Vorabbereitstellen von Clustercomputerobjekten in Active Directory Domain Services

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, Versionen 21H2 und 20H2

In diesem Thema wird gezeigt, wie Sie Clustercomputerobjekte in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) vorab bereitstellen. Sie können mit diesem Verfahren Benutzern oder Gruppen, die nicht über Berechtigungen zum Erstellen von Computerobjekten in AD DS verfügen, das Erstellen eines Failoverclusters ermöglichen.

Beim Erstellen eines Failoverclusters mit dem Clustererstellungs-Assistenten oder mit Windows PowerShell müssen Sie einen Namen für den Cluster angeben. Wenn Sie beim Erstellen des Clusters über ausreichende Berechtigungen verfügen, wird automatisch in AD DS ein Computerobjekt erstellt, das den gleichen Namen hat wie der Cluster. Dieses Objekt wird als Clusternamenobjekt oder CNO bezeichnet. Über das CNO werden automatisch virtuelle Computerobjekte (VCOs) erstellt, wenn Sie Clusterrollen konfigurieren, von denen Clientzugriffspunkte verwendet werden. Wenn Sie beispielsweise einen hoch verfügbaren Dateiserver mit einem Clientzugriffspunkt mit dem Namen Dateiserver1erstellen, wird vom CNO ein entsprechendes VCO in AD DS erstellt.

Hinweis

Es gibt die Möglichkeit, einen Active Directory-getrennten Cluster zu erstellen, in dem keine CNO- oder VCOs in AD DS erstellt werden. Diese Möglichkeit ist für bestimmte Typen von Clusterbereitstellungen gedacht. Weitere Informationen finden Sie unter Bereitstellen eines von Active Directory getrennten Clusters.

Für die automatische Erstellung des CNOs benötigt der Benutzer, der den Failovercluster erstellt, die Berechtigung Computerobjekte erstellen für die Organisationseinheit (Organizational Unit, OU) oder den Container, in dem sich die Server befinden, aus denen der Cluster gebildet werden soll. Ein Benutzer mit entsprechenden Berechtigungen in AD DS (normalerweise ein Domänenadministrator) kann das CNO vorab in AD DS bereitstellen, damit ein Benutzer oder eine Gruppe ohne diese Berechtigung einen Cluster erstellen kann. Dadurch hat der Domänenadministrator außerdem mehr Kontrolle über die für den Cluster verwendete Benennungskonvention sowie darüber, in welcher Organisationseinheit die Clusterobjekte erstellt werden.

Schritt 1: Vorabbereitstellen des CNOs in AD DS

Bevor Sie beginnen, sollten Sie sicherstellen, dass folgende Informationen vorhanden sind:

  • Der Name, den Sie dem Cluster zuweisen möchten
  • Der Name des Benutzerkontos oder der Gruppe, für die Sie Rechte zum Erstellen des Clusters erteilen möchten

Als bewährte Methode wird empfohlen, eine Organisationseinheit für die Clusterobjekte zu erstellen. Wenn bereits eine Organisationseinheit vorhanden ist, die Sie verwenden möchten, ist zum Ausführen dieses Schritts mindestens die Mitgliedschaft in der Gruppe Konten-Operatoren erforderlich. Wenn Sie eine Organisationseinheit für die Clusterobjekte erstellen, müssen Sie mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um diesen Schritt auszuführen.

Hinweis

Wenn Sie das CNO im Standardcontainer %%amp;quot;Computer%%amp;quot; anstatt in einer Organisationseinheit erstellen, müssen Sie Schritt 3 dieses Themas nicht ausführen. In diesem Szenario kann ein Clusteradministrator bis zu zehn VCOs ohne zusätzliche Konfiguration erstellen.

Vorbereiten des CNO in AD DS

  1. Öffnen Sie auf einem Computer, auf dem die AD DS-Tools aus den Remoteserver-Verwaltungstools installiert sind, oder auf einem Domänencontroller das Snap-In Active Directory-Benutzer und -Computer. Um dies auf einem Server zu tun, starten Sie Server-Manager, und wählen Sie dann im Menü "Extras" Active Directory-Benutzer und -Computer aus.

  2. Wenn Sie eine OU für die Clustercomputerobjekte erstellen möchten, klicken Sie mit der rechten Maustaste auf den Domänennamen oder eine vorhandene OU, zeigen Sie auf "Neu", und wählen Sie dann " Organisationseinheit" aus. Geben Sie im Feld "Name " den Namen der OU ein, und wählen Sie dann "OK" aus.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die OU, in der Sie den CNO erstellen möchten, zeigen Sie auf "Neu", und wählen Sie dann " Computer" aus.

  4. Geben Sie im Feld " Computername " den Namen ein, der für den Failovercluster verwendet wird, und wählen Sie dann OK aus.

    Hinweis

    Diesen Clusternamen gibt der Benutzer, der den Cluster erstellt, auf der Seite Zugriffspunkt für die Clusterverwaltung im Clustererstellungs-Assistenten oder als Wert des –Name -Parameters für das Windows PowerShell-Cmdlet New-Cluster an.

  5. Klicken Sie als bewährte Methode mit der rechten Maustaste auf das gerade erstellte Computerkonto, wählen Sie Eigenschaften aus, und wählen Sie dann die Registerkarte "Objekt " aus. Aktivieren Sie auf der Registerkarte "Objekt " das Kontrollkästchen " Objekt vor versehentlichem Löschen schützen", und wählen Sie dann "OK" aus.

  6. Klicken Sie mit der rechten Maustaste auf das Computerkonto, das Sie gerade erstellt haben, und wählen Sie dann " Konto deaktivieren" aus. Wählen Sie "Ja " aus, um zu bestätigen, und wählen Sie dann "OK" aus.

    Hinweis

    Sie müssen das Konto deaktivieren, damit bei der Clustererstellung überprüft werden kann, ob das Konto zurzeit von einem vorhandenen Computer oder Cluster in der Domäne verwendet wird.

Disabled CNO in the example Clusters OU

Abbildung 1. Deaktiviertes CNO in der Beispielorganisationseinheit %%amp;quot;Cluster%%amp;quot;

Schritt 2: Erteilen der Benutzerberechtigungen zum Erstellen des Clusters

Sie müssen Berechtigungen konfigurieren, damit das Benutzerkonto, das zum Erstellen des Failoverclusters verwendet wird, über Vollzugriff auf das gerade erstellte CNO verfügt:

Sie müssen mindestens Mitglied der Gruppe Konten-Operatoren sein, um diesen Schritt ausführen zu können.

Hier erfahren Sie, wie Sie den Benutzerberechtigungen zum Erstellen des Clusters erteilen:

  1. Stellen Sie in %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.

  2. Suchen Und klicken Sie dann mit der rechten Maustaste auf den CNO, und wählen Sie dann "Eigenschaften" aus.

  3. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus.

  4. Geben Sie im Dialogfeld "Benutzer auswählen", "Computer" oder "Gruppen " das Benutzerkonto oder die Gruppe an, die Sie Berechtigungen erteilen möchten, und wählen Sie dann "OK" aus.

  5. Wählen Sie das gerade hinzugefügte Benutzerkonto bzw. die gerade hinzugefügte Gruppe aus, und aktivieren Sie dann neben Vollzugriff das Kontrollkästchen Zulassen.

    Granting Full Control to the user or group that will create the cluster

    Abbildung 2. Erteilen der Benutzer- oder Gruppenberechtigungen zum Erstellen des Clusters

  6. Wählen Sie OK aus.

Nach Abschluss dieses Schritts kann der Benutzer, dem Sie Berechtigungen erteilt haben, den Failovercluster erstellen. Wenn sich das CNO jedoch in einer Organisationseinheit befindet, kann der Benutzer erst dann Clusterrollen erstellen, für die ein Clientzugriffspunkt erforderlich ist, wenn Sie Schritt 3 abgeschlossen haben.

Hinweis

Wenn sich das CNO im Standardcontainer %%amp;quot;Computer%%amp;quot; befindet, kann ein Clusteradministrator bis zu zehn VCOs ohne zusätzliche Konfiguration erstellen. Zum Hinzufügen von mehr als zehn VCOs müssen Sie explizit die Berechtigung Computerobjekte erstellen für das CNO für den Container %%amp;quot;Computer%%amp;quot; erteilen.

Schritt 3: Erteilen der CNO-Berechtigungen für die Organisationseinheit oder Vorabbereitstellen von VCOs für Clusterrollen

Wenn Sie eine Clusterrolle mit einem Clientzugriffspunkt erstellen, wird vom Cluster ein VCO in der gleichen Organisationseinheit erstellt, in der sich das CNO befindet. Damit dies automatisch geschieht, muss das CNO über Berechtigungen zum Erstellen von Computerobjekten in der Organisationseinheit verfügen.

Wenn Sie das CNO vorab in AD DS bereitgestellt haben, können Sie eine der folgenden Aktionen ausführen, um VCOs zu erstellen:

  • Option 1: Erteilen der CNO-Berechtigungen für die Organisationseinheit. Wenn Sie diese Option verwenden, können vom Cluster automatisch VCOs in AD DS erstellt werden. Daher kann ein Administrator für den Failovercluster Clusterrollen erstellen und muss Sie dazu nicht bitten, VCOs vorab in AD DS bereitstellen.

Hinweis

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um die Schritte für diese Option ausführen zu können.

  • Option 2: Prestage a VCO for a clustered role. Verwenden Sie diese Option, wenn aufgrund von Anforderungen in der Organisation Konten für Clusterrollen vorab bereitgestellt werden müssen. Beispielsweise kann es sein, dass Sie die Benennungskonvention steuern möchten, oder steuern möchten, welche Clusterrollen erstellt werden.

Hinweis

Sie müssen mindestens Mitglied der Gruppe Konten-Operatoren oder einer entsprechenden Gruppe sein, um die Schritte für diese Option ausführen zu können.

Gewähren der CNO-Berechtigungen für die OU

  1. Stellen Sie in %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.

  2. Klicken Sie mit der rechten Maustaste auf die OU, in der Sie die CNO in Schritt 1 erstellt haben: Vorbereiten des CNO in AD DS, und wählen Sie dann Eigenschaften aus.

  3. Wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus.

  4. Wählen Sie im Dialogfeld "Erweiterte Sicherheit Einstellungen" die Option "Hinzufügen" aus.

  5. Wählen Sie neben "Prinzipal" einen Prinzipal aus.

  6. Wählen Sie im Dialogfeld "Benutzer", "Computer", "Dienstkonto" oder "Gruppen " das Kontrollkästchen " Objekttypen" aus, aktivieren Sie das Kontrollkästchen " Computer " und dann " OK".

  7. Geben Sie unter "Objektnamen" ein, die ausgewählt werden sollen, geben Sie den Namen des CNO ein, wählen Sie "Namen überprüfen" aus, und wählen Sie dann "OK" aus. Wählen Sie als Antwort auf die Warnmeldung, die besagt, dass Sie ein deaktiviertes Objekt hinzufügen möchten, OK aus.

  8. Stellen Sie im Dialogfeld Berechtigungseintrag sicher, dass die Liste Typ auf Zulassen und die Liste Anwenden auf auf Dieses und alle untergeordneten Objekte festgelegt ist.

  9. Aktivieren Sie unter Berechtigungen das Kontrollkästchen Computerobjekte erstellen.

    Granting the Create Computer objects permission to the CNO

    Abbildung 3. Erteilen der Berechtigung zum Erstellen von Computerobjekten für das CNO

  10. Wählen Sie "OK" aus, bis Sie zum Active Directory-Benutzer und -Computer-Snap-In zurückkehren.

Ein Administrator des Failoverclusters kann jetzt Clusterrollen mit Clientzugriffspunkten erstellen und die Ressourcen online schalten.

Prestage a VCO for a clustered role

  1. Stellen Sie, bevor Sie beginnen, sicher, dass Sie den Namen des Clusters und den Namen, den die Clusterrolle erhalten wird, kennen.
  2. Stellen Sie in %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot; sicher, dass im Menü Ansicht die Option Erweiterte Features ausgewählt ist.
  3. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die OU, in der sich der CNO für den Cluster befindet, zeigen Sie auf "Neu", und wählen Sie dann "Computer" aus.
  4. Geben Sie im Feld " Computername " den Namen ein, den Sie für die gruppierte Rolle verwenden, und wählen Sie dann "OK" aus.
  5. Klicken Sie als bewährte Methode mit der rechten Maustaste auf das gerade erstellte Computerkonto, wählen Sie Eigenschaften aus, und wählen Sie dann die Registerkarte "Objekt " aus. Aktivieren Sie auf der Registerkarte "Objekt " das Kontrollkästchen " Objekt vor versehentlichem Löschen schützen", und wählen Sie dann "OK" aus.
  6. Klicken Sie mit der rechten Maustaste auf das Computerkonto, das Sie gerade erstellt haben, und wählen Sie dann "Eigenschaften" aus.
  7. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen aus.
  8. Aktivieren Sie im Dialogfeld "Benutzer", "Computer", "Dienstkonto" oder "Gruppen" das Kontrollkästchen "Computer" und dann "OK".
  9. Geben Sie unter "Objektnamen eingeben" den Namen des CNO ein, wählen Sie "Namen überprüfen" aus, und wählen Sie dann "OK" aus. Wenn Sie eine Warnmeldung erhalten, die besagt, dass Sie ein deaktiviertes Objekt hinzufügen möchten, wählen Sie "OK" aus.
  10. Stellen Sie sicher, dass das CNO ausgewählt ist, und aktivieren Sie dann neben Vollzugriff das Kontrollkästchen Zulassen.
  11. Wählen Sie OK aus.

Ein Administrator des Failoverclusters kann jetzt die Clusterrolle mit einem Clientzugriffspunkt erstellen, die dem vorab bereitgestellten VCO-Namen entspricht, und die Ressource online schalten.

Weitere Informationen