Come risolvere i problemi dell'account del servizio cluster quando modifica gli oggetti computer
Questo articolo descrive come risolvere i problemi del servizio cluster quando crea o modifica un oggetto computer in Active Directory per un cluster server (server virtuale).
Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 307532
Diritti di accesso di Active Directory per la creazione di un oggetto computer
Per impostazione predefinita, ai membri del gruppo Domain Users viene concesso il diritto utente di aggiungere workstation a un dominio. Per impostazione predefinita, questo diritto utente è impostato su una quota massima di 10 oggetti computer in Active Directory. Se si supera questa quota, viene registrato il messaggio id evento seguente:
Se più cluster usano lo stesso account di dominio dell'account del servizio cluster, è possibile che venga visualizzato questo messaggio di errore prima di creare dieci oggetti computer in un determinato cluster. Un modo per risolvere questo problema consiste nel concedere all'account del servizio cluster l'autorizzazione Crea oggetti computer nel contenitore Computer. Questa autorizzazione sostituisce il diritto utente Aggiungi workstation a un dominio, con una quota predefinita di dieci.
Per verificare che l'account del servizio cluster disponga del diritto Aggiungi workstation a un utente di dominio:
Accedere al controller di dominio in cui è archiviato l'account del servizio cluster.
Avviare il programma Criteri di sicurezza del controller di dominio da Strumenti di amministrazione.
Fare clic per espandere Criteri locali e quindi fare clic per espandere Assegnazioni diritti utente.
Fare doppio clic su Aggiungi workstation a un dominio e prendere nota degli account elencati.
Il gruppo Utenti autenticati (il gruppo predefinito) deve essere elencato. Se non è elencato, è necessario concedere questo diritto utente all'account del servizio cluster o a un gruppo che contiene l'account del servizio cluster nei controller di dominio.
Nota
È necessario concedere questo diritto utente ai controller di dominio perché gli oggetti computer vengono creati nei controller di dominio.
Se si aggiunge in modo esplicito l'account del servizio cluster a questo diritto utente, eseguire
gpupdatenel controller di dominio (o eseguireseceditper Windows 2000) in modo che il nuovo diritto utente venga replicato in tutti i controller di dominio.Verificare che i criteri non vengano sovrascritti da altri criteri.
L'account del servizio cluster non dispone dei diritti utente appropriati nel nodo locale
Verificare che l'account del servizio cluster disponga dei diritti utente appropriati in ogni nodo del cluster. L'account del servizio cluster deve trovarsi nel gruppo administrators locale e deve disporre dei diritti elencati di seguito. Questi diritti vengono concessi all'account del servizio cluster durante la configurazione del nodo Cluster. È possibile che un criterio di livello superiore sovrascriva i criteri locali o che un aggiornamento da un sistema operativo precedente non aggiunge tutti i diritti necessari. Per verificare che questi diritti siano concessi nel nodo locale, seguire queste procedure:
Avviare la console Impostazioni di sicurezza locale dal gruppo Strumenti di amministrazione .
Passare a Assegnazioni diritti utente in Criteri locali.
Verificare che all'account del servizio cluster siano stati concessi in modo esplicito i diritti seguenti:
- Accedere come servizio
- Agire come parte del sistema operativo
- Eseguire il backup di file e directory
- Regolare le quote di memoria per un processo
- Aumentare la priorità di pianificazione
- Ripristinare file e directory
Nota
Se l'account del servizio cluster è stato rimosso dal gruppo Administrators locale, ricreare manualmente l'account del servizio cluster e concedere al servizio cluster i diritti necessari.
Se manca uno dei diritti, assegnare all'account del servizio cluster diritti espliciti, quindi arrestare e riavviare il servizio cluster. I diritti aggiunti non diventano effettivi fino a quando non si riavvia il servizio cluster. Se l'account del servizio cluster non è ancora in grado di creare un oggetto computer, verificare che un Criteri di gruppo non stia sovrascrivendo i criteri locali. A tale scopo, è possibile digitare gpresult al prompt dei comandi se si è in un dominio di Windows 2000 o in un set di criteri risultante (RSOP) da uno snap-in MMC se si è in un dominio di Windows Server 2003.
Se si è in un dominio di Windows Server 2003, cercare nella Guida e nel supporto tecnico in "RSOP" le istruzioni sull'uso del set di criteri risultante.
Se l'account del servizio cluster non dispone del diritto "Agire come parte del sistema operativo", la risorsa Nome rete avrà esito negativo e il Cluster.log registrerà il messaggio seguente:
Usare i passaggi precedenti per verificare che l'account del servizio cluster disponga di tutti i diritti necessari. Se i criteri di sicurezza locali vengono sovrascriti da criteri di gruppo di un dominio o di un'unità organizzativa, sono disponibili diverse opzioni. È possibile inserire i nodi cluster nella propria unità organizzativa che ha la deselezione "Consenti autorizzazioni ereditabili dall'elemento padre per propagarsi a questo oggetto".
Diritti di accesso necessari quando si usa un oggetto computer creato in precedenza
Se ai membri del gruppo Utenti autenticati o dell'account del servizio cluster viene impedito di creare un oggetto computer, se si è l'amministratore di dominio, è necessario creare in precedenza l'oggetto computer server virtuale. È necessario concedere determinati diritti di accesso all'account del servizio cluster nell'oggetto computer creato in precedenza. Il servizio Cluster tenta di aggiornare l'oggetto computer corrispondente al nome NetBIOS del server virtuale.
Per verificare che l'account del servizio cluster disponga delle autorizzazioni appropriate per l'oggetto computer:
Avviare lo snap-in Utenti e computer di Active Directory da Strumenti di amministrazione.
Scegliere Funzionalità avanzate dal menu Visualizza.
Individuare l'oggetto computer da usare per l'account del servizio cluster.
Fare clic con il pulsante destro del mouse sull'oggetto computer e quindi scegliere Proprietà.
Selezionare la scheda Sicurezza e quindi selezionare Aggiungi.
Aggiungere l'account del servizio cluster o un gruppo di cui è membro l'account del servizio cluster.
Concedere all'utente o al gruppo le autorizzazioni seguenti:
- Reimpostare la password
- Scrittura convalidata nel nome host DNS
- Scrittura convalidata nel nome dell'entità servizio
Selezionare OK. Se sono presenti più controller di dominio, potrebbe essere necessario attendere che la modifica dell'autorizzazione venga replicata negli altri controller di dominio (per impostazione predefinita, viene generato un ciclo di replica ogni 15 minuti).
La risorsa nome di rete non viene visualizzata online quando kerberos è disabilitato
Una risorsa Nome rete non viene online se esiste un oggetto computer, ma non si seleziona l'opzione Abilita autenticazione Kerberos . Per risolvere il problema, usare una delle procedure seguenti:
- Eliminare l'oggetto computer corrispondente in Active Directory.
- Selezionare Abilita autenticazione Kerberos nella risorsa Nome rete.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per