Configurer des comptes de cluster dans Active Directory
Dans Windows Server, lorsque vous créez un cluster de basculement et configurez des services ou des applications en cluster, les Assistants de cluster de basculement créent les comptes d’ordinateur Active Directory nécessaires (également appelés objets ordinateur) et leur donnent des autorisations spécifiques. Les Assistants créent un compte d'ordinateur pour le cluster lui-même (ce compte est également appelé objet nom de cluster) et un compte d'ordinateur pour la plupart des types de services et d'applications en cluster, l'exception étant un ordinateur virtuel Hyper-V. Les autorisations pour ces comptes sont définies automatiquement par les Assistants de cluster de basculement. Si les autorisations sont modifiées, elles devront être rechangées pour répondre aux besoins de cluster. Ce guide décrit ces comptes et autorisations Active Directory, fournit des informations générales sur leur importance et décrit les étapes de la configuration et de la gestion des comptes.
Vue d'ensemble des comptes Active Directory requis par un cluster de basculement
Cette section décrit les comptes d'ordinateur Active Directory (également appelés objets ordinateur Active Directory) qui sont importants pour un cluster de basculement. Voici le détail de ces comptes :
Compte d'utilisateur utilisé pour créer le cluster. Il s'agit du compte d'utilisateur utilisé pour démarrer l'Assistant Création d'un cluster. Le compte est important parce qu'il fournit la base à partir de laquelle un compte d'ordinateur est créé pour le cluster lui-même.
Compte de nom de cluster. (compte d’ordinateur du cluster lui-même, également appelé objet nom de cluster). Ce compte est créé automatiquement par l'Assistant Création d'un cluster et a le même nom que le cluster. Le compte du nom du cluster est très important, car d'autres comptes sont créés automatiquement via ce compte lorsque vous configurez de nouveaux services et de nouvelles applications sur le cluster. Si le compte du nom du cluster est supprimé ou que des autorisations en sont retirées, il est impossible de créer d'autres comptes comme requis par le cluster, jusqu'à ce que le compte du nom du cluster soit restauré ou que les autorisations appropriées soient rétablies.
Par exemple, si vous créez un cluster appelé Cluster1 et essayez de configurer un serveur d'impression en cluster appelé PrintServer1 sur votre cluster, le compte Cluster1 dans Active Directory devra conserver les autorisations appropriées afin qu'il puisse être utilisé pour créer un compte d'ordinateur appelé PrintServer1.
Le compte du nom du cluster est créé dans le conteneur par défaut pour les comptes d'ordinateur dans Active Directory. Par défaut, il s’agit du conteneur « Ordinateurs », mais l’administrateur de domaine peut choisir de le rediriger vers un autre conteneur ou une autre unité d’organisation.
Compte d'ordinateur (objet ordinateur) d'un service ou d'une application en cluster. Ces comptes sont créés automatiquement par l'Assistant Haute disponibilité dans le cadre du processus de création de la plupart des types de services ou d'applications en cluster, l'exception étant un ordinateur virtuel Hyper-V. Le compte de nom de cluster dispose des autorisations nécessaires pour contrôler ces comptes.
Par exemple, si vous avez un cluster appelé Cluster1 et que vous créez un serveur de fichiers en cluster appelé FileServer1, l'Assistant Haute disponibilité crée un compte d'ordinateur Active Directory appelé FileServer1. L’Assistant Haute disponibilité donne également au compte Cluster1 les autorisations nécessaires pour contrôler le compte FileServer1.
Le tableau suivant décrit les autorisations requises pour ces comptes.
Compte | Détails sur les autorisations |
---|---|
Compte utilisé pour créer le cluster |
Requiert des autorisations administratives sur les serveurs qui deviendront des nœuds de cluster. Requiert également les autorisations Créer des objets d'ordinateur et Lire toutes les propriétés dans le conteneur utilisé pour les comptes d'ordinateur dans le domaine. |
Compte du nom du cluster (compte d'ordinateur du cluster lui-même) |
Lorsque l'Assistant Création d'un cluster est exécuté, il crée le compte du nom du cluster dans le conteneur par défaut utilisé pour les comptes d'ordinateur dans le domaine. Par défaut, le compte du nom du cluster (comme d'autres comptes d'ordinateur) peut créer jusqu'à dix comptes d'ordinateur dans le domaine. Si vous créez le compte du nom du cluster (objet nom de cluster) avant de créer le cluster, autrement dit, si vous prédéfinissez le compte, vous devez lui affecter les autorisations Créer des objets d'ordinateur et Lire toutes les propriétés dans le conteneur utilisé pour les comptes d'ordinateur dans le domaine. Vous devez également désactiver le compte et affecter au compte qui sera utilisé par l'administrateur qui installe le cluster un Contrôle total de ce compte. Pour plus d'informations, consultez Étapes de la prédéfinition du compte du nom du cluster, ultérieurement dans ce guide. |
Compte d'ordinateur d'un service ou d'une application en cluster |
Lorsque l’Assistant Haute disponibilité est exécuté (pour créer un service ou une application en cluster), dans la plupart des cas, un compte d’ordinateur pour le service ou l’application en cluster est créé dans Active Directory. Le compte de nom de cluster dispose des autorisations nécessaires pour contrôler ce compte. L’exception est une machine virtuelle Hyper-V en cluster : aucun compte d’ordinateur n’est créé pour cela. Si vous prédéfinissez le compte d’ordinateur pour un service ou une application en cluster, vous devez le configurer avec les autorisations nécessaires. Pour plus d'informations, consultez Étapes de la prédéfinition d'un compte pour un service ou une application en cluster, ultérieurement dans ce guide. |
Notes
Dans les versions antérieures de Windows Server, il existait un compte pour le service de cluster. Toutefois, depuis Windows Server 2008, le service de cluster s’exécute automatiquement dans un contexte spécial qui fournit les autorisations et privilèges spécifiques nécessaires au service (similaire au contexte du système local, mais avec des privilèges réduits). Toutefois, d'autres comptes sont nécessaires, comme décrit dans ce guide.
Création des comptes via des Assistants dans le clustering de basculement
Le diagramme suivant illustre l'utilisation et la création des comptes d'ordinateur (objets Active Directory) décrits dans la sous-section précédente. Ces comptes entrent en jeu lorsqu'un administrateur exécute l'Assistant Création d'un cluster, puis l'Assistant Haute disponibilité (pour configurer un service ou une application en cluster).
Notez que le diagramme ci-dessus montre un administrateur unique qui exécute à la fois l'Assistant Création d'un cluster et l'Assistant Haute disponibilité. Toutefois, il pourrait s'agir de deux administrateurs différents utilisant deux comptes d'utilisateurs différents, si les deux comptes avaient des autorisations suffisantes. Les autorisations sont décrites plus en détail dans Conditions spéciales requises relatives aux clusters de basculement, domaines Active Directory et comptes, ultérieurement dans ce guide.
Problèmes qui peuvent se poser si les comptes requis par le cluster sont modifiés
Le diagramme suivant illustre les problèmes qui peuvent se poser si le compte du nom du cluster (l'un des comptes requis par le cluster) est modifié après qu'il a été créé automatiquement par l'Assistant Création d'un cluster.
Si le type de problème illustré dans le diagramme se produit, un certain événement (1193, 1194, 1206 ou 1207) est consigné dans l'Observateur d'événements. Pour plus d’informations sur ces événements, voir https://go.microsoft.com/fwlink/?LinkId=118271.
Notez qu'un problème semblable avec la création d'un compte pour un service ou une application en cluster peut se produire si le quota à l'échelle du domaine pour la création d'objets ordinateur (par défaut, 10) a été atteint. Le cas échéant, il peut être approprié de consulter l'administrateur de domaine au sujet de l'augmentation du quota, bien qu'il s'agisse d'un paramètre à l'échelle du domaine qui ne doit être changé qu'avec précaution et uniquement après avoir vérifié que le diagramme précédent ne décrivait pas votre situation. Pour plus d’informations, consultez Résoudre les problèmes causés par les modifications apportées aux comptes Active Directory liés au cluster.
Conditions spéciales requises relatives aux clusters de basculement, domaines Active Directory et comptes
Comme décrit dans les trois sections précédentes, certaines conditions doivent être remplies avant que les services et applications en cluster ne puissent être configurés avec succès sur un cluster de basculement. Les conditions les plus élémentaires concernent l'emplacement des nœuds de cluster (dans un domaine unique) et le niveau des autorisations du compte de la personne qui installe le cluster. Si ces conditions sont remplies, les autres comptes requis par le cluster peuvent être créés automatiquement par les Assistants de cluster de basculement. La liste suivante fournit des détails sur ces conditions de base.
Nœuds : tous les nœuds doivent se trouver dans le même domaine Active Directory. (Le domaine ne peut pas être basé sur Windows NT 4.0, qui n'inclut pas Active Directory.)
Compte de la personne qui installe le cluster : la personne qui installe le cluster doit utiliser un compte avec les caractéristiques suivantes :
Le compte doit être un compte de domaine. Il ne doit pas être nécessairement un compte d'administrateur de domaine. Il peut s'agir d'un compte d'utilisateur de domaine s'il remplit les autres conditions dans cette liste.
Le compte doit avoir des autorisations administratives sur les serveurs qui deviendront des nœuds de cluster. La méthode la plus simple pour cela consiste à créer un compte d'utilisateur de domaine, puis à ajouter ce compte au groupe Administrateurs local sur chacun des serveurs qui deviendront des nœuds de cluster. Pour plus d'informations, consultez Étapes de la configuration du compte pour la personne qui installe le cluster, ultérieurement dans ce guide.
Le compte (ou le groupe duquel le compte est un membre) doit recevoir les autorisations Créer des objets d'ordinateur et Lire toutes les propriétés dans le conteneur utilisé pour les comptes d'ordinateur dans le domaine. Pour plus d'informations, consultez Étapes de la configuration du compte pour la personne qui installe le cluster, ultérieurement dans ce guide.
Si votre organisation choisit de prédéfinir le compte du nom du cluster (compte d’ordinateur avec le même nom que le cluster), le compte du nom du cluster prédéfini doit donner l’autorisation « Contrôle total » au compte de la personne qui installe le cluster. Pour obtenir d'autres détails importants sur la façon de prédéfinir le compte du nom du cluster, consultez Étapes de la prédéfinition du compte du nom du cluster, ultérieurement dans ce guide.
Planification à l'avance des réinitialisations de mots de passe et d'autres tâches de maintenance des comptes
Les administrateurs de clusters de basculement devront peut-être quelquefois réinitialiser le mot de passe du compte du nom du cluster. Cette action requiert une autorisation spécifique, l'autorisation Réinitialiser le mot de passe. Par conséquent, il est conseillé de modifier les autorisations du compte du nom du cluster (en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory) pour accorder l'autorisation Réinitialiser le mot de passe aux administrateurs du cluster pour le compte du nom du cluster. Pour plus d’informations, consultez Résoudre les problèmes de mot de passe avec le compte de nom de cluster.
Étapes de la configuration du compte pour la personne qui installe le cluster
Le compte de la personne qui installe le cluster est important parce qu'il fournit la base à partir de laquelle un compte d'ordinateur est créé pour le cluster lui-même.
L'appartenance à un groupe minimum obligatoire pour effectuer la procédure suivante varie selon si vous créez le compte de domaine et lui attribuez les autorisations requises dans le domaine, ou si vous placez uniquement le compte (créé par quelqu'un d'autre) dans le groupe Administrateurs local sur les serveurs qui seront des nœuds dans le cluster de basculement. Dans le premier cas, l’appartenance au groupe Opérateurs de compte, ou équivalent, est la condition minimale requise pour effectuer cette procédure. Dans le dernier cas, il suffit d'appartenir au groupe Administrateurs local ou à un groupe équivalent sur les serveurs qui seront des nœuds dans le cluster de basculement. Examinez les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés dans la rubrique https://go.microsoft.com/fwlink/?LinkId=83477.
Pour configurer le compte pour la personne qui installe le cluster
Créez ou obtenez un compte de domaine pour la personne qui installe le cluster. Ce compte peut être un compte d’utilisateur de domaine ou un compte Opérateurs de compte. Si vous utilisez un compte d’utilisateur standard, vous devrez lui accorder des autorisations supplémentaires plus loin dans cette procédure.
Si le compte qui a été créé ou obtenu à l’étape 1 n’est pas inclus automatiquement dans le groupe Administrateurs local sur les ordinateurs dans le domaine, ajoutez le compte au groupe Administrateurs local sur les serveurs qui seront des nœuds dans le cluster de basculement :
Cliquez successivement sur Démarrer, Outils d'administration, puis Gestionnaire de serveur.
Dans l'arborescence de la console, développez Configuration, Utilisateurs et groupes locaux, puis Groupes.
Dans le volet central, cliquez avec le bouton droit sur Administrateurs, cliquez sur Ajouter au groupe, puis sur Ajouter.
Sous Entrer les noms d’objets à sélectionner, tapez le nom du compte d’utilisateur créé ou obtenu à l’étape 1. Si vous y êtes invité, entrez un nom de compte et un mot de passe avec des autorisations suffisantes pour cette action. Cliquez ensuite sur OK.
Répétez ces étapes sur chaque serveur qui sera un nœud dans le cluster de basculement.
Important
Ces étapes doivent être répétées sur tous les serveurs qui seront des nœuds dans le cluster.
Si le compte qui a été créé ou obtenu à l'étape 1 est un compte d'administrateur de domaine, ignorez le reste de cette procédure. Sinon, accordez au compte les autorisations Créer des objets d'ordinateur et Lire toutes les propriétés dans le conteneur utilisé pour les comptes d'ordinateur dans le domaine :
Sur un contrôleur de domaine, cliquez sur Démarrer, sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
Dans le menu Affichage, assurez-vous que Fonctionnalités avancées est sélectionné.
Lorsque Fonctionnalités avancées est sélectionné, l'onglet Sécurité s'affiche dans les propriétés des comptes (objets) dans Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur le conteneur Ordinateurs par défaut ou le conteneur par défaut dans lequel les comptes d'ordinateur sont créés dans votre domaine, puis cliquez sur Propriétés. Ordinateurs est situé dans Utilisateurs et ordinateurs Active Directory/nœud de domaine/Ordinateurs.
Sous l’onglet Sécurité, cliquez sur Avancé.
Cliquez sur Ajouter, tapez le nom du compte qui a été créé ou obtenu à l'étape 1, puis cliquez sur OK.
Dans la boîte de dialogue Entrée d’autorisation pour le conteneur, recherchez les objets Créer un ordinateur et lisez toutes les autorisations propriétés, puis vérifiez que la case à cocher Autoriser est cochée pour chacune d’elles.
Étapes de la prédéfinition du compte du nom du cluster
Il est habituellement plus simple de ne pas prédéfinir le compte du nom du cluster, mais d'autoriser à la place la création et la configuration automatique du compte lorsque vous exécutez l'Assistant Création d'un cluster. Toutefois, s'il est nécessaire de prédéfinir le compte du nom du cluster en raison de spécifications dans votre organisation, utilisez la procédure suivante.
Pour mener à bien cette procédure, il est nécessaire d'appartenir au groupe Admins du domaine ou à un groupe équivalent. Examinez les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés dans la rubrique https://go.microsoft.com/fwlink/?LinkId=83477. Notez que vous pouvez utiliser le même compte pour cette procédure que celui utilisé lors de la création du cluster.
Pour prédéfinir un compte du nom du cluster
Assurez-vous que vous connaissez le nom que le cluster portera et celui du compte d'utilisateur qui sera utilisé par la personne qui crée le cluster. (Notez que vous pouvez utiliser ce compte pour exécuter cette procédure.)
Sur un contrôleur de domaine, cliquez sur Démarrer, sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Ordinateurs ou le conteneur par défaut dans lequel les comptes d'ordinateur sont créés dans votre domaine. Ordinateurs est situé dans Utilisateurs et ordinateurs Active Directory/nœud de domaine/Ordinateurs.
Cliquez sur Nouveau, puis sur Ordinateur.
Tapez le nom qui sera utilisé pour le cluster de basculement, en d'autres termes, le nom de cluster qui sera spécifié dans l'Assistant Création d'un cluster, puis cliquez sur OK.
Cliquez avec le bouton droit sur le compte que vous avez créé, puis cliquez sur Désactiver le compte. Si vous êtes invité à confirmer votre choix, cliquez sur Oui.
Le compte doit être désactivé afin que, lorsque l'Assistant Création d'un cluster est exécuté, celui-ci puisse confirmer que le compte qu'il utilisera pour le cluster n'est actuellement pas utilisé par un ordinateur ou cluster existant dans le domaine.
Dans le menu Affichage, assurez-vous que Fonctionnalités avancées est sélectionné.
Lorsque Fonctionnalités avancées est sélectionné, l'onglet Sécurité s'affiche dans les propriétés des comptes (objets) dans Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur le dossier sur lequel vous avez cliqué avec le bouton droit à l’étape 3, puis cliquez sur Propriétés.
Sous l’onglet Sécurité, cliquez sur Avancé.
Cliquez sur Ajouter, sur Types d'objets et assurez-vous que Ordinateurs est sélectionné, puis cliquez sur OK. Ensuite, sous Entrez le nom de l'objet à sélectionner, tapez le nom du compte d'ordinateur que vous venez de créer, puis cliquez sur OK. Si un message qui indique que vous allez ajouter un objet désactivé apparaît, cliquez sur OK.
Dans la boîte de dialogue Autorisations pour recherchez les autorisations Créer des objets d'ordinateur et Lire toutes les propriétés et assurez-vous que la case à cocher Autoriser est activée pour chacune.
Cliquez sur OK jusqu'à ce que soyez de retour dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Si vous utilisez le même compte pour exécuter cette procédure que celui utilisé pour créer le cluster, ignorez les étapes restantes. Sinon, vous devez configurer des autorisations afin que le compte d'utilisateur qui sera utilisé pour créer le cluster ait un contrôle total du compte d'ordinateur que vous venez de créer :
Dans le menu Affichage, assurez-vous que Fonctionnalités avancées est sélectionné.
Cliquez avec le bouton droit sur le compte d'ordinateur que vous avez créé, puis cliquez sur Propriétés.
Sous l’onglet Sécurité, cliquez sur Ajouter. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
Utilisez la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes pour spécifier le compte d'utilisateur qui sera utilisé lors de la création du cluster. Cliquez ensuite sur OK.
Assurez-vous que le compte d'utilisateur qui vous venez d'ajouter est sélectionné puis, en regard de Contrôle total, activez la case à cocher Autoriser.
Étapes de la prédéfinition d'un compte pour un service ou une application en cluster
Il est habituellement plus simple de ne pas prédéfinir le compte d'ordinateur pour un service ou une application en cluster, mais d'autoriser à la place la création et la configuration automatique du compte lorsque vous exécutez l'Assistant Haute disponibilité. Toutefois, s'il est nécessaire de prédéfinir les comptes en raison de spécifications dans votre organisation, utilisez la procédure suivante.
Pour mener à bien cette procédure, il est nécessaire d'appartenir au minimum au groupe Opérateurs de compte ou à un groupe équivalent. Examinez les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés dans la rubrique https://go.microsoft.com/fwlink/?LinkId=83477.
Pour prédéfinir un compte pour un service ou une application en cluster
Assurez-vous que vous connaissez le nom du cluster et celui que le service ou l'application en cluster portera.
Sur un contrôleur de domaine, cliquez sur Démarrer, sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Ordinateurs ou le conteneur par défaut dans lequel les comptes d'ordinateur sont créés dans votre domaine. Ordinateurs est situé dans Utilisateurs et ordinateurs Active Directory/nœud de domaine/Ordinateurs.
Cliquez sur Nouveau, puis sur Ordinateur.
Tapez le nom que vous utiliserez pour le service ou l'application en cluster, puis cliquez sur OK.
Dans le menu Affichage, assurez-vous que Fonctionnalités avancées est sélectionné.
Lorsque Fonctionnalités avancées est sélectionné, l'onglet Sécurité s'affiche dans les propriétés des comptes (objets) dans Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur le compte d'ordinateur que vous avez créé, puis cliquez sur Propriétés.
Sous l’onglet Sécurité, cliquez sur Ajouter.
Cliquez sur Types d'objets et assurez-vous que Ordinateurs est sélectionné, puis cliquez sur OK. Ensuite, sous Entrez le nom de l'objet à sélectionner, tapez le compte du nom du cluster, puis cliquez sur OK. Si un message qui indique que vous allez ajouter un objet désactivé apparaît, cliquez sur OK.
Assurez-vous que le compte du nom du cluster est sélectionné puis, en regard de Contrôle total, activez la case à cocher Autoriser.
Étapes de la résolution de problèmes liés aux comptes utilisées par le cluster
Pour plus d’informations, consultez Résoudre les problèmes liés aux comptes utilisés par les clusters de basculement.