Share via

Configuração de contas de cluster no Active Directory

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Azure Stack HCI, versões 21H2 e 20H2

No Windows Server, quando você cria um cluster de failover e configura aplicativos ou serviços clusterizados, os assistentes de cluster de failover criam as contas de computador do Active Directory necessárias (também chamadas de objetos de computador) e fornecem a elas permissões específicas. Os assistentes criam uma conta de computador para o cluster em si (essa conta também é chamada de objeto de nome do cluster ou CNO) e uma conta de computador para a maioria dos tipos de aplicativos e serviços clusterizados, com exceção de uma máquina virtual Hyper-V. As permissões para essas contas são definidas automaticamente pelos assistentes de cluster de failover. Se as permissões forem modificadas, será preciso alterá-las de volta para que correspondam aos requisitos do cluster. Este guia descreve essas contas e permissões do Active Directory, fornece informações históricas sobre a importância delas e descreve as etapas para configurar e gerenciar as contas.

Visão geral das contas do Active Directory necessárias para um cluster de failover

Esta seção descreve as contas de computador do Active Directory (também chamadas de objetos de computador do Active Directory) que são importantes para um cluster de failover. As contas são estas:

  • A conta de usuário usada para criar o cluster. Essa é a conta de usuário usada para iniciar o assistente para Criação de Clusters. A conta é importante porque fornece a base na qual uma conta de computador é criada para o cluster em si.

  • A conta de nome do cluster. (a conta de computador do próprio cluster, também chamada de objeto de nome do cluster ou CNO). Essa conta é criada automaticamente pelo assistente para Criação de Clusters e apresenta o mesmo nome do cluster. A conta de nome do cluster é muito importante, pois por meio dessa conta, outras contas são automaticamente criadas conforme você configura novos serviços e aplicativos no cluster. Se a conta de nome do cluster for excluída ou se suas permissões forem removidas, outras contas não poderão ser criadas conforme exigidas pelo cluster até que a conta de nome do cluster seja restaurada ou as permissões corretas sejam restabelecidas.

    Por exemplo, se você criar um cluster chamado Cluster1 e tentar configurar um servidor de impressão clusterizado chamado PrintServer1 em seu cluster, a conta de Cluster1 no Active Directory precisará reter as permissões corretas, de forma que ela possa ser usada para criar uma conta de computador chamada PrintServer1.

    A conta de nome do cluster é criada no contêiner padrão de contas de computador no Active Directory. Por padrão, esse contêiner é "Computadores", mas o administrador de domínio pode optar por redirecioná-la para outro contêiner ou outra UO (unidade organizacional).

  • A conta de computador (objeto de computador) de um aplicativo ou serviço clusterizado. Essas contas são criadas automaticamente pelo assistente para Alta Disponibilidade como parte do processo de criação da maioria dos tipos de aplicativo ou serviços clusterizados, com exceção de uma máquina virtual Hyper-V. A conta de nome do cluster recebe as permissões necessárias para controlar essas contas.

    Por exemplo, se você tiver um cluster chamado Cluster1 e criar um servidor de arquivos clusterizado chamado FileServer1, o assistente para Alta Disponibilidade criará uma conta de computador do Active Directory chamada FileServer1. O assistente de Alta Disponibilidade também fornece à conta Cluster1 as permissões necessárias para controlar a conta FileServer1.

A tabela a seguir descreve as permissões necessárias para essas contas.

Conta Detalhes sobre permissões

Conta usada para criar o cluster

Exige permissões administrativas nos servidores que se tornarão nós do cluster. Também exige as permissões Criar Objetos de computador e Ler Todas as Propriedades no contêiner que é usado para contas de computador no domínio.

Conta de nome do cluster (conta de computador do próprio cluster)

Quando o assistente para Criação de Clusters é executado, ele cria a conta de nome do cluster no contêiner padrão que é usado para contas de computador no domínio. Por padrão, a conta de nome do cluster (assim como outras contas de computador) pode criar até dez contas de computador no domínio.

Se você criar a conta de nome do cluster (objeto de nome do cluster) antes de criar o cluster, isto é, pré-preparar a conta, será preciso fornecer a ela as permissões Criar Objetos de computador e Ler Todas as Propriedades no contêiner que é usado para contas de computador no domínio. Também será preciso desabilitar a conta e fornecer Controle Total dela à conta que será usada pelo administrador que instalará o cluster. Para obter mais informações, consulte Etapas para pré-preparar a conta de nome do cluster, mais adiante neste guia.

Conta de computador de um aplicativo ou serviço clusterizado

Quando o assistente de Alta Disponibilidade é executado (para criar um novo serviço ou aplicativo clusterizado), na maioria dos casos, uma conta de computador para o serviço ou aplicativo clusterizado é criada no Active Directory. A conta de nome do cluster recebe as permissões necessárias para controlar essa conta. A exceção é uma máquina virtual do Hyper-V clusterizado: nenhuma conta de computador é criada para isso.

Se você pré-preparar a conta de computador para um aplicativo ou serviço clusterizado, configure-a com as permissões necessárias. Para obter mais informações, consulte Etapas para pré-preparar uma conta para um aplicativo ou serviço clusterizado, mais adiante neste guia.

Observação

Em versões anteriores do Windows Server, havia uma conta para o Serviço de cluster. Desde o Windows Server 2008, no entanto, o Serviço de cluster é executado automaticamente em um contexto especial que fornece as permissões e os privilégios específicos necessários para o serviço (semelhante ao contexto de sistema local, mas com privilégios reduzidos). No entanto, são necessárias outras contas, conforme descrito neste guia.

Como as contas são criadas por meio de assistentes no clustering de failover

O diagrama a seguir ilustra o uso e a criação de contas de computador (objetos do Active Directory) que são descritos na subseção anterior. Essas contas entram em ação quando um administrador executa o assistente para Criação de Clusters e, em seguida, executa o assistente para Alta Disponibilidade (para configurar um aplicativo ou serviço clusterizado).

Use and creation of computer accounts

Observe que o diagrama acima mostra um único administrador executando ambos os assistentes - Criação de Clusters e Alta Disponibilidade. No entanto, isso poderia ser feito por dois administradores usando duas contas de usuário diferentes, se ambas as contas tivessem permissões suficientes. As permissões são descritas mais detalhadamente em Requisitos relacionados a clusters de failover, domínios do Active Directory e contas, mais adiante neste guia.

Como os problemas podem surgir se as contas das quais o cluster precisa forem alteradas

O diagrama a seguir ilustra como os problemas podem surgir se a conta de nome do cluster (uma das contas exigidas pelo cluster) for alterada depois que for automaticamente criada pelo assistente para Criação de Clusters.

Problems if cluster name is changed

Se ocorrer o tipo de problema mostrado no diagrama, um determinado evento (1193, 1194, 1206 ou 1207) será registrado em log no Visualizador de Eventos. Para obter mais informações sobre esses eventos, consulte https://go.microsoft.com/fwlink/?LinkId=118271.

Observe que poderá ocorrer um problema semelhante com a criação de uma conta para um aplicativo ou serviço clusterizado se a cota de todo o domínio para criação de objetos de computador (por padrão, 10) for atingida. Nesse caso, pode ser adequado consultar o administrador de domínio para aumentar a cota, embora essa seja uma configuração de todo o domínio e deva ser alterada somente depois de uma análise detalhada, e somente depois de confirmar que o diagrama anterior não descreve sua situação. Para obter mais informações, consulte Solucionar problemas causados por alterações em contas do Active Directory relacionadas ao cluster.

Conforme descrito nas três seções anteriores, determinados requisitos devem ser atendidos para que aplicativos e serviços clusterizados possam ser configurados com êxito em um cluster de failover. Os requisitos mais básicos referem-se ao local dos nós do cluster (em um único domínio) e ao nível de permissões da conta da pessoa que instala o cluster. Se esses requisitos forem atendidos, as outras contas exigidas pelo cluster poderão ser criadas automaticamente pelos assistentes de cluster de failover. A lista a seguir fornece detalhes sobre esses requisitos básicos.

  • Nós: todos os nós devem estar no mesmo domínio do Active Directory. (O domínio não pode se basear no Windows NT 4.0, que não inclui o Active Directory.)

  • Conta da pessoa que instala o cluster: a pessoa que instala o cluster deve usar uma conta com as seguintes características:

    • A conta deve ser uma conta de domínio. Ela não precisa ser uma conta de administrador de domínio. Ela poderá ser uma conta de usuário de domínio se atender a outros requisitos desta lista.

    • A conta deve ter permissões administrativas nos servidores que se tornarão nós do cluster. O modo mais simples de fazer isso é criar uma conta de usuário de domínio e adicioná-la ao grupo local Administradores em cada um dos servidores que se tornará nó do cluster. Para obter mais informações, consulte Etapas para configurar a conta para a pessoa que instala o cluster, mais adiante neste guia.

    • A conta (ou o grupo do qual a conta é um membro) deve receber as permissões Criar Objetos de computador e Ler Todas as Propriedades no contêiner que é usado para contas de computador no domínio. Para obter mais informações, consulte Etapas para configurar a conta para a pessoa que instala o cluster, mais adiante neste guia.

    • Se sua organização optar por pré-preparar a conta de nome do cluster (uma conta de computador com o mesmo nome do cluster), essa conta pré-preparada deverá fornecer a permissão "Controle Total" à conta da pessoa que instala o cluster. Para obter outros detalhes importantes sobre como pré-preparar a conta de nome do cluster, consulte Etapas para pré-preparar a conta de nome do cluster, mais adiante neste guia.

Planejando redefinições de senha e outra manutenção de conta com antecipação

Às vezes, os administradores de clusters de failover podem precisar redefinir a senha da conta de nome do cluster. Essa ação exige uma permissão específica, Redefinir senha. Portanto, é uma prática recomendada editar as permissões da conta de nome do cluster (usando o snap-in Usuários e Computadores do Active Directory) para fornecer aos administradores do cluster a permissão Redefinir senha para a conta de nome do cluster. Para obter mais informações, consulte Solucionar problemas de senha com a conta do nome do cluster.

Etapas para configurar a conta para a pessoa que instala o cluster

A conta da pessoa que instala o cluster é importante porque fornece a base na qual uma conta de computador é criada para o cluster em si.

A associação de grupo mínima exigida para concluir o procedimento a seguir depende se você está criando a conta de domínio e cedendo a ela as permissões exigidas no domínio ou se você está apenas colocando a conta (criada por outra pessoa) no grupo local Administradores nos servidores que serão nós do cluster de failover. No primeiro caso, a associação em Operadores de Contas ou equivalente é o requisito mínimo exigido para concluir este procedimento. Se for a segunda o opção, é preciso apenas a associação ao grupo local Administradores nos servidores que serão nós no cluster de failover, ou equivalente. Examine os detalhes sobre como usar as contas e as associações de grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477.

Para configurar a conta para a pessoa que instala o cluster

  1. Crie ou obtenha uma conta de domínio para a pessoa que instala o cluster. Essa conta pode ser uma conta de usuário de domínio ou uma conta de Operadores de Contas. Se você usar uma conta de usuário padrão, precisará conceder a ela algumas permissões adicionais posteriormente neste procedimento.

  2. Se a conta criada ou obtida na etapa 1 não for incluída automaticamente no grupo local Administradores nos computadores do domínio, adicione a conta ao grupo local Administradores nos servidores que serão nós no cluster de failover:

    1. Clique em Iniciar, clique em Ferramentas Administrativas e clique em Gerenciador do Servidores.

    2. Na árvore de console, expanda Configuração, expanda Usuários e Grupos Locais e, por fim, expanda Grupos.

    3. No painel central, clique com o botão direito do mouse em Administradores, clique em Adicionar ao Grupo e em Adicionar.

    4. Em Inserir os nomes de objeto a serem selecionados, digite o nome da conta de usuário que foi criada ou obtida na etapa 1. Se solicitado, insira um nome de conta e uma senha com permissões suficientes para essa ação. Em seguida, clique em OK.

    5. Repita essas etapas em cada servidor que será um nó no cluster de failover.

    Importante

    Essas etapas devem ser repetidas em todos os servidores que serão nós no cluster.

  3. Se a conta que foi criada ou obtida na etapa 1 for uma conta de administrador de domínio, ignore o restante deste procedimento. Caso contrário, forneça à conta as permissões Criar Objetos de computador e Ler Todas as Propriedades no contêiner que é usado para contas de computador no domínio:

    1. Em um controlador de domínio, clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

    2. No menu Exibir, verifique se a opção Recursos Avançados está selecionada.

      Quando Recursos Avançados estiver selecionada, você poderá ver a guia Segurança nas propriedades de contas (objetos) em Usuários e Computadores do Active Directory.

    3. Clique com o botão direito do mouse no contêiner padrão Computadores ou no contêiner padrão no qual as contas de computador são criadas no seu domínio e clique em Propriedades. Computers está localizado em Active Directory Users and Computers/domain-node/Computers.

    4. Na guia Segurança, clique em Avançado.

    5. Clique em Adicionar, digite o nome da conta que foi criada ou obtida na etapa 1 e clique em OK.

    6. Na caixa de diálogo Entrada de Permissão paracontêiner, localize as permissões Criar Objetos de computador e Ler Todas as Propriedades, e verifique se a caixa de seleção Permitir está marcada para cada uma delas.

      Screenshot that shows Create Computer objects option set to Allow.

Etapas para pré-preparar a conta de nome do cluster

Normalmente, o processo se torna mais simples se você não pré-preparar a conta de nome do cluster, mas em vez disso, permitir que a conta seja criada e configurada automaticamente quando você executa o assistente para Criação de Clusters. No entanto, se for necessário pré-preparar a conta de nome do cluster devido aos requisitos em sua organização, use o procedimento a seguir.

A associação ao grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento. Examine os detalhes sobre como usar as contas e as associações de grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477. Observe que é possível usar a mesma conta para este procedimento que você usará ao criar o cluster.

Para pré-preparar uma conta de nome do cluster

  1. Você precisa saber o nome que o cluster terá, bem como o nome da conta de usuário que será usada pela pessoa que criará o cluster. (Observe que é possível usar essa conta para executar este procedimento.)

  2. Em um controlador de domínio, clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

  3. Na árvore de console, clique com o botão direito do mouse em Computadores ou no contêiner padrão no qual as contas de computador são criadas no seu domínio. Computers está localizado em Active Directory Users and Computers/domain-node/Computers.

  4. Clique em Novo e em Computador.

  5. Digite o nome que será usado para o cluster de failover; em outras palavras, o nome do cluster que será especificado no assistente para Criação de Clusters e clique em OK.

  6. Clique com o botão direito do mouse na conta recém-criada e clique em Desabilitar Conta. Se for solicitado que você confirme sua escolha, clique em Sim.

    A conta deve ser desabilitada para que, quando o assistente para Criação de Clusters for executado, ele possa confirmar que a conta que será usada para o cluster não esteja sendo usada no momento por um computador ou cluster existente no domínio.

  7. No menu Exibir, verifique se a opção Recursos Avançados está selecionada.

    Quando Recursos Avançados estiver selecionada, você poderá ver a guia Segurança nas propriedades de contas (objetos) em Usuários e Computadores do Active Directory.

  8. Clique com o botão direito do mouse na pasta na qual você clicou com o botão direito na etapa 3 e clique em Propriedades.

  9. Na guia Segurança, clique em Avançado.

  10. Clique em Adicionar, em Tipos de Objeto, verifique se a opção Computadores está selecionada e clique em OK. Em Digite o nome do objeto a ser selecionado, digite o nome da conta de computador que acabou de ser criada e clique em OK. Se uma mensagem for exibida informando que você está prestes a adicionar um objeto desabilitado, clique em OK.

  11. Na caixa de diálogo Entrada de Permissão, localize as permissões Criar Objetos de computador e Ler Todas as Propriedades e verifique se a caixa de seleção Permitir está marcada para cada uma delas.

    Permission Entry dialog box

  12. Clique em OK até retornar ao snap-in Usuários e Computadores do Active Directory.

  13. Se para executar este procedimento, você estiver usando a mesma conta que será usada para criar o cluster, ignore as etapas restantes. Caso contrário, você deve configurar as permissões para que a conta de usuário que será usada para criar o cluster tenha controle total da conta de computador recém-criada:

    1. No menu Exibir, verifique se a opção Recursos Avançados está selecionada.

    2. Clique com o botão direito do mouse na conta de computador recém-criada e clique em Propriedades.

    3. Na guia Segurança, clique em Adicionar. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

    4. Use a caixa de diálogo Selecionar Usuários, Computadores ou Grupos para especificar a conta de usuário que será usada ao criar o cluster. Em seguida, clique em OK.

    5. Verifique se a conta de usuário que você acabou adicionar está selecionada e, próximo a Controle Total, marque a caixa de seleção Permitir.

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

Etapas para pré-preparar uma conta para um aplicativo ou serviço clusterizado

Normalmente, o processo se torna mais simples se você não pré-preparar a conta de computador para um aplicativo ou serviço clusterizado, mas em vez disso, permitir que a conta seja criada e configurada automaticamente quando você executa o assistente para Alta Disponibilidade. No entanto, se for necessário pré-preparar as contas devido aos requisitos em sua organização, use o procedimento a seguir.

A associação ao grupo Operadores de Conta, ou equivalente, é o mínimo necessário para concluir este procedimento. Examine os detalhes sobre como usar as contas e as associações de grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477.

Para pré-preparar uma conta para um aplicativo ou serviço clusterizado

  1. Você precisa saber o nome do cluster e o nome que o aplicativo ou serviço clusterizado terá.

  2. Em um controlador de domínio, clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

  3. Na árvore de console, clique com o botão direito do mouse em Computadores ou no contêiner padrão no qual as contas de computador são criadas no seu domínio. Computers está localizado em Active Directory Users and Computers/domain-node/Computers.

  4. Clique em Novo e em Computador.

  5. Digite o nome que você usará para o aplicativo ou serviço clusterizado e clique em OK.

  6. No menu Exibir, verifique se a opção Recursos Avançados está selecionada.

    Quando Recursos Avançados estiver selecionada, você poderá ver a guia Segurança nas propriedades de contas (objetos) em Usuários e Computadores do Active Directory.

  7. Clique com o botão direito do mouse na conta de computador recém-criada e clique em Propriedades.

  8. Na guia Segurança, clique em Adicionar.

  9. Clique em Tipos de Objeto, verifique se a opção Computadores está selecionada e clique em OK. Em Digite o nome do objeto a ser selecionado, digite a conta de nome do cluster e clique em OK. Se uma mensagem for exibida informando que você está prestes a adicionar um objeto desabilitado, clique em OK.

  10. Verifique se a conta de nome do cluster está selecionada e, próximo a Controle Total, marque a caixa de seleção Permitir.

    Security tab

Para obter mais informações, consulte Solucionar problemas com contas usadas por clusters de failover.