Настройка учетных записей кластеров в Active Directory

  • Статья
  • Чтение занимает 19 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Azure Stack HCI, версии 21H2 и 20H2

В Windows Server при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отказоустойчивого кластера создают необходимые учетные записи компьютеров Active Directory (также называемые объектами компьютеров) и предоставляют им определенные разрешения. Мастеры создают учетную запись компьютера для самого кластера (эта учетная запись также называется объектом имени кластера или CNO) и учетной записью компьютера для большинства типов кластеризованных служб и приложений, исключением является виртуальная машина Hyper-V. Разрешения для этих учетных записей устанавливаются автоматически мастерами отказоустойчивого кластера. Если разрешения изменены, их необходимо будет изменить обратно в соответствии с требованиями кластера. В этом руководстве описаны эти учетные записи и разрешения Active Directory, приводятся общие сведения о том, почему они важны, а также описаны шаги по настройке учетных записей и управлению ими.

Обзор учетных записей Active Directory, необходимых для отказоустойчивого кластера

В этом разделе описываются учетные записи компьютеров Active Directory (также называемые объектами компьютеров Active Directory), которые важны для отказоустойчивого кластера. Эти учетные записи приведены ниже.

  • Учетная запись пользователя, используемая для создания кластера. Это учетная запись пользователя, используемая для запуска мастера создания кластера. Учетная запись важна, так как она предоставляет основу, из которой создается учетная запись компьютера для самого кластера.

  • Учетная запись имени кластера. (учетная запись компьютера самого кластера, также называемая объектом имени кластера или CNO). Эта учетная запись создается автоматически мастером создания кластера и имеет то же имя, что и кластер. Учетная запись имени кластера очень важна, так как с помощью этой учетной записи другие учетные записи автоматически создаются при настройке новых служб и приложений в кластере. Если учетная запись имени кластера удаляется или из нее удаляются разрешения, другие учетные записи невозможно создать в соответствии с требованиями кластера, пока учетная запись имени кластера не будет восстановлена или не будут восстановлены правильные разрешения.

    Например, если создать кластер с именем Cluster1, а затем попытаться настроить кластеризованный сервер печати с именем PrintServer1 в кластере, учетной записи Cluster1 в Active Directory потребуется сохранить правильные разрешения, чтобы его можно было использовать для создания учетной записи компьютера с именем PrintServer1.

    Учетная запись имени кластера создается в контейнере по умолчанию для учетных записей компьютеров в Active Directory. По умолчанию это контейнер "Компьютеры", но администратор домена может перенаправить его в другой контейнер или подразделение.

  • Учетная запись компьютера (объект компьютера) кластеризованной службы или приложения. Эти учетные записи создаются автоматически мастером высокого уровня доступности в рамках процесса создания большинства типов кластеризованных служб или приложений, исключением является виртуальная машина Hyper-V. Учетной записи имени кластера предоставляются необходимые разрешения для управления этими учетными записями.

    Например, если у вас есть кластер Cluster1, а затем создается кластеризованный файловый сервер с именем FileServer1, мастер обеспечения высокой доступности создает учетную запись компьютера Active Directory с именем FileServer1. Мастер высокой доступности также предоставляет учетной записи Cluster1 необходимые разрешения для управления учетной записью FileServer1.

В следующей таблице описаны разрешения, необходимые для этих учетных записей.

Учетная запись Сведения о разрешениях

Учетная запись, используемая для создания кластера

Требуются административные разрешения на серверах, которые будут становиться узлами кластера. Кроме того, требуются разрешения на создание объектов-компьютеров и разрешение на чтение всех свойств в контейнере, используемом для учетных записей компьютеров в домене.

Учетная запись имени кластера (учетная запись компьютера самого кластера)

При запуске мастера создания кластера создается учетная запись имени кластера в контейнере по умолчанию, используемом для учетных записей компьютеров в домене. По умолчанию учетная запись имени кластера (например, другие учетные записи компьютера) может создавать до десяти учетных записей компьютеров в домене.

Если вы создаете учетную запись имени кластера (объект имени кластера) перед созданием кластера ( то есть предварительной подготовкой учетной записи), необходимо предоставить ей разрешения на создание объектов-компьютеров и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене. Необходимо также отключить учетную запись и предоставить ей полный доступ к учетной записи, которая будет использоваться администратором, который устанавливает кластер. Дополнительные сведения см. в разделе "Действия по предварительной подготовке учетной записи имени кластера" далее в этом руководстве.

Учетная запись компьютера кластеризованной службы или приложения

При запуске мастера обеспечения высокой доступности (для создания новой кластеризованной службы или приложения) в Active Directory создается учетная запись компьютера для кластеризованной службы или приложения. Учетной записи имени кластера предоставляются необходимые разрешения для управления этой учетной записью. Исключением является кластеризованная виртуальная машина Hyper-V: для этого не создается учетная запись компьютера.

При предварительной подготовке учетной записи компьютера для кластеризованной службы или приложения необходимо настроить ее с необходимыми разрешениями. Дополнительные сведения см. в разделе "Действия по подготовке учетной записи для кластеризованной службы или приложения" далее в этом руководстве.

Примечание

В более ранних версиях Windows Server была учетная запись службы кластера. Однако с Windows Server 2008 служба кластеров автоматически запускается в специальном контексте, который предоставляет определенные разрешения и привилегии, необходимые для службы (аналогично контексту локальной системы, но с ограниченными привилегиями). Однако требуются другие учетные записи, как описано в этом руководстве.

Создание учетных записей с помощью мастеров при отказоустойчивой кластеризации

На следующей схеме показано использование и создание учетных записей компьютеров (объектов Active Directory), описанных в предыдущем подразделе. Эти учетные записи возникают, когда администратор запускает мастер создания кластера, а затем запускает мастер высокой доступности (для настройки кластеризованной службы или приложения).

Use and creation of computer accounts

Обратите внимание, что на приведенной выше схеме показан один администратор, работающий как мастер создания кластера, так и мастер высокой доступности. Однако это могут быть два разных администратора с использованием двух разных учетных записей пользователей, если обе учетные записи имеют достаточные разрешения. Разрешения подробно описаны в разделе "Требования", связанные с отказоустойчивые кластеры, домены Active Directory и учетные записи, далее в этом руководстве.

Как могут возникнуть проблемы при изменении учетных записей, необходимых кластеру

На следующей схеме показано, как могут возникнуть проблемы, если учетная запись имени кластера (одна из учетных записей, необходимых кластеру) изменяется после автоматического создания в мастере создания кластера.

Problems if cluster name is changed

Если возникает тип проблемы, показанной на схеме, в Просмотр событий регистрируется определенное событие (1193, 1194, 1206 или 1207). Подробнее об этих событиях см. в разделе https://go.microsoft.com/fwlink/?LinkId=118271.

Обратите внимание, что аналогичная проблема при создании учетной записи для кластеризованной службы или приложения может возникнуть, если достигнута квота на уровне домена для создания объектов-компьютеров (по умолчанию 10). Если она имеется, возможно, целесообразно обратиться к администратору домена по поводу увеличения квоты, хотя это параметр на уровне домена и его следует изменить только после тщательного рассмотрения, и только после подтверждения того, что предыдущая схема не описывает вашу ситуацию. Дополнительные сведения см. в разделе "Действия по устранению неполадок, вызванных изменениями в учетных записях Active Directory, связанных с кластером", далее в этом руководстве.

Как описано в предыдущих трех разделах, перед успешной настройкой кластерных служб и приложений в отказоустойчивом кластере должны быть выполнены определенные требования. Наиболее основные требования касаются расположения узлов кластера (в пределах одного домена) и уровня разрешений учетной записи пользователя, устанавливающего кластер. Если эти требования выполнены, другие учетные записи, необходимые кластеру, могут автоматически создаваться мастерами отказоустойчивого кластера. В следующем списке приведены подробные сведения об этих основных требованиях.

  • Узлов: Все узлы должны находиться в одном домене Active Directory. (Домен не может быть основан на Windows NT 4.0, который не включает Active Directory.)

  • Учетная запись пользователя, который устанавливает кластер: Пользователь, устанавливающий кластер, должен использовать учетную запись со следующими характеристиками:

    • Учетная запись должна быть учетной записью домена. Она не должна быть учетной записью администратора домена. Это может быть учетная запись пользователя домена, если она соответствует другим требованиям в этом списке.

    • Учетная запись должна иметь административные разрешения на серверах, которые будут становиться узлами кластера. Проще всего создать учетную запись пользователя домена, а затем добавить ее в локальную группу администраторов на каждом из серверов, которые будут становиться узлами кластера. Дополнительные сведения см. в разделе "Действия по настройке учетной записи для пользователя, который устанавливает кластер" далее в этом руководстве.

    • Учетной записи (или группе, в которую входит учетная запись) должны быть предоставлены разрешения на создание объектов компьютера и разрешение на чтение всех свойств в контейнере, используемом для учетных записей компьютеров в домене. Дополнительные сведения см. в разделе "Действия по настройке учетной записи для пользователя, который устанавливает кластер" далее в этом руководстве.

    • Если ваша организация решит предварительно настроить учетную запись имени кластера (учетную запись компьютера с тем же именем, что и кластер), учетная запись с предварительно подготовленным именем кластера должна предоставить разрешение "Полный доступ" учетной записи пользователя, который устанавливает кластер. Другие важные сведения о предварительной подготовке учетной записи имени кластера см. в разделе "Действия по предварительной подготовке учетной записи имени кластера" далее в этом руководстве.

Планирование заранее сброса паролей и другого обслуживания учетной записи

Администраторам отказоустойчивых кластеров иногда может потребоваться сбросить пароль учетной записи имени кластера. Для этого действия требуется определенное разрешение, разрешение сброса пароля . Поэтому рекомендуется изменить разрешения учетной записи имени кластера (с помощью оснастки Пользователи и компьютеры Active Directory), чтобы предоставить администраторам кластера разрешение на сброс пароля для учетной записи имени кластера. Дополнительные сведения см. в разделе "Действия по устранению неполадок с паролем с учетной записью имени кластера" далее в этом руководстве.

Шаги по настройке учетной записи для пользователя, который устанавливает кластер

Учетная запись пользователя, устанавливающего кластер, важна, так как она предоставляет основу, из которой создается учетная запись компьютера для самого кластера.

Минимальное членство в группе, необходимое для выполнения следующей процедуры, зависит от того, создаете ли вы учетную запись домена и назначаете ей необходимые разрешения в домене или размещаете учетную запись (созданную другим пользователем) в локальную группу администраторов на серверах, которые будут узлами в отказоустойчивом кластере. Если первый из этих операторов является минимальным требованием для выполнения этой процедуры. Если последнее, членство в локальной группе администраторов на серверах , которые будут узлами в отказоустойчивом кластере или эквивалентным, является обязательным. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по адресу https://go.microsoft.com/fwlink/?LinkId=83477.

Настройка учетной записи для пользователя, который устанавливает кластер

  1. Создайте или получите учетную запись домена для пользователя, который устанавливает кластер. Эта учетная запись может быть учетной записью пользователя домена или учетной записью операторов учетных записей . Если вы используете стандартную учетную запись пользователя, вам потребуется предоставить ей дополнительные разрешения далее в этой процедуре.

  2. Если учетная запись, созданная или полученная на шаге 1, не включена в группу локальных администраторов на компьютерах в домене, добавьте учетную запись в локальную группу администраторов на серверах, которые будут узлами в отказоустойчивом кластере:

    1. Щелкните Пуск, затем Администрирование и Диспетчер серверов.

    2. В дереве консоли разверните узел "Конфигурация", разверните узел "Локальные пользователи и группы", а затем разверните "Группы".

    3. В центральной области щелкните правой кнопкой мыши "Администраторы", выберите команду "Добавить в группу" и выберите команду "Добавить".

    4. В разделе "Введите имена объектов для выбора" введите имя учетной записи пользователя, созданной или полученной на шаге 1. При появлении запроса введите имя учетной записи и пароль с достаточными разрешениями для этого действия. Нажмите кнопку ОК.

    5. Повторите эти действия на каждом сервере, который будет узлом в отказоустойчивом кластере.

    Важно!

    Эти действия должны повторяться на всех серверах, которые будут узлами в кластере.

  3. Если учетная запись, созданная или полученная на шаге 1, является учетной записью администратора домена, пропустите оставшуюся часть этой процедуры. В противном случае предоставьте учетной записи разрешения на создание объектов компьютера и разрешение на чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене:

    1. На контроллере домена нажмите кнопку "Пуск", нажмите кнопку "Администрирование", а затем щелкните Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    2. В меню "Вид " убедитесь, что выбран пункт "Дополнительные компоненты ".

      При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

    3. Щелкните правой кнопкой мыши контейнер компьютеров по умолчанию или контейнер по умолчанию, в котором учетные записи компьютеров создаются в домене, а затем выберите пункт "Свойства". Компьютеры расположены в Пользователи и компьютеры Active Directory/узле доменаили компьютерах.

    4. На вкладке Безопасность нажмите кнопку Дополнительно.

    5. Нажмите кнопку "Добавить", введите имя учетной записи, созданной или полученной на шаге 1, и нажмите кнопку "ОК".

    6. В диалоговом окне "Запись разрешенийдляcontainer" найдите объекты "Создать компьютер" и "Чтение всех свойств" и убедитесь, что флажок "Разрешить" установлен для каждого из них.

      Screenshot that shows Create Computer objects option set to Allow.

Действия по подготовке учетной записи имени кластера

Обычно это проще, если вы не выполняете предварительную настройку учетной записи имени кластера, но разрешаете создавать и настраивать учетную запись автоматически при запуске мастера создания кластера. Однако если необходимо предварительно настроить учетную запись имени кластера из-за требований в организации, используйте следующую процедуру.

Необходимым минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или эквивалентной. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по адресу https://go.microsoft.com/fwlink/?LinkId=83477. Обратите внимание, что для этой процедуры можно использовать ту же учетную запись, что и при создании кластера.

Подготовка учетной записи имени кластера

  1. Убедитесь, что вы знаете имя, которое будет иметь кластер, и имя учетной записи пользователя, которая будет использоваться пользователем, создающим кластер. (Обратите внимание, что для выполнения этой процедуры можно использовать эту учетную запись.)

  2. На контроллере домена нажмите кнопку "Пуск", нажмите кнопку "Администрирование", а затем щелкните Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши компьютеры или контейнер по умолчанию, в котором учетные записи компьютеров создаются в домене. Компьютеры расположены в Пользователи и компьютеры Active Directory/узле доменаили компьютерах.

  4. Нажмите кнопку "Создать", а затем щелкните "Компьютер".

  5. Введите имя, которое будет использоваться для отказоустойчивого кластера, иными словами, имя кластера, которое будет указано в мастере создания кластера, и нажмите кнопку "ОК".

  6. Щелкните правой кнопкой мыши только что созданную учетную запись и выберите команду "Отключить учетную запись". Если появится запрос на подтверждение выбора, нажмите кнопку "Да".

    Учетная запись должна быть отключена, чтобы при запуске мастера создания кластера можно убедиться, что учетная запись, используемая для кластера, в настоящее время не используется существующим компьютером или кластером в домене.

  7. В меню "Вид " убедитесь, что выбран пункт "Дополнительные компоненты ".

    При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

  8. Щелкните правой кнопкой мыши папку, которую вы щелкнули правой кнопкой мыши на шаге 3, и выберите пункт "Свойства".

  9. На вкладке Безопасность нажмите кнопку Дополнительно.

  10. Нажмите кнопку "Добавить", щелкните "Типы объектов " и убедитесь, что выбраны компьютеры , а затем нажмите кнопку "ОК". Затем в разделе "Введите имя объекта для выбора", введите имя только что созданной учетной записи компьютера и нажмите кнопку "ОК". Если появится сообщение о том, что вы хотите добавить отключенный объект, нажмите кнопку "ОК".

  11. В диалоговом окне "Запись разрешений " найдите объекты "Создать компьютер " и разрешения на чтение всех свойств и убедитесь, что флажок "Разрешить " установлен для каждого из них.

    Permission Entry dialog box

  12. Нажимайте кнопку "ОК", пока не вернелись к оснастке Пользователи и компьютеры Active Directory.

  13. Если для выполнения этой процедуры используется та же учетная запись, что и для создания кластера, пропустите оставшиеся шаги. В противном случае необходимо настроить разрешения, чтобы учетная запись пользователя, которая будет использоваться для создания кластера, имеет полный контроль над только что созданной учетной записью компьютера:

    1. В меню "Вид " убедитесь, что выбран пункт "Дополнительные компоненты ".

    2. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт "Свойства".

    3. На вкладке Безопасность нажмите кнопку Добавить. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    4. Используйте диалоговое окно выбора пользователей, компьютеров или групп, чтобы указать учетную запись пользователя, которая будет использоваться при создании кластера. Нажмите кнопку ОК.

    5. Убедитесь, что выбрана только что добавленная учетная запись пользователя, а затем рядом с полем "Полный доступ" установите флажок "Разрешить ".

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

Действия по подготовке учетной записи для кластеризованной службы или приложения

Обычно это проще, если вы не подготавливаете учетную запись компьютера для кластеризованной службы или приложения, но позволяет создавать и настраивать учетную запись автоматически при запуске мастера обеспечения высокой доступности. Однако если необходимо предварительно настроить учетные записи из-за требований в организации, используйте следующую процедуру.

Для выполнения этой процедуры требуется членство в группе "Операторы учетных записей " или эквивалентное. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по адресу https://go.microsoft.com/fwlink/?LinkId=83477.

Подготовка учетной записи для кластеризованной службы или приложения

  1. Убедитесь, что вы знаете имя кластера и имя, которое будет иметь кластеризованная служба или приложение.

  2. На контроллере домена нажмите кнопку "Пуск", нажмите кнопку "Администрирование", а затем щелкните Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши компьютеры или контейнер по умолчанию, в котором учетные записи компьютеров создаются в домене. Компьютеры расположены в Пользователи и компьютеры Active Directory/узле доменаили компьютерах.

  4. Нажмите кнопку "Создать", а затем щелкните "Компьютер".

  5. Введите имя, которое будет использоваться для кластеризованной службы или приложения, и нажмите кнопку "ОК".

  6. В меню "Вид " убедитесь, что выбран пункт "Дополнительные компоненты ".

    При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

  7. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт "Свойства".

  8. На вкладке Безопасность нажмите кнопку Добавить.

  9. Щелкните "Типы объектов " и убедитесь, что выбраны компьютеры , а затем нажмите кнопку "ОК". Затем в разделе "Введите имя объекта для выбора", введите учетную запись имени кластера и нажмите кнопку "ОК". Если появится сообщение о том, что вы хотите добавить отключенный объект, нажмите кнопку "ОК".

  10. Убедитесь, что выбрана учетная запись имени кластера, а затем рядом с параметром "Полный доступ" установите флажок "Разрешить ".

    Security tab

Как описано выше в этом руководстве, при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отказоустойчивого кластера создают необходимые учетные записи Active Directory и предоставляют им правильные разрешения. При удалении необходимой учетной записи или изменении необходимых разрешений могут возникнуть проблемы. В следующих подразделах приведены инструкции по устранению этих проблем.

Действия по устранению неполадок с паролем с учетной записью имени кластера

Используйте эту процедуру, если имеется сообщение о событиях об объектах компьютера или об удостоверении кластера, включающее следующий текст. Обратите внимание, что этот текст будет находиться в сообщении о событии, а не в начале сообщения о событии:

Logon failure: unknown user name or bad password.

Сообщения о событиях, соответствующие предыдущему описанию, указывают на то, что пароль для учетной записи имени кластера и соответствующий пароль, хранящийся программным обеспечением кластеризации, больше не совпадают.

Сведения о том, чтобы администраторы кластера имели правильные разрешения на выполнение следующей процедуры по мере необходимости, см. в разделе "Планирование перед сбросом паролей" и другими службами обслуживания учетных записей, описанных ранее в этом руководстве.

Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной. Кроме того, учетной записи необходимо предоставить разрешение на сброс пароля для учетной записи имени кластера (если ваша учетная запись не является учетной записью администратора домена или является владельцем создателя учетной записи имени кластера). Для этой процедуры можно использовать учетную запись, которая использовалась пользователем, установившим кластер. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по адресу https://go.microsoft.com/fwlink/?LinkId=83477.

Устранение неполадок с паролем с учетной записью имени кластера

  1. Чтобы открыть оснастку управления отказоустойчивыми кластерами, нажмите кнопку Пуск, выберите пункт Администрирование, после чего щелкните Управление отказоустойчивыми кластерами. (При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.)

  2. Если в оснастке "Управление отказоустойчивым кластером" не отображается кластер, который требуется настроить, щелкните правой кнопкой мыши элемент Управление отказоустойчивыми кластерами в дереве консоли, выберите в меню пункт Управление кластером, а затем выберите или укажите требуемый кластер.

  3. В центральной области разверните Ресурсы ядра кластера.

  4. В разделе Имя кластера щелкните правой кнопкой мыши элемент Имя, наведите указатель мыши на Дополнительные действия и выберите Восстановить объект Active Directory.

Если учетная запись имени кластера удаляется или если разрешения удаляются из нее, при попытке настроить новую кластеризованную службу или приложение будут возникать проблемы. Чтобы устранить проблему, из-за которой это может быть вызвано, используйте оснастку Пользователи и компьютеры Active Directory для просмотра или изменения учетной записи имени кластера и других связанных учетных записей. Сведения о событиях, регистрированных при возникновении этой проблемы (события 1193, 1194, 1206 или 1207), см. в разделе https://go.microsoft.com/fwlink/?LinkId=118271.

Необходимым минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или эквивалентной. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по адресу https://go.microsoft.com/fwlink/?LinkId=83477.

  1. На контроллере домена нажмите кнопку "Пуск", щелкните "Администрирование" и выберите пункт Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  2. Разверните контейнер компьютеров по умолчанию или папку, в которой находится учетная запись имени кластера (учетная запись компьютера для кластера). Компьютеры находятся в Пользователи и компьютеры Active Directory/узле домена/компьютерах.

  3. Проверьте значок учетной записи имени кластера. На ней не должна быть стрелка вниз, то есть учетная запись не должна быть отключена. Если он отключен, щелкните его правой кнопкой мыши и найдите команду "Включить учетную запись". Если вы видите команду, щелкните ее.

  4. В меню "Вид " убедитесь, что выбран пункт "Дополнительные функции ".

    При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

  5. Щелкните правой кнопкой мыши контейнер компьютеров по умолчанию или папку, в которой находится учетная запись имени кластера.

  6. Нажмите кнопку Свойства.

  7. На вкладке Безопасность нажмите кнопку Дополнительно.

  8. В списке учетных записей с разрешениями щелкните учетную запись имени кластера и нажмите кнопку "Изменить".

Примечание

Если учетная запись имени кластера отсутствует в списке, нажмите кнопку "Добавить " и добавьте ее в список.

  1. Для учетной записи имени кластера (также известной как объект имени кластера или CNO) убедитесь, что для разрешений "Создать компьютер" и "Чтение всех свойств" выбрано разрешение "Разрешить".

    Screenshot that shows the Permission Entry dialog box with the Create Computer objects option set to Allow.

  2. Нажимайте кнопку "ОК", пока не вернелись к оснастке Пользователи и компьютеры Active Directory.

  3. Просмотрите политики домена (консультации с администратором домена, если применимо), связанные с созданием учетных записей компьютеров (объектов). Убедитесь, что учетная запись имени кластера может создавать учетную запись компьютера при каждой настройке кластерной службы или приложения. Например, если администратор домена настроил параметры, которые приводят к созданию всех новых учетных записей компьютеров в специализированном контейнере, а не в контейнере компьютеров по умолчанию, убедитесь, что эти параметры позволяют учетной записи имени кластера создавать новые учетные записи компьютеров в этом контейнере.

  4. Разверните контейнер компьютеров по умолчанию или контейнер, в котором находится учетная запись компьютера для одной из кластеризованных служб или приложений.

  5. Щелкните правой кнопкой мыши учетную запись компьютера для одной из кластеризованных служб или приложений и выберите пункт "Свойства".

  6. На вкладке "Безопасность " убедитесь, что учетная запись имени кластера указана в списке учетных записей с разрешениями и выберите ее. Убедитесь, что у учетной записи имени кластера есть разрешение на полный доступ (установлен флажок "Разрешить "). Если это не так, добавьте учетную запись имени кластера в список и предоставьте ему разрешение на полный доступ .

Security tab

  1. Повторите шаги 13–14 для каждой кластеризованной службы и приложения, настроенных в кластере.

  2. Убедитесь, что квота на уровне домена для создания объектов-компьютеров (по умолчанию 10) не достигнута (если применимо, обратитесь к администратору домена). Если предыдущие элементы этой процедуры были проверены и исправлены, а если квота достигнута, рассмотрите возможность увеличения квоты. Чтобы изменить квоту, выполните следующие действия.

  3. Откройте командную строку от имени администратора и запустите ADSIEdit.msc.

  4. Щелкните правой кнопкой мыши ADSI Edit, выберите пункт Подключение, а затем нажмите кнопку "ОК". Контекст именования по умолчанию добавляется в дерево консоли.

  5. Дважды щелкните контекст именования по умолчанию, щелкните правой кнопкой мыши объект домена под ним и выберите пункт "Свойства".

  6. Прокрутите страницу до ms-DS-MachineAccountQuota, выберите ее, нажмите кнопку "Изменить", измените значение и нажмите кнопку "ОК".