Настройка учетных записей кластеров в Active Directory

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Azure Stack HCI, версии 21H2 и 20H2

В Windows Server при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отработки отказа создают необходимые учетные записи компьютеров Active Directory (также называемые объектами компьютеров) и предоставляют им определенные разрешения. Мастера создают учетную запись компьютера для самого кластера (эта учетная запись также называется объектом имени кластера или CNO) и учетной записью компьютера для большинства типов кластеризованных служб и приложений, исключением является виртуальная машина Hyper-V. Разрешения для этих учетных записей задаются автоматически мастерами отказоустойчивого кластера. Если разрешения изменяются, их необходимо изменить обратно в соответствии с требованиями кластера. В этом руководстве описываются учетные записи и разрешения Active Directory, предоставляются общие сведения о том, почему они важны, и описываются шаги по настройке учетных записей и управлению ими.

Обзор учетных записей Active Directory, необходимых для отказоустойчивого кластера

В этом разделе описываются учетные записи компьютеров Active Directory (также называемые объектами компьютеров Active Directory), важные для отказоустойчивого кластера. Эти учетные записи приведены следующим образом:

  • Учетная запись пользователя, используемая для создания кластера. Это учетная запись пользователя, используемая для запуска мастера создания кластера. Учетная запись важна, так как она предоставляет основу, из которой создается учетная запись компьютера для самого кластера.

  • Учетная запись имени кластера. (учетная запись компьютера самого кластера, также называемая объектом имени кластера или CNO). Эта учетная запись создается автоматически мастером создания кластера и имеет то же имя, что и кластер. Учетная запись имени кластера очень важна, так как с помощью этой учетной записи другие учетные записи автоматически создаются при настройке новых служб и приложений в кластере. Если учетная запись имени кластера удаляется или разрешения удаляются из нее, другие учетные записи не могут быть созданы в соответствии с требованиями кластера, пока учетная запись имени кластера не будет восстановлена или будут восстановлены правильные разрешения.

    Например, если создать кластер с именем Cluster1, а затем попытаться настроить кластеризованный сервер печати с именем PrintServer1 в кластере, учетная запись Cluster1 в Active Directory потребуется сохранить правильные разрешения, чтобы использовать ее для создания учетной записи компьютера с именем PrintServer1.

    Учетная запись имени кластера создается в контейнере по умолчанию для учетных записей компьютеров в Active Directory. По умолчанию это контейнер "Компьютеры", но администратор домена может перенаправить его в другой контейнер или подразделение организации.

  • Учетная запись компьютера (объект компьютера) кластеризованной службы или приложения. Эти учетные записи создаются автоматически мастером высокой доступности в процессе создания большинства типов кластеризованных служб или приложений, исключением является виртуальная машина Hyper-V. Учетная запись имени кластера предоставляет необходимые разрешения для управления этими учетными записями.

    Например, если у вас есть кластер с именем Cluster1, а затем создается кластеризованный файловый сервер с именем FileServer1, мастер высокой доступности создает учетную запись компьютера Active Directory с именем FileServer1. Мастер высокой доступности также предоставляет учетной записи Cluster1 необходимые разрешения для управления учетной записью FileServer1.

В следующей таблице описаны разрешения, необходимые для этих учетных записей.

Учетная запись Сведения о разрешениях

Учетная запись, используемая для создания кластера

Требуются административные разрешения на серверах, которые будут становиться узлами кластера. Кроме того, требуется создать объекты компьютера и разрешения на чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене.

Учетная запись имени кластера (учетная запись компьютера самого кластера)

При запуске мастера создания кластера создается учетная запись имени кластера в контейнере по умолчанию, используемом для учетных записей компьютеров в домене. По умолчанию учетная запись имени кластера (например, другие учетные записи компьютера) может создавать до десяти учетных записей компьютеров в домене.

Если вы создаете учетную запись имени кластера (объект имени кластера) перед созданием кластера , то есть предустановкой учетной записи, необходимо предоставить ему разрешения "Создать объекты компьютера" и "Чтение всех свойств " в контейнере, который используется для учетных записей компьютеров в домене. Кроме того, необходимо отключить учетную запись и предоставить ему полный доступ к учетной записи, которая будет использоваться администратором, который устанавливает кластер. Дополнительные сведения см. в разделе "Действия по подготовке учетной записи имени кластера" далее в этом руководстве.

Учетная запись компьютера кластеризованной службы или приложения

При запуске мастера высокой доступности (для создания кластеризованной службы или приложения) в большинстве случаев в Active Directory создается учетная запись компьютера для кластеризованной службы или приложения. Учетная запись имени кластера предоставляет необходимые разрешения для управления этой учетной записью. Исключением является кластеризованная виртуальная машина Hyper-V: для этого не создается учетная запись компьютера.

При предварительной подготовке учетной записи компьютера для кластеризованной службы или приложения необходимо настроить ее с необходимыми разрешениями. Дополнительные сведения см. в разделе "Действия по подготовке учетной записи для кластеризованной службы или приложения" далее в этом руководстве.

Примечание.

В более ранних версиях Windows Server была учетная запись службы кластера. Так как Windows Server 2008 служба кластера автоматически запускается в специальном контексте, предоставляя определенные разрешения и привилегии, необходимые для службы (аналогично контексту локальной системы, но с ограниченными привилегиями). Однако требуются другие учетные записи, как описано в этом руководстве.

Создание учетных записей с помощью мастеров при отработке отказа кластеризация

На следующей схеме показано использование и создание учетных записей компьютеров (объектов Active Directory), описанных в предыдущем подразделе. Эти учетные записи вступают в игру, когда администратор запускает мастер создания кластера, а затем запускает мастер высокой доступности (чтобы настроить кластеризованную службу или приложение).

Use and creation of computer accounts

Обратите внимание, что на приведенной выше схеме показан один администратор, работающий как мастер создания кластера, так и мастер высокой доступности. Однако это может быть два разных администратора с помощью двух разных учетных записей пользователей, если обе учетные записи имеют достаточные разрешения. Более подробно описаны разрешения, связанные с отказоустойчивые кластеры, домены Active Directory и учетные записи, далее в этом руководстве.

Как могут возникнуть проблемы, если учетные записи, необходимые кластеру, изменяются

На следующей схеме показано, как могут возникнуть проблемы, если учетная запись имени кластера (одна из учетных записей, необходимых кластеру), изменяется после автоматического создания кластера.

Problems if cluster name is changed

Если возникает проблема, показанная на схеме, в Просмотр событий регистрируется определенное событие (1193, 1194, 1206 или 1207). Подробнее об этих событиях см. в разделе https://go.microsoft.com/fwlink/?LinkId=118271.

Обратите внимание, что аналогичная проблема при создании учетной записи для кластеризованной службы или приложения может возникнуть, если достигнута квота на уровне домена для создания объектов компьютера (по умолчанию 10). Если он имеется, возможно, необходимо обратиться к администратору домена о увеличении квоты, хотя это параметр на уровне домена и его следует изменить только после тщательного рассмотрения, и только после подтверждения того, что предыдущая схема не описывает вашу ситуацию. Дополнительные сведения см. в разделе "Устранение неполадок, вызванных изменениями в учетных записях Active Directory, связанных с кластером".

Как описано в предыдущих трех разделах, определенные требования должны быть выполнены, прежде чем кластеризованные службы и приложения могут быть успешно настроены в отказоустойчивом кластере. Наиболее основные требования относятся к расположению узлов кластера (в пределах одного домена) и уровню разрешений учетной записи пользователя, который устанавливает кластер. Если эти требования выполнены, другие учетные записи, необходимые кластеру, могут создаваться автоматически мастерами отказоустойчивого кластера. В следующем списке приведены сведения об этих основных требованиях.

  • Узлы: все узлы должны находиться в одном домене Active Directory. (Домен не может быть основан на Windows NT 4.0, который не включает Active Directory.)

  • Учетная запись пользователя, который устанавливает кластер: пользователь, который устанавливает кластер, должен использовать учетную запись со следующими характеристиками:

    • Учетная запись должна быть учетной записью домена. Это не должна быть учетная запись администратора домена. Это может быть учетная запись пользователя домена, если она соответствует другим требованиям в этом списке.

    • Учетная запись должна иметь административные разрешения на серверах, которые будут становиться узлами кластера. Самый простой способ предоставить это — создать учетную запись пользователя домена, а затем добавить ее в локальную группу Администратор istrators на каждом из серверов, которые станут узлами кластера. Дополнительные сведения см. в разделе "Действия по настройке учетной записи для пользователя, который устанавливает кластер" далее в этом руководстве.

    • Учетная запись (или группа, в которую входит учетная запись) должна быть предоставлена разрешения на создание объектов компьютера и разрешение на чтение всех свойств в контейнере, используемом для учетных записей компьютеров в домене. Дополнительные сведения см. в разделе "Действия по настройке учетной записи для пользователя, который устанавливает кластер" далее в этом руководстве.

    • Если ваша организация выбирает предварительную версию учетной записи имени кластера (учетная запись компьютера с тем же именем, что и кластер), то предустановленная учетная запись имени кластера должна предоставить разрешение "Полный контроль" учетной записи пользователя, который устанавливает кластер. Дополнительные сведения о подготовке учетной записи имени кластера см . в разделе "Действия по подготовке учетной записи имени кластера" далее в этом руководстве.

Планирование сброса паролей и другого обслуживания учетной записи

Иногда администраторам отказоустойчивых кластеров может потребоваться сбросить пароль учетной записи имени кластера. Для этого действия требуется определенное разрешение, разрешение сброса пароля . Поэтому рекомендуется изменить разрешения учетной записи имени кластера (с помощью оснастки Пользователи и компьютеры Active Directory), чтобы предоставить администраторам кластера разрешение сброса пароля для учетной записи имени кластера. Дополнительные сведения см. в разделе "Устранение неполадок с паролем с учетной записью имени кластера".

Действия по настройке учетной записи для пользователя, который устанавливает кластер.

Учетная запись пользователя, устанавливающего кластер, важна, так как она предоставляет основу, из которой создается учетная запись компьютера для самого кластера.

Минимальное членство в группе, необходимое для выполнения следующей процедуры, зависит от того, создаете ли учетную запись домена и назначаете ей необходимые разрешения в домене или помещаете учетную запись (созданную другим пользователем) в локальную группу Администратор istrators на серверах, которые будут узлами в отказоустойчивом кластере. Если прежнее, членство в операторах учетных записей или эквиваленте является минимальным обязательным для выполнения этой процедуры. Если последний, членство в локальной группе Администратор istrators на серверах, которые будут узлами в отказоустойчивом кластере или эквивалентны, являются обязательными. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах https://go.microsoft.com/fwlink/?LinkId=83477.

Настройка учетной записи для пользователя, который устанавливает кластер

  1. Создайте или получите учетную запись домена для пользователя, который устанавливает кластер. Эта учетная запись может быть учетной записью пользователя домена или учетной записью операторов учетных записей . Если вы используете стандартную учетную запись пользователя, вам придется предоставить ему дополнительные разрешения далее в этой процедуре.

  2. Если учетная запись, созданная или полученная на шаге 1, не включается в локальную группу Администратор istrators на компьютерах в домене, добавьте учетную запись в локальную группу Администратор istrators на серверах, которые будут узлами в отказоустойчивом кластере:

    1. Щелкните Пуск, затем Администрированиеи Диспетчер серверов.

    2. В дереве консоли разверните узел "Конфигурация", разверните узел "Локальные пользователи и группы", а затем разверните "Группы".

    3. В центральной области щелкните правой кнопкой мыши Администратор istrator, нажмите кнопку "Добавить в группу" и нажмите кнопку "Добавить".

    4. В разделе "Введите имена объектов для выбора", введите имя созданной или полученной учетной записи пользователя на шаге 1. При появлении запроса введите имя учетной записи и пароль с достаточными разрешениями для этого действия. Затем нажмите кнопку ОК.

    5. Повторите эти действия на каждом сервере, который будет узлом в отказоустойчивом кластере.

    Внимание

    Эти действия должны повторяться на всех серверах, которые будут узлами в кластере.

  3. Если учетная запись, созданная или полученная на шаге 1, является учетной записью администратора домена, пропустите оставшуюся часть этой процедуры. В противном случае предоставьте учетной записи разрешения "Создать объекты компьютера" и "Чтение всех свойств " в контейнере, который используется для учетных записей компьютеров в домене:

    1. На контроллере домена нажмите кнопку "Пуск", щелкните Администратор istrative Tools и щелкните Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    2. В меню "Вид" убедитесь, что выбраны дополнительные функции.

      При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

    3. Щелкните правой кнопкой мыши контейнер компьютеров по умолчанию или контейнер по умолчанию, в котором создаются учетные записи компьютеров в домене, а затем щелкните "Свойства". Компьютеры находятся в Пользователи и компьютеры Active Directory/domain-node/Computers.

    4. На вкладке Безопасность нажмите кнопку Дополнительно.

    5. Нажмите кнопку "Добавить", введите имя созданной или полученной на шаге 1 учетной записи и нажмите кнопку "ОК".

    6. В диалоговом окне "Запись разрешений дляконтейнера" найдите объекты "Создать компьютер" и разрешения "Чтение всех свойств" и убедитесь, что для каждого из них выбрано поле "Разрешить проверка".

      Screenshot that shows Create Computer objects option set to Allow.

Действия по подготовке учетной записи имени кластера

Обычно это проще, если вы не предустановите учетную запись имени кластера, а позволяет создать и настроить учетную запись автоматически при запуске мастера создания кластера. Однако если необходимо предварительно настроить учетную запись имени кластера из-за требований в организации, используйте следующую процедуру.

Необходимым минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или эквивалентной. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах https://go.microsoft.com/fwlink/?LinkId=83477. Обратите внимание, что для этой процедуры можно использовать ту же учетную запись, что и при создании кластера.

Подготовка учетной записи имени кластера

  1. Убедитесь, что вы знаете имя, которое будет иметь кластер, и имя учетной записи пользователя, которая будет использоваться пользователем, создающим кластер. (Обратите внимание, что эту учетную запись можно использовать для выполнения этой процедуры.)

  2. На контроллере домена нажмите кнопку "Пуск", щелкните Администратор istrative Tools и щелкните Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши компьютеры или контейнер по умолчанию, в котором учетные записи компьютеров создаются в вашем домене. Компьютеры находятся в Пользователи и компьютеры Active Directory/domain-node/Computers.

  4. Нажмите кнопку "Создать" , а затем щелкните "Компьютер".

  5. Введите имя, которое будет использоваться для отказоустойчивого кластера, иными словами, имя кластера, которое будет указано в мастере создания кластера, а затем нажмите кнопку "ОК".

  6. Щелкните правой кнопкой мыши только что созданную учетную запись и нажмите кнопку "Отключить учетную запись". Если появится запрос на подтверждение выбора, нажмите кнопку "Да".

    Учетная запись должна быть отключена, чтобы при запуске мастера создания кластера она может подтвердить, что учетная запись, используемая для кластера, в настоящее время не используется существующим компьютером или кластером в домене.

  7. В меню "Вид" убедитесь, что выбраны дополнительные функции.

    При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

  8. Щелкните правой кнопкой мыши папку, которую вы щелкнули правой кнопкой мыши на шаге 3, и выберите пункт "Свойства".

  9. На вкладке Безопасность нажмите кнопку Дополнительно.

  10. Нажмите кнопку "Добавить", щелкните "Типы объектов" и убедитесь, что выбраны компьютеры, а затем нажмите кнопку "ОК". Затем в разделе "Введите имя объекта для выбора", введите имя только что созданной учетной записи компьютера и нажмите кнопку "ОК". Если появится сообщение, сказав, что вы хотите добавить отключенный объект, нажмите кнопку ОК.

  11. В диалоговом окне "Запись разрешений" найдите объекты "Создать компьютер" и разрешения "Чтение всех свойств" и убедитесь, что для каждого из них выбрано поле "Разрешить проверка".

    Permission Entry dialog box

  12. Нажмите кнопку "ОК", пока не вернелись к оснастке Пользователи и компьютеры Active Directory.

  13. Если для создания кластера используется та же учетная запись, что и для создания кластера, пропустите оставшиеся шаги. В противном случае необходимо настроить разрешения, чтобы учетная запись пользователя, которая будет использоваться для создания кластера, имеет полный контроль над только что созданной учетной записью компьютера:

    1. В меню "Вид" убедитесь, что выбраны дополнительные функции.

    2. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт "Свойства".

    3. На вкладке Безопасность нажмите Добавить. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    4. Используйте диалоговое окно выбора пользователей, компьютеров или групп , чтобы указать учетную запись пользователя, которая будет использоваться при создании кластера. Затем нажмите кнопку ОК.

    5. Убедитесь, что выбрана только что добавленная учетная запись пользователя, а затем рядом с полем "Разрешить проверка".

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

Шаги по подготовке учетной записи для кластеризованной службы или приложения

Обычно это проще, если не предустановить учетную запись компьютера для кластеризованной службы или приложения, но вместо этого позволить учетной записи создаваться и настраиваться автоматически при запуске мастера высокой доступности. Тем не менее, если необходимо предустановить учетные записи из-за требований в организации, используйте следующую процедуру.

Членство в группе операторов учетных записей или эквивалентном является минимальным обязательным для выполнения этой процедуры. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах https://go.microsoft.com/fwlink/?LinkId=83477.

Подготовка учетной записи для кластеризованной службы или приложения

  1. Убедитесь, что вы знаете имя кластера и имя, которое будет иметь кластеризованная служба или приложение.

  2. На контроллере домена нажмите кнопку "Пуск", щелкните Администратор istrative Tools и щелкните Пользователи и компьютеры Active Directory. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши компьютеры или контейнер по умолчанию, в котором учетные записи компьютеров создаются в вашем домене. Компьютеры находятся в Пользователи и компьютеры Active Directory/domain-node/Computers.

  4. Нажмите кнопку "Создать" , а затем щелкните "Компьютер".

  5. Введите имя, которое будет использоваться для кластеризованной службы или приложения, и нажмите кнопку "ОК".

  6. В меню "Вид" убедитесь, что выбраны дополнительные функции.

    При выборе дополнительных функций вкладка "Безопасность" отображается в свойствах учетных записей (объектов) в Пользователи и компьютеры Active Directory.

  7. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт "Свойства".

  8. На вкладке Безопасность нажмите Добавить.

  9. Щелкните "Типы объектов" и убедитесь, что выбраны компьютеры , а затем нажмите кнопку "ОК". Затем в разделе "Введите имя объекта для выбора", введите учетную запись имени кластера и нажмите кнопку "ОК". Если появится сообщение, сказав, что вы хотите добавить отключенный объект, нажмите кнопку ОК.

  10. Убедитесь, что выбрана учетная запись имени кластера, а затем рядом с полным элементом управления выберите поле "Разрешить проверка".

    Security tab

Дополнительные сведения см. в разделе "Устранение неполадок с учетными записями, используемыми отказоустойчивыми кластерами".