在 Active Directory 中設定叢集帳戶
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Azure Stack HCI、版本 21H2 和 20H2
在 Windows Server 中,當您建立容錯移轉叢集並設定叢集服務或應用程式時,容錯移轉叢集精靈會建立必要的 Active Directory 電腦帳戶 (也稱為電腦物件),並授與它們特定權限。 精靈會為叢集本身建立電腦帳戶 (此帳戶也稱為叢集名稱物件或 CNO),也會為大部分叢集服務和應用程式類型建立電腦帳戶,但 Hyper-V 虛擬機器除外。 容錯移轉叢集精靈會自動設定這些帳戶的權限。 如果變更權限,它們必須變更回來,以符合叢集需求。 本指南說明這些 Active Directory 帳戶和權限、提供其為何重要的背景資訊,並說明設定和管理帳戶的步驟。
容錯移轉叢集所需的 Active Directory 帳戶概觀
本節說明對於容錯移轉叢集相當重要的 Active Directory 電腦帳戶 (也稱為 Active Directory 電腦物件)。 這些帳戶如下所示:
用來建立叢集的使用者帳戶。 這是用來啟動建立叢集精靈的使用者帳戶。 帳戶是建立叢集本身的電腦帳戶的基礎,因此相當重要。
叢集名稱帳戶。 (叢集本身的電腦帳戶,也稱為叢集名稱物件或 CNO)。 此帳戶是由建立叢集精靈自動建立,與叢集有相同的名稱。 在叢集上設定新的服務和應用程式時,便會透過此叢集名稱帳戶自動建立其他帳戶,因此此帳戶相當重要。 如果刪除叢集名稱帳戶或從中取消權限,則在還原叢集名稱帳戶或恢復正確的權限前,叢集都無法視需要建立其他帳戶。
例如,如果您建立名為 Cluster1 的叢集,然後嘗試在叢集上設定名為 PrintServer1 的叢集列印伺服器,Active Directory 中的 Cluster1 帳戶必須保留正確的權限,以便用來建立名為 PrintServer1 的電腦帳戶。
叢集名稱帳戶是在 Active Directory 中電腦帳戶的預設容器中建立。 這是預設的「電腦」容器,但網域系統管理員可以選擇將其重新導向至另一個容器或組織單位 (OU)。
叢集服務或應用程式的電腦帳戶 (電腦物件)。 這些帳戶是由高可用性精靈自動建立,而這是建立大部分叢集服務或應用程式類型的程序的一部分,但 Hyper-V 虛擬機器除外。 叢集名稱帳戶已獲得控制這些帳戶的必要權限。
例如,如果您有名為 Cluster1 的叢集,然後建立名為 FileServer1 的叢集檔伺服器,則高可用性精靈會建立名為 FileServer1 的 Active Directory 電腦帳戶。 高可用性精靈也會向 Cluster1 帳戶提供控制 FileServer1 帳戶的必要權限。
下表說明這些帳戶所需的權限。
客戶 | 權限的詳細資料 |
---|---|
用來建立叢集的帳戶 |
需要將成為叢集節點之伺服器上的系統管理權限。 還需要容器 (用於網域中的電腦帳戶) 中的建立電腦物件和讀取所有屬性權限。 |
叢集名稱帳戶 (叢集本身的電腦帳戶) |
執行 [建立叢集精靈] 時,它會在預設容器 (用於網域中的電腦帳戶) 中建立叢集名稱帳戶。 叢集名稱帳戶 (如同其他電腦帳戶) 預設為最多可在網域中建立十個電腦帳戶。 如果您在建立叢集之前建立叢集名稱帳戶 (叢集名稱物件),也就是預先設置帳戶,您必須向該帳戶授與在容器 (用於網域中的電腦帳戶) 中的建立電腦物件和讀取所有屬性權限。 您也必須停用帳戶,並將其完整控制權授與將由安裝叢集的系統管理員使用的帳戶。 如需詳細資訊,請參閱本指南稍後所述的預先設置叢集名稱帳戶的步驟。 |
叢集服務或應用程式的電腦帳戶 |
執行高可用性精靈 (以建立新的叢集服務或應用程式) 時,在大部分情況下,叢集服務或應用程式的電腦帳戶是在 Active Directory 中建立。 叢集名稱帳戶已獲得控制此帳戶的必要權限。 例外狀況是叢集 Hyper-V 虛擬機器:不會為此建立任何電腦帳戶。 如果您預先設置叢集服務或應用程式的電腦帳戶,則必須使用必要的權限進行設定。 如需詳細資訊,請參閱本指南稍後所述的為叢集服務或應用程式預先設置帳戶的步驟。 |
注意
在舊版 Windows Server 中會有叢集服務的帳戶。 不過自 Windows Server 2008 起,叢集服務會自動在特殊的內容中執行,提供服務所需的特定權限和特殊權限 (與本機系統內容相似,但特殊權限縮小)。 然而,如本指南所述,需要其他帳戶。
如何透過容錯移轉叢集中的精靈建立帳戶
下圖說明如何使用和建立在上一個小節中所述的電腦帳戶 (Active Directory 物件)。 系統管理員執行 [建立叢集精靈],然後執行 [高可用性精靈] 時,這些帳戶就會生效 (以設定叢集服務或應用程式)。
請注意,上圖顯示執行 [建立叢集精靈] 和 [高可用性精靈] 的單一系統管理員。 Ho不過,如果兩個帳戶具有足夠的權限,則這可以是使用兩個不同使用者帳戶的兩個不同系統管理員。 本指南稍後會在容錯移轉叢集、Active Directory 網域和帳戶的相關需求中更詳細說明權限。
如果變更叢集所需的帳戶,問題如何產生
下圖說明如果叢集名稱帳戶 (叢集所需的其中一個帳戶) 在建立叢集精靈自動建立叢集名稱帳戶之後,問題如何產生。
如果圖表中顯示的問題類型發生,則會在事件檢視器中記錄特定事件 (1193、1194、1206 或 1207)。 如需這些事件的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=118271。
請注意,如果已達到建立電腦物件的全網域配額,則會發生叢集服務或應用程式建立帳戶的類似問題。 如果發生問題,雖然這是全網域設定,但向網域系統管理員洽詢配額增加可能會是合適的做法,而且只有在仔細考量並確認上圖未描述您的情況之後,才應變更。 如需詳細資訊,請參閱對叢集相關 Active Directory 帳戶導致的問題進行疑難排解。
與容錯移轉叢集、Active Directory 網域和帳戶相關的需求
如前三節所述,必須先符合特定需求,才能在容錯移轉叢集上成功設定叢集服務和應用程式。 最基本的需求涉及叢集節點的位置 (在單一網域內),以及安裝叢集之人員的帳戶權限層級。 如果符合這些需求,容錯移轉叢集精靈可以自動建立叢集所需的其他帳戶。 下列清單提供這些基本需求的詳細資料。
注意:所有節點都必須位於相同的 Active Directory 網域。 (網域不能以不包含 Active Directory 的 Windows NT 4.0 為基礎。)
安裝叢集的人員的帳戶:安裝叢集的人員必須使用具有下列特性的帳戶:
這個帳戶必須是網域帳戶。 它不一定要是網域系統管理員帳戶。 如果它符合此清單中的其他需求,則可以是網域使用者帳戶。
帳戶必須具有將成為叢集節點之伺服器的系統管理權限。 提供此權限最簡單的方法是建立網域使用者帳戶,然後將該帳戶新增至將成為叢集節點的每部伺服器上的本機系統管理員群組。 For如需詳細資訊,請參閱本指南稍後所述的為叢集安裝人員設定帳戶的步驟。
帳戶 (或帳戶為其成員的群組) 必須具備在容器 (用於網域中的電腦帳戶) 中建立電腦物件和讀取全部屬性的權限。 For如需詳細資訊,請參閱本指南稍後所述的為叢集安裝人員設定帳戶的步驟。
如果您的組織選擇預先設置叢集名稱帳戶 (與叢集同名的電腦帳戶),預先設置的叢集名稱帳戶必須授與「完全控制」權限給安裝叢集的人員帳戶。 如需如何預先設置叢集名稱帳戶的其他重要詳細資料,請參閱本指南稍後所述的預先設置叢集名稱帳戶的步驟。
事先規劃密碼重設和其他帳戶維護
容錯移轉叢集的系統管理員有時可能需要重設叢集名稱帳戶的密碼。 此動作需要特定權限,即重設密碼權限。 因此,最好是編輯叢集名稱帳戶的權限 (使用 Active Directory 使用者和電腦嵌入式管理單元),為叢集的系統管理員提供叢集名稱帳戶的重設密碼權限。 如需詳細資訊,請參閱對叢集名稱帳戶的密碼問題進行疑難排解。
為叢集安裝人員設定帳戶的步驟
叢集安裝人員的帳戶為建立叢集本身的電腦帳戶的基礎,因此該帳戶相當重要。
完成下列程序所需的最低群組成員資格取決於您是否正在建立網域帳戶,並指派網域中必要的權限給該帳戶,或您是否只是將帳戶 (由其他人建立) 放入將成為容錯移轉叢集中節點之伺服器的 Administrators 群組。 如果是前者,您至少必須有 Administrators 群組的成員資格或同等權限,才能完成此程序。 如果是後者,您必須有將成為容錯移轉叢集中節點之伺服器的本機 Administrators 群組成員資格或同等權限。 前往 https://go.microsoft.com/fwlink/?LinkId=83477,檢閱使用合適帳戶和群組成員資格的詳細資料。
設定叢集安裝人員的帳戶
建立或取得叢集安裝人員的網域帳戶。 此帳戶可以是網域使用者帳戶或 Account Operators 帳戶。 如果您使用標準用戶帳戶,則必須在此程序中稍後提供一些額外的權限。
如果在步驟 1 中建立或取得的帳戶未自動包含在網域中電腦的本機 Administrators 群組,請將帳戶新增至將成為容錯移轉叢集中節點之伺服器上的本機 Administrators 群組:
依序按一下 [開始] 、[系統管理工具] ,然後按一下 [伺服器管理員] 。
在主控台樹狀結構中,展開 [設定]、展開 [本機使用者和群組],然後展開 [群組]。
在中央窗格中,以滑鼠右鍵按一下 [系統管理員]、按一下 [新增至群組],然後按一下 [新增]。
在 [輸入要選取的物件名稱] 下方,請輸入在步驟 1 中建立或取得的使用者帳戶名稱。 如果出現提示,請輸入具有此動作足夠權限的帳戶名稱和密碼。 然後按一下 [確定]。
對將成為容錯移轉叢集中節點的每部伺服器重複這些步驟。
重要
必須在將成為叢集中節點的所有伺服器上重複執行這些步驟。
如果在步驟 1 中建立或取得的帳戶是網域系統管理員帳戶,請略過此程序的其餘部分。 否則請向帳戶提供容器 (用於網域內的電腦帳戶) 中的建立電腦物件和讀取所有屬性權限:
在網域主控站上,按一下 [開始] 、按一下 [系統管理工具] ,然後按一下 [Active Directory 使用者和電腦] 。 如果出現 [ 使用者帳戶控制 ] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [ 繼續]。
在 [檢視]功能表上,請確定已選取 [進階功能]。
已選取 [進階功能]時,您可以看見在 [Active Directory 使用者和電腦] 中帳戶 (物件) 屬性中的 [安全性] 索引標籤。
以滑鼠右鍵按一下 [電腦] 容器,或在您網域中建立電腦帳戶的預設容器,然後按一下 [內容]。 [電腦] 位於 Active Directory Users and Computers/domain-node/Computers。
在 [安全性] 索引標籤上,按一下 [進階] 。
按一下 [新增]、輸入在步驟 1 中建立或取得的帳戶名稱,然後按一下 [確定]。
在 [容器的許可權專案] 對話框中,找出 [建立計算機物件] 和 [讀取所有屬性] 許可權,並確定已為每個物件選取 [允許] 複選框。
預先設置叢集名稱帳戶的步驟
如果您未預先設置叢集名稱帳戶,而是在執行建立叢集精靈時允許自動建立和設定帳戶,這通常會比較簡單。 不過,如果因為您組織的需求而必須預先設置叢集名稱帳戶,請依照下列程序進行。
若要完成此程序,至少需要 Domain Admins 群組的成員資格或同等權限。 前往 https://go.microsoft.com/fwlink/?LinkId=83477,檢閱使用合適帳戶和群組成員資格的詳細資料。 請注意,您可以將相同的帳戶用於此程序,就像建立叢集時所使用的帳戶一樣。
預先設置叢集名稱帳戶
請確定您知道叢集將擁有的名稱,以及叢集建立人員將使用的使用者帳戶名稱。 (請注意,您可以使用該帳戶來執行此程序。)
在網域主控站上,按一下 [開始] 、按一下 [系統管理工具] ,然後按一下 [Active Directory 使用者和電腦] 。 如果出現 [ 使用者帳戶控制 ] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [ 繼續]。
在主控台樹狀結構中,以滑鼠右鍵按一下 [電腦] 或在您的網域中建立電腦帳戶的預設容器。 [電腦] 位於 Active Directory Users and Computers/domain-node/Computers。
按一下 [新增],然後按一下 [電腦]。
輸入將用於容錯移轉叢集的名稱,也就是在 [建立叢集精靈] 中指定的叢集名稱,然後按一下 [確定]。
以滑鼠右鍵按一下剛才建立的帳戶,然後按一下 [停用帳戶] 。 如果系統提示您確認選擇,請按一下 [是]。
必須停用該帳戶,以便在執行 [建立叢集] 精靈時,可以確認其將用於叢集的帳戶並未由網域中現有的電腦或叢集使用。
在 [檢視]功能表上,請確定已選取 [進階功能]。
已選取 [進階功能]時,您可以看見在 [Active Directory 使用者和電腦] 中帳戶 (物件) 屬性中的 [安全性] 索引標籤。
以滑鼠右鍵按一下您在步驟 3 中以滑鼠右鍵按一下的資料夾,然後按一下 [內容]。
在 [安全性] 索引標籤上,按一下 [進階] 。
按一下 [新增]、按一下 [物件類型],然後請確定已選取 [電腦],再按一下 [確定]。 然後在 [輸入物件名稱來選取] 下方,輸入您剛建立的電腦帳戶名稱,然後按一下 [確定]。 如果出現訊息,表示您將要新增停用的物件,請按一下 [確定]。
在 [權限項目] 對話方塊中,找出 [建立電腦物件] 和 [讀取所有屬性] 權限,然後確定這兩個都已選取 [允許] 核取方塊。
按一下 [確定],直到返回 [Active Directory 使用者和電腦] 嵌入式管理單元為止。
如果您用來執行此程序與建立叢集的帳戶都是同一個,請略過其餘步驟。 否則,您必須設定權限,以便用來建立叢集的使用者帳戶可以完整控制剛建立的電腦帳戶:
在 [檢視]功能表上,請確定已選取 [進階功能]。
以滑鼠右鍵按一下剛才建立的電腦帳戶,然後按一下 [內容] 。
在 [安全性] 索引標籤上,按一下 [新增] 。 如果出現 [ 使用者帳戶控制 ] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [ 繼續]。
使用 [選取使用者、電腦或群組] 對話方塊來指定在建立叢集時將使用的使用者帳戶。 然後按一下 [確定]。
請確定已選取您剛才新增的使用者帳戶或群組,然後選取 [完全控制] 旁邊的 [允許] 核取方塊。
預先設置叢集服務或應用程式帳戶的步驟
如果您未預先設置叢集服務或應用程式的電腦帳戶,而是在執行高可用性精靈時,允許自動建立及設定帳戶,此做法通常比較簡單。 不過,如果因為您組織的需求而必須預先設置帳戶,請依照下列程序進行。
您至少必須有 Account Operators 群組的成員資格或同等權限,才能完成此程序。 前往 https://go.microsoft.com/fwlink/?LinkId=83477,檢閱使用合適帳戶和群組成員資格的詳細資料。
預先設置叢集服務或應用程式的帳戶
請先確定您知道叢集的名稱以及叢集服務或應用程式將擁有的名稱。
在網域主控站上,按一下 [開始] 、按一下 [系統管理工具] ,然後按一下 [Active Directory 使用者和電腦] 。 如果出現 [ 使用者帳戶控制 ] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [ 繼續]。
在主控台樹狀結構中,以滑鼠右鍵按一下 [電腦] 或在您的網域中建立電腦帳戶的預設容器。 [電腦] 位於 Active Directory Users and Computers/domain-node/Computers。
按一下 [新增],然後按一下 [電腦]。
輸入您將用於叢集服務或應用程式的名稱,然後按一下 [確定]。
在 [檢視]功能表上,請確定已選取 [進階功能]。
已選取 [進階功能]時,您可以看見在 [Active Directory 使用者和電腦] 中帳戶 (物件) 屬性中的 [安全性] 索引標籤。
以滑鼠右鍵按一下剛才建立的電腦帳戶,然後按一下 [內容] 。
在 [安全性] 索引標籤上,按一下 [新增] 。
按一下 [物件類型],然後請確定已選取 [電腦],再按一下 [確定]。 然後在 [輸入物件名稱來選取] 下方,輸入叢集名稱帳戶,然後按一下 [確定]。 如果出現訊息,表示您將要新增停用的物件,請按一下 [確定]。
確定已選取叢集名稱帳戶,然後選取 [完全控制] 旁邊的 [允許] 核取方塊。
叢集所使用的帳戶相關問題疑難排解步驟
如需詳細資訊,請參閱容錯移轉叢集所使用的帳戶問題疑難排解。