Active Directory Domain Services でクラスター コンピューター アカウントを事前設定する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Azure Stack HCI、バージョン 21H2 および 20H2

このトピックでは、Active Directory ドメイン サービス (AD DS) でクラスター コンピューター オブジェクトをプレステージする方法について説明します。 この手順を使用すると、ユーザーまたはグループが AD DS でコンピューター オブジェクトを作成する権限を持っていない場合でも、フェールオーバー クラスターを作成できるようになります。

クラスターの作成ウィザードまたは Windows PowerShell を使用してフェールオーバー クラスターを作成する場合は、クラスターの名前を指定する必要があります。 クラスターを作成する場合に十分な権限を持っている場合は、クラスターの作成プロセスによって、クラスターの名前と一致するコンピューター オブジェクトが AD DS 内に自動的に作成されます。 このオブジェクトは、"クラスター名オブジェクト" (CNO) とも呼ばれます。 クライアント アクセス ポイントを使用するクラスター化された役割を構成するときに、CNO を通じて、仮想コンピューター オブジェクト (VCO) が自動的に作成されます。 たとえば、 FileServer1という名前のクライアント アクセス ポイントを持つ高可用性ファイル サーバーを作成すると、CNO は対応する VCO を AD DS 内に作成します。

注意

Active Directory からデタッチされたクラスターを作成するオプションがあります。この場合、AD DS には CNO も VCO も作成されません。 これは、特定の種類のクラスター展開を目的としたオプションです。 詳細については、「Active Directory からデタッチされたクラスターを展開する」を参照してください。

CNO が自動的に作成されるようにするには、フェールオーバー クラスターを作成するユーザーが、組織単位 (OU) に対して、またはクラスターを形成するサーバーが存在しているコンテナーに対して、コンピューター オブジェクトを作成する権限を持っている必要があります。 この権限を持っていないユーザーまたはグループがクラスターを作成できるようにするには、AD DS で適切な権限を持つユーザー (通常はドメイン管理者) が AD DS 内に CNO をプレステージします。 このようにすると、ドメイン管理者はクラスターで使用される命名規則をより細かく制御し、クラスター オブジェクトがどの OU 内に作成されるかを制御できるようになります。

手順 1: AD DS で CNO をプレステージする

開始する前に、次の情報を確認しておきます。

  • クラスターを割り当てる名前
  • クラスターを作成する権限が与えられるユーザー アカウントまたはグループの名前

ベスト プラクティスとして、クラスター オブジェクト用の OU を作成することをお勧めします。 使用する OU が既に存在する場合、この手順を完了するには、Account Operators グループのメンバーシップが最低限必要です。 クラスター オブジェクト用の OU を作成する必要がある場合、この手順を完了するには、Domain Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

注意

OU でなく、既定の Computers コンテナーに CNO を作成する場合は、このトピックの手順 3. を完了する必要はありません。 このシナリオでは、クラスター管理者は追加の構成をしなくても、最大で 10 個の VCO を作成できます。

AD DS で CNO をプレステージする

  1. リモート サーバー管理ツールから AD DS ツールがインストールされているコンピューター上で、またはドメイン コントローラー上で、 [Active Directory ユーザーとコンピューター]を開きます。 この操作をサーバー上で行うには、サーバー マネージャーを起動し、[ツール] メニューの [Active Directory ユーザーとコンピューター] を選択します。

  2. クラスター コンピューター オブジェクトの OU を作成するには、ドメイン名または既存の OU を右クリックし、[新規作成] をポイントして [組織単位] を選択します。 [名前] ボックスに OU の名前を入力して、[OK] を選択します。

  3. コンソール ツリーで CNO の作成先となる OU を右クリックし、[新規作成] をポイントして、[コンピューター] を選択します。

  4. [コンピューター名] ボックスに、フェールオーバー クラスターのために使用する名前を入力し、[OK] を選択します。

    注意

    これは、クラスターを作成するユーザーがクラスターの作成ウィザードの [クラスター管理用のアクセス ポイント] ページで指定するか、 –Name Windows PowerShell コマンドレットで New-Cluster パラメーターの値として指定するクラスター名です。

  5. ベスト プラクティスとして、作成したコンピューター アカウントを右クリックし、[プロパティ] を選択してから、[オブジェクト] タブを選択します。[オブジェクト] タブで、[誤って削除されないようにオブジェクトを保護する] チェック ボックスをオンにし、[OK] を選択します。

  6. 直前に作成したコンピューター アカウントを右クリックし、[アカウントを無効にする] を選択します。 確認のために [はい] を選択して、[OK] を選択します。

    注意

    クラスターの作成中は、ドメイン内の既存のコンピューターまたはクラスターによってアカウントが使用されていないことをクラスターの作成プロセスが確認できるように、アカウントを無効にする必要があります。

Disabled CNO in the example Clusters OU

図 1. サンプル クラスター OU での無効化された CNO

手順 2: クラスターを作成する権限をユーザーに与える

フェールオーバー クラスターの作成に使用するユーザー アカウントが CNO に対してフル コントロールの権限を持つように、権限を構成する必要があります。

この手順を実行するためには、Account Operators グループのメンバーシップが最低限必要です。

クラスターを作成する権限をユーザーに与える方法は次のとおりです。

  1. [Active Directory ユーザーとコンピューター] の [表示] メニューで、[拡張機能] がオンになっていることを確認します。

  2. CNO を探して右クリックし、[プロパティ] を選択します。

  3. [Security (セキュリティ)] タブで [Add (追加)] を選択します。

  4. [ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスで、権限を付与する対象のユーザー アカウントまたはグループを指定し、[OK] を選択します。

  5. 追加したユーザー アカウントまたはグループを選択し、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。

    Granting Full Control to the user or group that will create the cluster

    図 2. クラスターを作成するユーザーまたはグループへのフル コントロールの許可

  6. [OK] を選択します。

この手順を完了すると、権限を付与されたユーザーがフェールオーバー クラスターを作成できるようになります。 ただし、CNO が OU 内にある場合は、手順 3. が完了するまで、クライアント アクセス ポイントを必要とするクラスター化された役割をユーザーが作成することはできません。

注意

CNO が既定の Computers コンテナー内にある場合、クラスター管理者は追加の構成をしなくても、最大で 10 個の VCO を作成できます。 10 個以上の VCO を追加するには、Computers コンテナーの CNO に "コンピューター オブジェクトを作成する" 権限を明示的に付与する必要があります。

手順 3: CNO に OU へのアクセス許可を与えるか、クラスター化された役割のための VCO をプレステージする

クライアント アクセス ポイントを持つクラスター化された役割を作成する場合、クラスターは CNO と同じ OU 内に VCO を作成します。 この動作が自動的に行われるようにするために、CNO は OU にコンピューター オブジェクトを作成する権限を持っている必要があります。

AD DS で CNO をプレステージした場合、VCO を作成するには、次のいずれかの操作を行います。

  • オプション 1: CNO に OU へのアクセス許可を与えます。 このオプションを使用すると、クラスターは自動的に AD DS 内に VCO を作成できます。 そのため、フェールオーバー クラスターの管理者は、AD DS 内で VCO がプレステージされていなくても、クラスター化された役割を作成できます。

注意

このオプションの手順を実行するには、Domain Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

  • オプション 2: クラスター化された役割のために VCO をプレステージします。 組織の要件によって、クラスター化された役割のためのアカウントをプレステージする必要がある場合は、このオプションを使用します。 たとえば、命名規則を制御したり、どのクラスター化された役割が作成されるかを制御したい場合があります。

注意

このオプションの手順を実行するには、Account Operators グループのメンバーシップが最低限必要です。

CNO に OU へのアクセス許可を与える

  1. [Active Directory ユーザーとコンピューター] の [表示] メニューで、[拡張機能] がオンになっていることを確認します。

  2. 手順 1: AD DS で CNO をプレステージする」で CNO を作成した OU を右クリックし、[プロパティ] を選択します。

  3. [セキュリティ] タブで、[詳細設定] を選択します。

  4. [セキュリティの詳細設定] ダイアログ ボックスで、[追加] を選択します。

  5. [プリンシパル] の横の [プリンシパルの選択] を選択します。

  6. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] を選択し、[コンピューター] チェック ボックスをオンにして [OK] を選択します。

  7. [選択するオブジェクト名を入力してください] に CNO の名前を入力し、[名前の確認] を選択して [OK] を選択します。 無効なオブジェクトを追加しようとしていることを警告するメッセージが表示されたら、[OK] を選択します。

  8. [アクセス許可エントリ] ダイアログ ボックスで、[種類] の一覧が [許可] に設定され、[適用先] の一覧が [このオブジェクトとすべての子オブジェクト] に設定されていることを確認します。

  9. [アクセス許可][コンピューター オブジェクトの作成] チェック ボックスをオンにします。

    Granting the Create Computer objects permission to the CNO

    図 3: CNO へのコンピューター オブジェクトを作成する権限の付与

  10. "Active Directory ユーザーとコンピューター" スナップインに戻るまで、[OK] を選択します。

フェールオーバー クラスターの管理者は、クライアント アクセス ポイントを持つクラスター化された役割を作成し、リソースをオンラインにできるようになりました。

クラスター化された役割のために VCO をプレステージする

  1. 操作を始める前に、クラスターの名前と、クラスター化された役割に使用する名前を確認します。
  2. [Active Directory ユーザーとコンピューター] の [表示] メニューで、[拡張機能] がオンになっていることを確認します。
  3. [Active Directory ユーザーとコンピューター] で、クラスターの CNO がある OU を右クリックし、[新規作成] をポイントして [コンピューター] を選択します。
  4. [コンピューター名] ボックスに、クラスター化された役割のために使用する名前を入力し、[OK] を選択します。
  5. ベスト プラクティスとして、作成したコンピューター アカウントを右クリックし、[プロパティ] を選択してから、[オブジェクト] タブを選択します。[オブジェクト] タブで、[誤って削除されないようにオブジェクトを保護する] チェック ボックスをオンにし、[OK] を選択します。
  6. 作成したコンピューター アカウントを右クリックし、[プロパティ] を選択します。
  7. [Security (セキュリティ)] タブで [Add (追加)] を選択します。
  8. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] を選択し、[コンピューター] チェック ボックスをオンにして [OK] を選択します。
  9. [選択するオブジェクト名を入力してください] に CNO の名前を入力し、[名前の確認] を選択して [OK] を選択します。 無効なオブジェクトを追加しようとしていることを警告するメッセージが表示されたら、[OK] を選択します。
  10. CNO が選択されていることを確認し、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
  11. [OK] を選択します。

フェールオーバー クラスターの管理者は、プレステージされた VCO 名と一致するクライアント アクセス ポイントを持つクラスター化された役割を作成し、リソースをオンラインにできるようになりました。

説明を見る