Подготовка кластерных объектов-компьютеров в доменных службах Active Directory

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, версии 21H2 и 20H2

В этом разделе показан порядок подготовки кластерных объектов-компьютеров в доменных службах Active Directory (AD DS). Эту процедуру можно использовать, чтобы дать возможность пользователю или группе создавать отказоустойчивые кластеры, если у них нет разрешений на создание объектов-компьютеров в AD DS.

Когда вы создаете отказоустойчивый кластер с помощью мастера создания кластеров или Windows PowerShell, необходимо указать имя кластера. Если при создании кластера у вас достаточно разрешений, процесс создания кластера автоматически создает объект-компьютер в AD DS с соответствующим именем кластера. Этот объект называется объектом имени кластера или CNO. Посредством CNO при настройке кластерных ролей, использующих точки доступа клиентов, автоматически создаются виртуальные объекты-компьютеры (VCO). Например, если вы создали файловый сервер высокой надежности с точкой доступа клиента с именем FileServer1, CNO создаст соответствующий VCO в AD DS.

Примечание.

Существует возможность создать отсоединяемый от Active Directory кластер, где в AD DS не создаются CNO или VCOS. Эта возможность предназначена для определенных типов развертывания кластера. Дополнительные сведения см. в разделе Deploy an Active Directory-Detached Cluster.

Для автоматического создания CNO у пользователя, создающего отказоустойчивый кластер, должно быть разрешение на создание объектов-компьютеров для подразделения или контейнера, в которых размещаются серверы, которые войдут в кластер. Чтобы позволить пользователям и группам, не имеющим разрешения, создавать кластеры, пользователь с соответствующими разрешениями в AD DS (обычно администратор домена) может подготовить CNO в AD DS. Это также обеспечивает администратору домена больший контроль над именами, используемыми для кластера, и над тем, в каких подразделениях можно создавать кластерные объекты.

Шаг 1. Подготовка CNO в AD DS

Перед началом работы убедитесь, что знаете следующее:

  • Имя, которое нужно назначить кластеру
  • Имя учетной записи пользователя или группы, которой требуется предоставить права на создание кластера.

Мы рекомендуем создать подразделение для кластерных объектов. Если подразделение, которое вы хотите использовать, уже существует, для завершения этого шага требуется членство в группе Операторы учета . Если подразделение для кластерных объектов необходимо создать, для завершения этого шага требуется членство в группе Администраторы домена или аналогичной группе.

Примечание.

Если вы создали CNO в контейнере компьютеров по умолчанию, а не в подразделении, вам не нужно выполнять шаг 3 этого раздела. В этом сценарии администратор кластера может создать до 10 VCO без какой-либо дополнительной настройки.

Подготовка CNO в AD DS

  1. На компьютере с установленными средствами AD DS из средств удаленного администрирования сервера или на контроллере домена откройте Пользователи и компьютеры Active Directory. Чтобы сделать это на сервере, запустите диспетчер сервера, а затем в меню "Сервис" выберите Пользователи и компьютеры Active Directory.

  2. Чтобы создать подразделение для объектов компьютера кластера, щелкните правой кнопкой мыши доменное имя или существующее подразделение, наведите указатель мыши на новое и выберите подразделение. В поле "Имя" введите имя подразделения и нажмите кнопку "ОК".

  3. В дереве консоли щелкните правой кнопкой мыши подразделение, в котором нужно создать CNO, наведите указатель мыши на "Создать" и выберите "Компьютер".

  4. В поле "Имя компьютера" введите имя, которое будет использоваться для отказоустойчивого кластера, а затем нажмите кнопку "ОК".

    Примечание.

    Это имя кластера, которое пользователь, создающий кластер, укажет в мастере создания кластеров на странице Точка доступа для администрирования кластера или укажет как значение параметра –Name для командлета New-Cluster Windows PowerShell.

  5. В качестве рекомендации щелкните правой кнопкой мыши созданную учетную запись компьютера, выберите "Свойства" и выберите вкладку "Объект". На вкладке "Объект" установите флажок "Защитить объект от случайного удаления" проверка и нажмите кнопку "ОК".

  6. Щелкните правой кнопкой мыши созданную учетную запись компьютера и выберите команду "Отключить учетную запись". Нажмите кнопку "Да" , чтобы подтвердить, и нажмите кнопку "ОК".

    Примечание.

    Учетную запись необходимо отключить, чтобы во время создания кластера соответствующий процесс подтвердил, что учетная запись не используется в данный момент существующим компьютером или кластером в домене.

Disabled CNO in the example Clusters OU

Рисунок 1. Отключенный CNO в примере подразделения кластеров

Шаг 2. Предоставление пользователю разрешений на создание кластера

Необходимо настроить разрешения, чтобы учетная запись пользователя, которая будет использоваться для создания отказоустойчивого кластера, имела полный доступ к CNO.

Минимальное требование для выполнения этого шага — членство в группе Операторы учета .

Вот как предоставить пользователю разрешения на создание кластера:

  1. На странице "Пользователи и компьютеры Active Directory" в меню Вид убедитесь, что выбран пункт Дополнительные параметры .

  2. Найдите и щелкните правой кнопкой мыши CNO, а затем выберите "Свойства".

  3. На вкладке Безопасность щелкните Добавить.

  4. В диалоговом окне выбора пользователей, компьютеров или групп укажите учетную запись пользователя или группу, которой требуется предоставить разрешения, а затем нажмите кнопку "ОК".

  5. Выберите добавленную учетную запись пользователя или группу и около пункта Полный доступустановите флажок Разрешить .

    Granting Full Control to the user or group that will create the cluster

    Рисунок 2. Предоставление полного доступа пользователю или группе, которые будут создавать кластер

  6. Нажмите ОК.

После завершения этого шага пользователь, которому вы предоставили разрешение, сможет создать отказоустойчивый кластер. Однако если CNO расположен в подразделении, до завершения вами шага 3 пользователь не сможет создавать кластерные роли, которые требуют точку доступа клиента.

Примечание.

Если CNO находится в контейнере компьютеров по умолчанию, администратор кластера может создать до 10 VCO без какой-либо дополнительной настройки. Чтобы добавить более 10 VCO, необходимо явно предоставить разрешение на создание объектов-компьютеров объекту имени кластера для контейнера компьютеров.

Шаг 3. Предоставление разрешений CNO подразделению или подготовка VCO для кластерных ролей

Когда вы создаете кластерную роль с точкой доступа клиента, кластер создает VCO в том же подразделении, что и CNO. Чтобы это происходило автоматически, CNO должен иметь разрешения на создание объектов-компьютеров в подразделении.

Если вы подготовили CNO в AD DS, для создания VCO можно сделать следующее.

  • Вариант 1: Grant the CNO permissions to the OU. Если вы воспользуетесь этим вариантом, кластер сможет автоматически создавать VCO в AD DS. Таким образом, администратор отказоустойчивого кластера сможет создавать кластерные роли, не отправляя вам запрос на подготовку VCO в AD DS.

Примечание.

Необходимым минимумом для выполнения шагов этого варианта является членство в группе Администраторы домена или эквивалентной группе.

  • Вариант 2. Подготовка виртуальной машины для кластеризованной роли. Используйте этот вариант, если есть необходимость в подготовке учетных записей для кластерных ролей из-за требований в вашей организации. Например, если вы хотите контролировать использование имен или создание кластерных ролей.

Примечание.

Необходимым минимумом для выполнения шагов этого варианта является членство в группе Операторы учета .

Предоставление разрешений CNO подразделению

  1. На странице "Пользователи и компьютеры Active Directory" в меню Вид убедитесь, что выбран пункт Дополнительные параметры .

  2. Щелкните правой кнопкой мыши подразделение, в котором вы создали CNO на шаге 1. Подготовка CNO в AD DS и выберите пункт "Свойства".

  3. На вкладке Безопасность нажмите кнопку Дополнительно.

  4. В диалоговом окне "Расширенная безопасность" Параметры нажмите кнопку "Добавить".

  5. Рядом с субъектом выберите пункт "Выбрать субъект".

  6. В диалоговом окне "Выбор пользователя, компьютера, учетной записи службы" или "Группы" выберите "Типы объектов", "Компьютеры" проверка и нажмите кнопку "ОК".

  7. В разделе "Введите имена объектов" для выбора, введите имя CNO, выберите "Проверить имена" и нажмите кнопку "ОК". В ответ на предупреждение, которое говорит, что вы хотите добавить отключенный объект, нажмите кнопку "ОК".

  8. В диалоговом окне Запись разрешения убедитесь, что для списка Тип установлено значение Разрешить, а для списка Применяется к — значение Этот объект и все дочерние объекты.

  9. В разделе Разрешенияустановите флажок Создание объектов-компьютеров .

    Granting the Create Computer objects permission to the CNO

    Рисунок 3. Предоставление CNO разрешения на создание объектов-компьютеров

  10. Нажмите кнопку "ОК", пока не вернеесь к оснастке Пользователи и компьютеры Active Directory.

Теперь администратор отказоустойчивого кластера может создать кластерные роли с точкой доступа клиента и подключить ресурсы.

Подготовка виртуальной машины для кластеризованной роли

  1. Прежде чем начать подготовку, убедитесь, что знаете имя кластера и имя, которое будет иметь кластерная роль.
  2. На странице "Пользователи и компьютеры Active Directory" в меню Вид убедитесь, что выбран пункт Дополнительные параметры .
  3. В Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши подразделение, в котором находится CNO для кластера, наведите указатель на "Создать" и выберите "Компьютер".
  4. В поле "Имя компьютера" введите имя, которое будет использоваться для кластеризованной роли, а затем нажмите кнопку "ОК".
  5. В качестве рекомендации щелкните правой кнопкой мыши созданную учетную запись компьютера, выберите "Свойства" и выберите вкладку "Объект". На вкладке "Объект" установите флажок "Защитить объект от случайного удаления" проверка и нажмите кнопку "ОК".
  6. Щелкните правой кнопкой мыши созданную учетную запись компьютера и выберите пункт "Свойства".
  7. На вкладке Безопасность щелкните Добавить.
  8. В диалоговом окне "Выбор пользователя, компьютера, учетной записи службы" или "Группы" выберите "Типы объектов", "Компьютеры" проверка и нажмите кнопку "ОК".
  9. В разделе "Введите имена объектов" для выбора, введите имя CNO, выберите "Проверить имена" и нажмите кнопку "ОК". Если появится предупреждение о том, что вы хотите добавить отключенный объект, нажмите кнопку "ОК".
  10. Убедитесь, что CNO выделен, после чего рядом с полем Полный доступустановите флажок Разрешить .
  11. Нажмите ОК.

Теперь администратор отказоустойчивого кластера может создать кластерную роль с точкой доступа клиента, которая соответствует подготовленному имени VCO, и подключить ресурсы.

Дополнительные сведения