Préparer les comptes d’ordinateur de cluster dans Active Directory Domain Services

S’applique à : Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versions 21H2 et 20H2

Cette rubrique montre comment prédéfinir des objets ordinateur du cluster dans les services de domaine Active Directory (AD DS). Vous pouvez utiliser cette procédure pour permettre à un utilisateur ou un groupe de créer un cluster de basculement lorsqu’il n’a pas l’autorisation de créer des objets ordinateur dans AD DS.

Lorsque vous créez un cluster de basculement à l’aide de l’Assistant Création d’un cluster ou de Windows PowerShell, vous devez indiquer un nom pour le cluster. Si vous disposez d’autorisations suffisantes lorsque vous créez le cluster, le processus de création du cluster crée automatiquement un objet ordinateur dans AD DS qui correspond au nom du cluster. Cet objet est appelé objet nom de cluster. À l’aide de l’objet nom de cluster, les objets ordinateur virtuel sont automatiquement créés lorsque vous configurez des rôles en cluster qui utilisent des points d’accès client. Par exemple, si vous créez un serveur de fichiers à haut niveau de disponibilité avec un point d’accès client nommé FileServer1, l’objet nom de cluster crée un objet ordinateur virtuel correspondant dans AD DS.

Notes

Vous avez la possibilité de créer un cluster détaché d’Active Directory, où aucun objet nom de cluster ni objet ordinateur virtuel n’est créé dans AD DS. Cela s’adresse à des types spécifiques de déploiements de cluster. Pour plus d’informations, voir Déployer un cluster détaché d’Active Directory.

Pour créer automatiquement l’objet nom de cluster, l’utilisateur qui crée le cluster de basculement doit disposer de l’autorisation de création d’objets ordinateur sur l’unité d’organisation ou le conteneur où se trouvent les serveurs qui constitueront le cluster. Pour permettre à un utilisateur ou un groupe de créer un cluster sans avoir cette autorisation, un utilisateur avec les autorisations appropriées dans AD DS (en général un administrateur de domaine) peut prédéfinir l’objet nom de cluster dans AD DS. L’administrateur de domaine peut ainsi mieux contrôler la convention d’affectation des noms utilisée pour le cluster ainsi que l’unité d’organisation dans laquelle les objets de cluster sont créés.

Étape 1 : prédéfinir l’objet nom de cluster dans AD DS

Avant de commencer, assurez-vous de connaître les éléments suivants :

• Le nom que vous voulez affecter au cluster
• Le nom du compte d’utilisateur ou du groupe auquel vous voulez accorder les droits de création du cluster

Nous vous recommandons, à titre de meilleure pratique, de créer une unité d’organisation pour les objets de cluster. S’il existe déjà une unité d’organisation que vous voulez utiliser, l’appartenance au groupe Opérateurs de compte est la condition minimale requise pour effectuer cette étape. Si vous devez créer une unité d’organisation pour les objets de cluster, l’appartenance au groupe Admins du domaine, ou à un groupe équivalent, est la condition minimale requise pour effectuer cette étape.

Notes

Si vous créez l’objet nom de cluster dans le conteneur Ordinateurs par défaut et non dans une unité d’organisation, vous n’avez pas à effectuer l’étape 3 de cette rubrique. Dans ce scénario, un administrateur de cluster peut créer jusqu’à 10 objets ordinateur virtuel sans aucune configuration supplémentaire.

Mettre en préproduction l’objet nom de cluster dans AD DS

1. Sur un ordinateur sur lequel sont installés les outils AD DS à partir des outils d’administration de serveur distant, ou sur un contrôleur de domaine, ouvrez Utilisateurs et ordinateurs Active Directory. Pour effectuer cette opération sur un serveur, démarrez le Gestionnaire de serveur et, dans le menu Outils, sélectionnez Utilisateurs et ordinateurs Active Directory.

2. Pour créer une unité d’organisation pour les objets ordinateur du cluster, cliquez avec le bouton droit sur le nom de domaine ou une unité d’organisation existante, pointez sur Nouveau, puis sélectionnez Unité d’organisation. Dans la zone Nom, entrez le nom de l’unité d’organisation, puis sélectionnez OK.

3. Dans l’arborescence de la console, cliquez avec le bouton droit sur l’unité d’organisation dans laquelle vous voulez créer l’objet nom de cluster, pointez sur Nouveau, puis sélectionnez Ordinateur.

4. Dans la zone Nom de l’ordinateur, entrez le nom qui sera utilisé pour le cluster de basculement, puis sélectionnez OK.

   Notes

   Il s’agit du nom de cluster que l’utilisateur qui crée le cluster indique dans la page Point d’accès pour l’administration du cluster dans l’Assistant Création d’un cluster ou en tant que valeur du paramètre –Name pour l’applet de commande Windows PowerShell New-Cluster .

5. Il est recommandé de cliquer avec le bouton droit sur le compte d’ordinateur que vous venez de créer, de sélectionner Propriétés, puis l’onglet Objet. Sous l’onglet Objet, activez la case à cocher Protéger l’objet des suppressions accidentelles, puis sélectionnez OK.

6. Cliquez avec le bouton droit sur le compte d’ordinateur que vous venez de créer, puis sélectionnez Désactiver le compte. Sélectionnez Oui pour confirmer, puis OK.

   Notes

   Vous devez désactiver le compte afin que, lors de la création du cluster, le processus de création du cluster puisse confirmer que le compte n’est actuellement pas utilisé par un cluster ou ordinateur existant dans le domaine.

Figure 1. Objet nom de cluster désactivé dans l’exemple d’unité d’organisation Clusters

Étape 2 : accorder à l’utilisateur ou au groupe les autorisations de créer le cluster

Vous devez configurer des autorisations afin que le compte d’utilisateur qui sera utilisé pour créer le cluster de basculement dispose des autorisations Contrôle total sur l’objet nom de cluster.

L’appartenance au groupe Opérateurs de compte est la condition minimale requise pour effectuer cette étape.

Voici comment accorder à l’utilisateur des autorisations pour créer le cluster :

1. Dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, vérifiez que l’option Fonctionnalités avancées est sélectionnée.

2. Recherchez l’objet nom de cluster et cliquez dessus avec le bouton droit, puis sélectionnez Propriétés.

3. Sous l’onglet Sécurité, sélectionnez Ajouter.

4. Dans la boîte de dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes, indiquez le compte d’utilisateur ou groupe auquel vous voulez accorder des autorisations, puis sélectionnez OK.

5. Sélectionnez le compte d’utilisateur ou le groupe qui vous venez d’ajouter puis, en regard de Contrôle total, activez la case à cocher Autoriser.

   

   Figure 2 : Octroi du contrôle total à l’utilisateur ou au groupe qui va créer le cluster

6. Sélectionnez OK.

Après avoir effectué cette étape, l’utilisateur auquel vous avez accordé les autorisations peut créer le cluster de basculement. Toutefois, si l’objet nom de cluster est situé dans une unité d’organisation, l’utilisateur ne peut pas créer des rôles en cluster qui nécessitent un point d’accès client tant que vous n’avez pas effectué l’étape 3.

Notes

Si l’objet nom de cluster se trouve dans le conteneur Ordinateurs par défaut, un administrateur de cluster peut créer jusqu’à 10 objets ordinateur virtuel sans aucune configuration supplémentaire. Pour ajouter plus de 10 objets ordinateur virtuel, vous devez accorder de façon explicite l’autorisation de création d’objets ordinateur à l’objet nom de cluster pour le conteneur Ordinateurs.

Étape 3 : accorder à l’objet nom de cluster les autorisations sur l’unité d’organisation ou prédéfinir des objets ordinateur virtuel pour les rôles en cluster

Lorsque vous créez un rôle en cluster avec un point d’accès client, le cluster crée un objet ordinateur virtuel dans la même unité d’organisation que l’objet nom de cluster. Pour que cette opération soit automatique, l’objet nom de cluster doit avoir les autorisations de créer des objets ordinateur dans l’unité d’organisation.

Si vous avez prédéfini l’objet nom de cluster dans AD DS, vous pouvez procéder de l’une des façons suivantes pour créer des objets ordinateur virtuel :

• Option 1 : accorder à l’objet nom de cluster les autorisations sur l’unité d’organisation. Si vous utilisez cette option, le cluster peut automatiquement créer des objets ordinateur virtuel dans AD DS. Par conséquent, un administrateur pour le cluster de basculement peut créer des rôles en cluster sans avoir à vous demander de prédéfinir des objets ordinateur virtuel dans AD DS.

Notes

L’appartenance au groupe Admins du domaine, ou à un groupe équivalent, est la condition minimale requise pour effectuer les étapes relatives à cette option.

• Option 2 : Préparer un VCO pour un rôle en cluster. Utilisez cette option s’il est nécessaire de prédéfinir des comptes pour les rôles en cluster en raison des exigences de votre organisation. Par exemple, il peut être souhaitable de contrôler la convention d’affectation des noms ou les rôles en cluster qui sont créés.

Notes

L’appartenance au groupe Opérateurs de compte est la condition minimale requise pour effectuer les étapes relatives à cette option.

Accorder à l’objet nom de cluster les autorisations sur l’unité d’organisation

1. Dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, vérifiez que l’option Fonctionnalités avancées est sélectionnée.

2. Cliquez avec le bouton droit sur l’unité d’organisation où vous avez créé l’objet nom de cluster dans Étape 1 : prédéfinir l’objet nom de cluster dans AD DS, puis sélectionnez Propriétés.

3. Sous l’onglet Sécurité, sélectionnez Avancé.

4. Dans la boîte de dialogue Paramètres de sécurité avancés, sélectionnez Ajouter.

5. En regard de Principal, sélectionnez Sélectionnez un principal.

6. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs, Comptes de service ou Groupes, sélectionnez Types d’objets, activez la case à cocher Ordinateurs, puis sélectionnez OK.

7. Sous Entrez les noms des objets à sélectionner, entrez le nom de l’objet nom de cluster, sélectionnez Vérifier les noms, puis OK. En réponse au message d’avertissement qui indique que vous allez ajouter un objet désactivé, sélectionnez OK.

8. Dans la boîte de dialogue Entrée d’autorisation, vérifiez que la liste Type a la valeur Autoriser et que la liste S’applique à a la valeur cet objet et tous ceux descendants.

9. Sous Autorisations, activez la case à cocher Créer Objets ordinateur.

   

   Figure 3. Octroi de l’autorisation de création d’objets ordinateur à l’objet nom de cluster

10. Sélectionnez OK jusqu’à ce que vous reveniez au composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Un administrateur sur le cluster de basculement peut maintenant créer des rôles en cluster avec des points d’accès client, puis mettre les ressources en ligne.

Mettre en préproduction un objet ordinateur virtuel pour un rôle en cluster

1. Avant de commencer, assurez-vous de connaître le nom du cluster et celui que le rôle en cluster portera.
2. Dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, vérifiez que l’option Fonctionnalités avancées est sélectionnée.
3. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’unité d’organisation où se trouve l’objet nom de cluster pour le cluster, pointez sur Nouveau, puis sélectionnez Ordinateur.
4. Dans la zone Nom de l’ordinateur, entrez le nom qui sera utilisé pour le rôle en cluster, puis sélectionnez OK.
5. Il est recommandé de cliquer avec le bouton droit sur le compte d’ordinateur que vous venez de créer, de sélectionner Propriétés, puis l’onglet Objet. Sous l’onglet Objet, activez la case à cocher Protéger l’objet des suppressions accidentelles, puis sélectionnez OK.
6. Cliquez avec le bouton droit sur le compte d’ordinateur que vous venez de créer, puis sélectionnez Propriétés.
7. Sous l’onglet Sécurité, sélectionnez Ajouter.
8. Dans la boîte de dialogue Sélectionnez Utilisateurs, Ordinateurs, Comptes de service ou Groupes, sélectionnez Types d’objets, activez la case à cocher Ordinateurs, puis sélectionnez OK.
9. Sous Entrez les noms des objets à sélectionner, entrez le nom de l’objet nom de cluster, sélectionnez Vérifier les noms, puis OK. Si vous recevez un message d’avertissement qui indique que vous allez ajouter un objet désactivé, sélectionnez OK.
10. Assurez-vous que l’objet nom de cluster est sélectionné puis, en regard de Contrôle total, activez la case à cocher Autoriser.
11. Sélectionnez OK.

Un administrateur sur le cluster de basculement peut maintenant créer le rôle en cluster avec un point d’accès client qui correspond au nom de l’objet ordinateur virtuel prédéfini, puis mettre la ressource en ligne.

Autres informations

• Clustering de basculement
• Configurer des comptes de cluster dans Active Directory