Behandeln von Problemen mit Konten, die von Failoverclustern verwendet werden

Dieser Artikel enthält Anleitungen zur Problembehandlung bei Konten, die von Failoverclustern verwendet werden.

Wenn Sie einen Failovercluster erstellen und gruppierte Dienste oder Anwendungen konfigurieren, erstellt der Failovercluster-Assistent die erforderlichen Active Directory-Konten und erteilt ihnen die richtigen Berechtigungen. Probleme können auftreten, wenn ein erforderliches Konto gelöscht oder die erforderlichen Berechtigungen geändert werden. In den folgenden Abschnitten finden Sie Schritte zur Behandlung dieser Probleme.

Behandeln von Kennwortproblemen mit dem Clusternamenkonto

Sie erhalten eine Ereignismeldung zu Computerobjekten oder der Clusteridentität, die den folgenden Text enthält:

Logon failure: unknown user name or bad password.

Die Ereignismeldung gibt an, dass das Kennwort für das Clusternamenkonto nicht mehr mit dem entsprechenden Kennwort übereinstimmt, das von der Clusteringsoftware gespeichert wurde.

Hinweis

So führen Sie die folgenden Schritte aus:

• Ihr Konto sollte mindestens Mitglied der lokalen Administratorgruppe (oder einer gleichwertigen Gruppe) sein. Darüber hinaus sollte Ihrem Konto die Berechtigung Kennwort zurücksetzen für das Clusternamenkonto erteilt werden (es sei denn, es handelt sich um ein Domänenadministratorkonto oder der Erstellerbesitzer des Clusternamenkontos).
• Sie können das Konto verwenden, das zum Installieren des Clusters verwendet wurde.

Weitere Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Weitere Informationen zum Sicherstellen, dass die Clusteradministratoren über die richtigen Berechtigungen verfügen, finden Sie unter Planen von Kennwortzurücksetzungen und anderer Kontowartungen im Voraus.

Führen Sie die folgenden Schritte aus, um diese Probleme zu beheben:

1. Wählen Sie Start aus, wechseln Sie zu Verwaltung, und wählen Sie dann Failovercluster-Manager aus, um das Failovercluster-Snap-In zu öffnen. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Wünschen entspricht, und wählen Sie dann Ja aus.

2. Überprüfen Sie im Failovercluster-Manager-Snap-In , ob der Cluster angezeigt wird, den Sie konfigurieren möchten. Wenn es nicht angezeigt wird, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Failovercluster-Manager, wählen Sie Cluster verwalten aus, und wählen Sie dann den gewünschten Cluster aus, oder geben Sie ihn an.

3. Erweitern Sie im mittleren Bereich cluster core resources (Kernressourcen für Cluster).

4. Klicken Sie unter Clustername mit der rechten Maustaste auf das Element Name , und wählen Sie offline schalten aus.

5. Klicken Sie unter Clustername mit der rechten Maustaste auf das Element Name , zeigen Sie auf Weitere Aktionen, und wählen Sie dann Active Directory-Objekt reparieren aus.

   Hinweis

   Die Option Active Directory-Objekt reparieren ist abgeblendet, es sei denn, die Name-Ressource des Clusters ist offline. Das Offline-Schalten der Name-Ressource des Clusters sollte sich nicht negativ auf andere Clustergruppen auswirken, z. B. die SQL Server-Failoverclusterinstanz. Dies liegt daran, dass diese anderen Clustergruppen nicht von der Name-Ressource des Clusters abhängig sind.

Behandeln von Problemen, die durch Änderungen an clusterbezogenen Active Directory-Konten verursacht werden

Wenn das Clusternamenkonto gelöscht oder Berechtigungen aus dem Konto entfernt werden, treten Probleme auf, wenn Sie versuchen, einen neuen gruppierten Dienst oder eine neue gruppierte Anwendung zu konfigurieren. Verwenden Sie in diesem Szenario das Active Directory-Benutzer und -Computer-Snap-In, um das Clusternamenkonto und andere zugehörige Konten anzuzeigen oder zu ändern.

Weitere Informationen zu den zugehörigen Ereignissen (Ereignis-IDs 1193, 1194, 1206 und 1207) finden Sie unter Active Directory-Berechtigungen für Clusterkonten.

Hinweis

Für die folgenden Schritte ist mindestens die Mitgliedschaft in der Gruppe "Domänenadministratoren" (oder einer entsprechenden Gruppe) erforderlich. Weitere Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Führen Sie die folgenden Schritte aus, um diese Probleme zu beheben:

1. Wählen Sie auf einem Domänencontroller Start aus, wechseln Sie zu Verwaltung, und wählen Sie dann Active Directory-Benutzer und -Computer aus. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Wünschen entspricht, und wählen Sie dann Ja aus.

2. Erweitern Sie den Standardcontainer Computer oder den Ordner, in dem sich das Clusternamenkonto (das Computerkonto für den Cluster) befindet. Der Container Computer befindet sich unter Active Directory-Benutzer und -Computer\<domain-node>\Computers.

3. Überprüfen Sie das Symbol für das Clusternamenkonto. Das Konto sollte nicht durch einen nach unten zeigenden Pfeil deaktiviert werden. Wenn die Option deaktiviert ist, klicken Sie mit der rechten Maustaste darauf, und wählen Sie nach Möglichkeit Konto aktivieren aus.

4. Stellen Sie sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.

   Wenn die Option Erweiterte Features ausgewählt ist, wird die Registerkarte Sicherheit in den Eigenschaften von Konten (Objekten) in Active Directory-Benutzer und -Computer angezeigt.

5. Klicken Sie mit der rechten Maustaste auf den Standardcontainer Computer oder den Ordner, in dem sich das Clusternamenkonto befindet, und wählen Sie dann Eigenschaften aus.

6. Wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus.

7. Wählen Sie in der Liste der Konten mit Berechtigungen das Clusternamenkonto und dann Bearbeiten aus.

   Hinweis

   Wenn das Clusternamenkonto nicht aufgeführt ist, wählen Sie Hinzufügen aus, und fügen Sie es der Liste hinzu.

8. Stellen Sie für das Clusternamenkonto (auch als Clusternamenobjekt oder CNO bezeichnet) sicher, dass das Kontrollkästchen Zulassen für die Berechtigungen Computerobjekte erstellen und Alle Eigenschaften lesen aktiviert ist.

   

9. Wählen Sie OK aus, bis Sie zum Active Directory-Benutzer und -Computer-Snap-In zurückkehren.

10. Überprüfen Sie domänenrichtlinien (wenden Sie sich ggf. an einen Domänenadministrator), die sich auf die Erstellung von Computerkonten (Objekten) beziehen. Stellen Sie sicher, dass das Clusternamenkonto jedes Mal ein Computerkonto erstellen kann, wenn Sie einen gruppierten Dienst oder eine gruppierte Anwendung konfigurieren. Wenn Ihr Domänenadministrator beispielsweise Einstellungen konfiguriert hat, die dazu führen, dass alle neuen Computerkonten in einem spezialisierten Container anstelle des Standardcontainers Computer erstellt werden, stellen Sie sicher, dass diese Einstellungen auch dem Clusternamenkonto erlauben, neue Computerkonten in diesem Container zu erstellen.

11. Erweitern Sie den Standardcontainer Computer oder den Container, in dem sich das Computerkonto für einen der gruppierten Dienste oder Anwendungen befindet.

12. Klicken Sie mit der rechten Maustaste auf das Computerkonto für einen der gruppierten Dienste oder Anwendungen, und wählen Sie dann Eigenschaften aus.

13. Vergewissern Sie sich auf der Registerkarte Sicherheit , dass das Clusternamenkonto unter den Konten mit Berechtigungen aufgeführt ist, und wählen Sie es aus. Vergewissern Sie sich, dass das Clusternamenkonto über die Berechtigung Vollzugriff verfügt (das Kontrollkästchen Zulassen ist aktiviert). Wenn dies nicht der Fall ist, fügen Sie das Clusternamenkonto zur Liste hinzu, und erteilen Sie ihr die Berechtigung Vollzugriff .

    

14. Wiederholen Sie die Schritte 12 bis 13 für jeden gruppierten Dienst und jede anwendung, die im Cluster konfiguriert sind.

15. Stellen Sie sicher, 10dass das domänenweite Kontingent (standardmäßig ) zum Erstellen von Computerobjekten nicht erreicht wurde (wenden Sie sich ggf. an einen Domänenadministrator). Wenn alle vorherigen Elemente in diesem Verfahren überprüft und korrigiert wurden und das Kontingent erreicht wurde, sollten Sie erwägen, das Kontingent zu erhöhen. Führen Sie die folgenden Schritte aus, um das Kontingent zu ändern:

    1. Öffnen Sie eine Eingabeaufforderung als Administrator, und führen Sie den ADSIEdit.msc Befehl aus.
    2. Klicken Sie mit der rechten Maustaste auf ADSI Bearbeiten, und wählen Sie dann MitOKverbinden> aus. Anschließend wird der Konsolenstruktur der Standardbenennungskontext hinzugefügt.
    3. Doppelklicken Sie auf Standardbenennungskontext, klicken Sie mit der rechten Maustaste auf das Domänenobjekt darunter, und wählen Sie dann Eigenschaften aus.
    4. Scrollen Sie zu ms-DS-MachineAccountQuota , und wählen Sie es aus. Wählen Sie Bearbeiten aus, ändern Sie den Wert, und klicken Sie dann auf OK.