Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie ein gelöschtes Computerobjekt wiederherstellen, das eine Netzwerknamenressource in einem Failovercluster unterstützt.
Ursprüngliche KB-Nummer: 950805
Übersicht
Das Sicherheitsmodell in Windows Server-Failoverclustering umfasst die Kerberos-Authentifizierung. Um dieses Sicherheitsmodell zu implementieren, enthält jeder Clientzugriffspunkt (CAP), der in einem Failovercluster erstellt wird, eine Netzwerknamenressource. Die Netzwerkname-Ressource verfügt über ein entsprechendes Computerkonto, das im Active Directory-Verzeichnisdienst erstellt wird, wenn die Ressource zum ersten Mal online ist.
Standardmäßig wird das Computerkonto im Container "Computer" erstellt. Das Computerkonto kann jedoch in eine andere Organisationseinheit (OU) verschoben werden. Das Computerkonto kann auch in einer OU vorab bereitgestellt werden, bevor die CAP erstellt wird. Wenn diese Computerkonten aus Active Directory gelöscht werden, wird die Verfügbarkeit der Netzwerknamenressource reduziert.
Die computerkonten, die in Active Directory erstellt werden, stellen die Netzwerknamenressourcen in einem Failovercluster dar. Diese Konten weisen die folgenden unterschiedlichen Typen auf:
Das Computerkonto, das den Namen des Clusters darstellt, wird als Clustername-Objekt (Cluster Name Object, CNO) bezeichnet. Dieses Konto ist der primäre Sicherheitskontext für einen Cluster.
Andere Computerkonten, die zu Netzwerknamenressourcen im selben Cluster gehören, werden als Virtuelle Computerobjekte (Virtual Computer Objects, VCOs) bezeichnet. Diese Konten werden vom CNO erstellt. Wenn eines dieser Konten aus Active Directory gelöscht wird, schlägt der Netzwerkname das nächste Mal online, schlägt der Netzwerkname fehl, und die Ereignis-ID 1207 wird im Systemprotokoll protokolliert:
Event Level: Error Event Source: FailoverClustering Event ID: 1207 Description: Cluster network name resource <ResourceName> cannot be brought online. The computer object associated with the resource could not be updated in domain <DomainName> for the following reason: The text for the associated error code is: There is no such object on the server. The cluster identity <CNO$Name> may lack permissions required to update the object. Work with your domain administrator to ensure the cluster identity can update computer objects in the domain.
Und die folgenden Nachrichten werden im Clusterprotokoll protokolliert:
WARN [RES] Network Name <FSCAP01>: Trying to remove credentials for LocalSystem returned status C0000225, STATUS_NOT_FOUND is a non-critical failure for a remove operation INFO [RES] Network Name <FSCAP01>: Initiating the Network Name operation: 'Verifying computer object associated with network name resource FSCAP01' INFO [RES] Network Name <FSCAP01>: Trying to find computer account FSCAP01 object GUID(d66e09dd8857e84da1f3a26fb1903e38) on any available domain controller. WARN [RES] Network Name <FSCAP01>: Search for existing computer account failed. status 80072030 WARN [RES] Network Name <FSCAP01>: Search for existing computer account failed. status 80072030 INFO [RES] Network Name <FSCAP01>: Trying to find object d66e09dd8857e84da1f3a26fb1903e38 on a PDC. WARN [RES] Network Name <FSCAP01>: Search for existing computer account failed. status 80072030 INFO [RES] Network Name <FSCAP01>: Unable to find object d66e09dd8857e84da1f3a26fb1903e38 on a PDC. INFO [RES] Network Name <FSCAP01>: GetComputerObjectViaGUIDEx() failed, Status 80072030. WARN [RES] Network Name <FSCAP01>: Trying to remove credentials for LocalSystem returned status C0000225, STATUS_NOT_FOUND is a non-critical failure for a remove operation WARN [RHS] Resource FSCAP01 has indicated that it cannot come online on this node. WARN [RCM] HandleMonitorReply: ONLINERESOURCE for 'FSCAP01', gen(8) result 5015.
Notiz
Status 80072030 = Es gibt kein solches Objekt auf dem Server.
Allerdings treten Probleme auch dann auf, wenn die Netzwerknamenressource offline und online umgeschaltet wird. Beispielsweise kann ein Benutzer oder eine hoch verfügbare Anwendung nicht auf Ressourcen zugreifen, wenn ein Sicherheitstoken, das das Clustercomputerobjekt in Active Directory darstellt, nicht abgerufen werden kann.
Zum Wiederherstellen des Löschens eines Computerobjekts, das einer Clusternetzwerkname-Ressource zugeordnet ist, unterscheidet sich dies für einen CNO von der Löschung eines Computerobjekts für eine VCO.
Führen Sie die folgenden Schritte aus, um ein gelöschtes Computerobjekt wiederherzustellen, das dem CNO entspricht:
Koordinieren Sie mit einem Domänenadministrator, um das gelöschte Computerobjekt zuerst aus dem Active Directory-Papierkorb wiederherzustellen, falls sie aktiviert ist.
Notiz
Wenn der Active Directory-Papierkorb nicht aktiviert ist, besteht die einzige unterstützte Methode zum Wiederherstellen eines gelöschten CNO darin, den Cluster zu löschen und neu zu erstellen.
Stellen Sie sicher, dass das Computerobjekt am richtigen Speicherort wiederhergestellt wurde, und aktivieren Sie dann das Konto.
Erzwingen Sie, dass die Domänenreplikation auftritt, oder warten Sie auf das konfigurierte Replikationsintervall.
Klicken Sie im MMC-Snap-In (Failover Cluster Management Management) mit der rechten Maustaste auf den Netzwerknamen, der dem Clusternamen entspricht, zeigen Sie auf "Weitere Aktionen", und wählen Sie dann "Active Directory-Objekt reparieren" aus.
Notiz
Der Benutzer, der diese Schritte im MMC-Snap-In für die Failoverclusterverwaltung ausführt, muss auch über die Berechtigung "Kennwörter zurücksetzen" in der Domäne verfügen.
Führen Sie die folgenden Schritte aus, um ein gelöschtes Computerobjekt wiederherzustellen, das einem VCO entspricht:
- Koordinieren Sie mit einem Domänenadministrator, um das gelöschte Computerobjekt zuerst aus dem Active Directory-Papierkorb wiederherzustellen, falls sie aktiviert ist.
- Stellen Sie sicher, dass das Computerobjekt am richtigen Speicherort wiederhergestellt wurde, und aktivieren Sie dann das Konto.
- Zeigen Sie die Sicherheitseinstellungen für das Computerobjekt an, und stellen Sie dann sicher, dass der CNO weiterhin über Berechtigungen für das Objekt verfügt.
- Erzwingen der Domänenreplikation oder Warten auf das konfigurierte Replikationsintervall.
- Klicken Sie im MMC-Snap-In für die Failoverclusterverwaltung mit der rechten Maustaste auf die Ressource "Netzwerkname fehlgeschlagen", und wählen Sie dann "Diese Ressource online übertragen" aus. Wenn ein gelöschtes Computerobjekt nicht mehr im Active Directory-Papierkorb vorhanden ist, wurde das Objekt nie vorhanden, oder es wurde nach besprechungs- oder Überschreitung der Grabsteinlebensdauer gelöscht und garbage gesammelt. Stellen Sie AD niemals aus einer Sicherung wieder her, die älter als die Lebensdauer des Grabsteins ist. Dies kann dazu führen, dass Objekte in der Umgebung verharren.