, зависит от того, создаете ли вы учетную запись домена и назначаете ей необходимые разрешения в домене или выполняется ли помещение учетной записи (созданной другим пользователем) в локальную группу администраторов на серверах, которые будут узлами в отказоустойчивом кластере. Если первый из них, членство в операторах учетной записи или эквивалентный, является минимальным требованием для выполнения этой процедуры. Если Последнее, то требуется только членство в локальной группе администраторов на серверах, которые будут узлами в отказоустойчивом кластере, или эквивалентной. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477 .

Настройка учетной записи для пользователя, устанавливающего кластер

  1. Создайте или получите учетную запись домена для пользователя, устанавливающего кластер. Эта учетная запись может быть учетной записью пользователя домена или операторами учетной записи . Если вы используете учетную запись обычного пользователя, вам потребуется предоставить ей дополнительные разрешения позднее в этой процедуре.

  2. Если учетная запись, созданная или полученная на шаге 1, не включена автоматически в группу локальные Администраторы на компьютерах домена, добавьте учетную запись в локальную группу администраторов на серверах, которые будут узлами в отказоустойчивом кластере:

    1. Щелкните Пуск, затем Администрирование и Диспетчер серверов.

    2. В дереве консоли разверните узел Конфигурация, затем узел Локальные пользователи и группы, а затем узел группы.

    3. В центральной области щелкните правой кнопкой мыши элемент Администраторы, выберите команду Добавить в группу, а затем нажмите кнопку добавить.

    4. В разделе Введите имена объектов для выбора введите имя учетной записи пользователя, созданной или полученной на шаге 1. При появлении запроса введите имя учетной записи и пароль с достаточными разрешениями для этого действия. Нажмите кнопку ОК.

    5. Повторите эти действия на каждом сервере, который будет узлом отказоустойчивого кластера.

    Важно!

    Эти действия необходимо повторить на всех серверах, которые будут узлами в кластере.

  3. Если учетная запись, созданная или полученная на шаге 1, является учетной записью администратора домена, пропустите оставшуюся часть этой процедуры. В противном случае предоставьте учетной записи разрешения на Создание объектов компьютеров и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене.

    1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    2. Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .

      Если выбран параметр Дополнительные функции , вкладка Безопасность отображается в свойствах учетных записей (объектов) в Active Directory пользователи и компьютеры.

    3. Щелкните правой кнопкой мыши контейнер Компьютеры по умолчанию или контейнер по умолчанию, в котором создаются учетные записи компьютеров в домене, а затем нажмите кнопку свойства. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.

    4. На вкладке Безопасность нажмите кнопку Дополнительно.

    5. Нажмите кнопку Добавить, введите имя учетной записи, созданной или полученной на шаге 1, а затем нажмите кнопку ОК.

    6. В диалоговом окне запись разрешения для контейнера выберите разрешения Создание объектов компьютера и чтение всех свойств и убедитесь, что флажок Разрешить установлен для каждого из них.

      Снимок экрана, на котором для параметра Create Computer objects задано значение Allow.

Действия по предварительной настройке учетной записи имени кластера

Обычно проще, если вы не предготовите учетную запись имени кластера, а вместо этого разрешаете создание и настройку учетной записи автоматически при запуске мастера создания кластера. Однако, если необходимо предварительно подготовить учетную запись имени кластера из-за требований в Организации, используйте следующую процедуру.

Необходимым минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или эквивалентной. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477 . Обратите внимание, что для этой процедуры можно использовать ту же учетную запись, которая будет использоваться при создании кластера.

Предварительная настройка учетной записи имени кластера

  1. Убедитесь, что известно имя кластера, и имя учетной записи пользователя, которая будет использоваться пользователем, создавшим кластер. (Обратите внимание, что для выполнения этой процедуры можно использовать эту учетную запись.)

  2. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши Компьютеры или контейнер по умолчанию, в котором создаются учетные записи компьютеров в вашем домене. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.

  4. Щелкните создать , а затем — компьютер.

  5. Введите имя, которое будет использоваться для отказоустойчивого кластера, иными словами, имя кластера, которое будет указано в мастере создания кластера, и нажмите кнопку ОК.

  6. Щелкните только что созданную учетную запись правой кнопкой мыши и выберите пункт Отключить учетную запись. Если будет предложено подтвердить выбор, нажмите кнопку Да.

    Учетная запись должна быть отключена, чтобы при запуске мастера создания кластера можно было убедиться, что учетная запись, которая будет использоваться для кластера, в настоящее время не используется существующим компьютером или кластером в домене.

  7. Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .

    Если выбран параметр Дополнительные функции , вкладка Безопасность отображается в свойствах учетных записей (объектов) в Active Directory пользователи и компьютеры.

  8. Щелкните правой кнопкой мыши папку, которую вы щелкнули на шаге 3 правой кнопкой мыши, и выберите пункт Свойства.

  9. На вкладке Безопасность нажмите кнопку Дополнительно.

  10. Нажмите кнопку Добавить, выберите пункт типы объектов и убедитесь, что выбран пункт Компьютеры , а затем нажмите кнопку ОК. Затем в разделе введите имя объекта для выбора введите имя только что созданной учетной записи компьютера и нажмите кнопку ОК. Если появится сообщение о том, что вы собираетесь добавить отключенный объект, нажмите кнопку ОК.

  11. В диалоговом окне запись разрешения выберите разрешения Создание объектов компьютера и чтение всех свойств и убедитесь, что флажок Разрешить установлен для каждого из них.

    Диалоговое окно "запись разрешений"

  12. Нажмите кнопку ОК , чтобы вернуться в оснастку Active Directory пользователи и компьютеры .

  13. Если вы используете ту же учетную запись для выполнения этой процедуры, которая будет использоваться для создания кластера, пропустите оставшиеся шаги. В противном случае необходимо настроить разрешения таким образом, чтобы учетная запись пользователя, которая будет использоваться для создания кластера, полностью могла управлять только что созданной учетной записью компьютера.

    1. Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .

    2. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.

    3. На вкладке Безопасность нажмите кнопку Добавить. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    4. Используйте диалоговое окно Выбор пользователей, компьютеров или групп , чтобы указать учетную запись пользователя, которая будет использоваться при создании кластера. Нажмите кнопку ОК.

    5. Убедитесь, что выбрана только что добавленная учетная запись пользователя, а затем рядом с полем полный доступ установите флажок Разрешить .

      Снимок экрана, на котором показана вкладка "безопасность" в диалоговом окне свойств Cluster1.

Действия по предварительной настройке учетной записи для кластеризованной службы или приложения

Обычно проще, если вы не выполняете предварительную настройку учетной записи компьютера для кластеризованной службы или приложения, а вместо этого разрешаете создавать и настраивать учетную запись автоматически при запуске мастера высокой доступности. Однако, если требуется предварительная настройка учетных записей из-за требований в Организации, используйте следующую процедуру.

Членство в группе " Операторы учетных записей " или эквивалентной ей является минимальным требованием для выполнения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477 .

Предварительная настройка учетной записи для кластеризованной службы или приложения

  1. Убедитесь, что известно имя кластера и имя, которое будет иметь кластерная служба или приложение.

  2. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши Компьютеры или контейнер по умолчанию, в котором создаются учетные записи компьютеров в вашем домене. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.

  4. Щелкните создать , а затем — компьютер.

  5. Введите имя, которое будет использоваться для кластеризованной службы или приложения, а затем нажмите кнопку ОК.

  6. Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .

    Если выбран параметр Дополнительные функции , вкладка Безопасность отображается в свойствах учетных записей (объектов) в Active Directory пользователи и компьютеры.

  7. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.

  8. На вкладке Безопасность нажмите кнопку Добавить.

  9. Щелкните типы объектов и убедитесь, что выбран пункт Компьютеры , а затем нажмите кнопку ОК. Затем в разделе введите имя объекта для выбора введите учетную запись имени кластера и нажмите кнопку ОК. Если появится сообщение о том, что вы собираетесь добавить отключенный объект, нажмите кнопку ОК.

  10. Убедитесь, что выбрана учетная запись имени кластера, а затем рядом с параметром полный доступ установите флажок Разрешить .

    Вкладка "Безопасность"

Как описано ранее в этом разделе, при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отказоустойчивого кластера создают необходимые учетные записи Active Directory и предоставляют им правильные разрешения. Если нужная учетная запись удаляется или изменяются необходимые разрешения, могут возникнуть проблемы. В следующих подразделах приведены шаги по устранению этих проблем.

Действия по устранению неполадок с паролями в учетной записи имени кластера

Эта процедура используется, если имеется сообщение о событии объектов-компьютеров или об удостоверении кластера, включающем следующий текст. Обратите внимание, что этот текст будет находиться в сообщении о событии, а не в начале сообщения о событии:

Logon failure: unknown user name or bad password.

Сообщения о событиях, соответствующие предыдущему описанию, указывают на то, что пароль для учетной записи имени кластера и соответствующий пароль, хранящиеся в программном обеспечении для кластеризации, больше не совпадают.

Сведения о том, как обеспечить наличие у администраторов кластера правильных разрешений для выполнения следующей процедуры по мере необходимости, см. в разделе Планирование предварительной настройки для сброса пароля и других способов обслуживания учетных записей ранее в этом руководством.

Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной. Кроме того, учетная запись должна иметь разрешение на Сброс пароля для учетной записи имени кластера (если учетная запись не является учетной записью администратора домена или не является владельцем создателя учетной записи имени кластера). Для этой процедуры можно использовать учетную запись, которая использовалась для пользователя, установившего кластер. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477 .

Устранение неполадок с паролем в учетной записи имени кластера

  1. Чтобы открыть оснастку управления отказоустойчивыми кластерами, нажмите кнопку Пуск, выберите пункт Администрирование, после чего щелкните Управление отказоустойчивыми кластерами. (При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.)

  2. Если в оснастке "Управление отказоустойчивым кластером" не отображается кластер, который требуется настроить, щелкните правой кнопкой мыши элемент Управление отказоустойчивыми кластерами в дереве консоли, выберите в меню пункт Управление кластером, а затем выберите или укажите требуемый кластер.

  3. В центральной области разверните Ресурсы ядра кластера.

  4. В разделе Имя кластера щелкните правой кнопкой мыши элемент Имя, наведите указатель мыши на Дополнительные действия и выберите Восстановить объект Active Directory.

Если учетная запись имени кластера удалена или из нее были предоставлены разрешения, то при попытке настроить новую кластеризованную службу или приложение возникнут проблемы. Для устранения проблемы, связанной с этой причиной, используйте оснастку Active Directory пользователи и компьютеры для просмотра или изменения учетной записи имени кластера и других связанных учетных записей. Сведения о событиях, регистрируемых при возникновении проблем такого типа (событие 1193, 1194, 1206 или 1207), см. в разделе https://go.microsoft.com/fwlink/?LinkId=118271 .

Необходимым минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или эквивалентной. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477 .

  1. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  2. Разверните контейнер Компьютеры по умолчанию или папку, в которой находится учетная запись имени кластера (учетная запись компьютера для кластера). Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.

  3. Проверьте значок учетной записи имени кластера. Она не должна иметь направленной вниз стрелки, то есть учетная запись не должна быть отключена. Если она отключена, щелкните ее правой кнопкой мыши и найдите команду включить учетную запись. Если вы видите команду, щелкните ее.

  4. Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .

    Если выбран параметр Дополнительные функции , вкладка Безопасность отображается в свойствах учетных записей (объектов) в Active Directory пользователи и компьютеры.

  5. Щелкните правой кнопкой мыши контейнер Компьютеры по умолчанию или папку, в которой находится учетная запись имени кластера.

  6. Нажмите кнопку Свойства.

  7. На вкладке Безопасность нажмите кнопку Дополнительно.

  8. В списке учетных записей с разрешениями выберите учетную запись имя кластера и нажмите кнопку изменить.

Примечание

Если учетная запись имени кластера отсутствует в списке, нажмите кнопку Добавить и добавьте ее в список.

  1. Для учетной записи имени кластера (также известной как объект имени кластера или CNO) убедитесь, что параметр Разрешить выбран для разрешений Создание объектов-компьютеров и чтение всех свойств .

    Снимок экрана, на котором отображается диалоговое окно "запись разрешения" с параметром создать объекты компьютеров, имеющим значение Разрешить.

  2. Нажмите кнопку ОК , чтобы вернуться в оснастку Active Directory пользователи и компьютеры .

  3. Проверьте политики домена (консультации с администратором домена, если это применимо), связанные с созданием учетных записей компьютеров (объектов). Убедитесь, что учетная запись имени кластера может создавать учетную запись компьютера каждый раз при настройке кластеризованной службы или приложения. Например, если администратор домена настроил параметры, которые приводят к созданию всех новых учетных записей компьютеров в специализированном контейнере, а не в контейнере компьютеров по умолчанию, убедитесь, что эти параметры позволяют учетной записи имени кластера создавать новые учетные записи компьютеров в этом контейнере.

  4. Разверните контейнер Компьютеры по умолчанию или контейнер, в котором находится учетная запись компьютера для одной из кластеризованных служб или приложений.

  5. Щелкните правой кнопкой мыши учетную запись компьютера для одной из кластеризованных служб или приложений и выберите пункт Свойства.

  6. На вкладке Безопасность убедитесь, что учетная запись имени кластера указана в списке учетных записей, имеющих разрешения, и выберите ее. Убедитесь, что учетная запись имени кластера имеет разрешение полный доступ (флажок Разрешить установлен). В противном случае добавьте учетную запись имени кластера в список и предоставьте ей разрешение полный доступ.

Вкладка "Безопасность"

  1. Повторите шаги 13-14 для каждой кластеризованной службы и приложения, настроенного в кластере.

  2. Убедитесь, что квота на уровне домена для создания объектов-компьютеров (по умолчанию 10) не достигнута (консультации с администратором домена, если это применимо). Если предыдущие элементы в этой процедуре были проверены и исправлены, и если квота достигнута, попробуйте увеличить квоту. Чтобы изменить квоту, сделайте следующее:

  3. Откройте командную строку от имени администратора и запустите ADSIEdit. msc.

  4. щелкните правой кнопкой мыши элемент ADSI Edit, выберите пункт Подключение, а затем нажмите кнопку ок. Контекст именования по умолчанию добавляется в дерево консоли.

  5. Дважды щелкните контекст именования по умолчанию, щелкните правой кнопкой мыши объект домена под ним и выберите пункт свойства.

  6. Прокрутите до пункта MS-DS-мачинеаккаунткуота, выберите его, щелкните изменить, измените значение и нажмите кнопку ОК.