服务器
当前位置:网络首页 >> 理论 >> 当群集服务帐户修改计算机对象时如何解决其故障
当群集服务帐户修改计算机对象时如何解决其故障
2009-07-27 21:30:34  作者:服务器  来源:服务器  浏览次数:0  文字大小:【】【】【
  •    用于创建计算机对象的 Active Directory 访问权限 默认情况下,授予“域用户”组的成员向域中添加工作站的用户权限。同时,默认情况下,此 ...


用于创建计算机对象的 Active Directory 访问权限

默认情况下,授予“域用户”组的成员向域中添加工作站的用户权限
  • 从“管理工具”中启动“域控制器安全策略”程序
    服务器
  • 单击 安全 选项卡,然后单击 添加
    网络
  • 单击以展开 本地策略 ,然后单击以展开“用户权利指派”
  • 双击“域中添加工作站”,并注意列出的帐户
  • 右键单击该计算机对象,然后单击 属性
  • 在 查看 菜单上,单击 高级功能
    服务器
  • 如果将群集服务帐户明确添加到此用户权限,请在域控制器上运行 gpupdate (或者,对于 Windows 2000 运行 secedit ),以便将新的用户权限复制到所有域控制器
  • 将以下权限授予用户或组:
    • 重设密码
    • 已验证的到 DNS 主机名的写入
    • 已验证的到服务主名称的写入
  • 单击 确定
  • 应列出“Authenticated Users”组(默认组)
  • 找到希望群集服务帐户使用的计算机对象
  • 浏览到“本地策略”下的“用户权利指派”
  • 添加群集服务帐户或群集服务帐户所属的组
    www.orchn.com
  • 请验证该策略不会被另一个策略覆盖
  • 验证是否已将以下权限明确给予群集服务帐户:
    • 作为服务登录
    • 以操作系统方式操作
    • 备份文件和目录
    • 增加配额
    • 增加调度优先级
    • 还原文件和目录
    • 如果某个权限丢失,请将其明确给予群集服务帐户,然后停止并重新启动群集服务

    在使用预先创建的计算机对象时需要的访问权限

    如果禁止“Authenticated Users”组的成员或群集服务帐户创建计算机对象,则当您是域管理员时,必须预先创建虚拟服务器计算机对象
    如果有多个域控制器,则可能需要等待将权限更改复制到其他域控制器(默认情况下,每 15 分钟发生一次复制)
    如果没有在“网络名称”资源上选择“启用 Kerberos 身份验证”选项,并且 Active Directory 中不存在计算机对象,则请参考以下 Microsoft 知识库文章,以了解有关如何排除“网络名称”资源故障的信息:

    257903 Cluster Network Name May Not Come Online with Event ID 1052




    注意 :由于计算机对象是在域控制器上创建的,因此必须将此用户权限授予域控制器




    - 或 -
  • 在“网络名称”资源上单击“启用 Kerberos 身份验证”




    若要验证在本地节点上给予了这些权限,请按照下列步骤操作:
    1. 从“管理工具”组,启动“本地安全设置”Microsoft 管理控制台 (MMC)




      如果群集服务帐户不具有“以操作系统方式操作”权限,则“网络名称”资源将失败,并且 Cluster.log 将记录如下内容:

      Failed to enable TCB privilege, status C0000061

      ERR Network Name Cluster Name:Failed to add credentials

      to LSA for computer account Cluster status 1314

      请使用上述步骤验证群集服务帐户具有所有需要的权限


      当禁用 Kerberos 时“网络名称”资源不联机

      如果计算机对象存在但您未选择“启用 Kerberos 身份验证”选项,则“网络名称”资源不会联机
      通信 为此,可以在命令提示符处键入 gpresult (如果您位于 Windows 2000 域中),或者查看 MMC 管理单元生成的“策略的结果集”(RSOP)(如果您位于 Windows Server 2003 域中)
      同时,默认情况下,此用户权限被设置为最大配额,即 Active Directory 中的十个计算机对象
      在配置群集节点的过程中,这些权限被给予群集服务帐户
      如果域或组织单位 (OU) 组策略将要覆盖本地安全策略,则可以有几个选项
      如果未列出该组,则必须将此用户权限授予群集服务帐户,或授予包含域控制器上的群集服务帐户的组
      如果群集服务帐户仍然无法创建计算机对象,请验证“组策略”不会覆盖“本地策略”
      如果超出此配额,则记录下面的事件 ID 消息:
      Event Source: ClusSvc

      Event Category: Network Name Resource

      Event ID: 1194



      Description:

      The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to create computer account.



      The text for error code is:Your computer could not be joined to the domain.You have exceeded the maximum number of computer accounts you are allowed to create in this domain.Contact your system administrator to have this limit reset or increased.



      This failure may be due to the cluster service account not having proper access to Active Directory.The domain administrator should be contacted to assist with resolving this issue. 如果多个群集将同一域帐户用做其群集服务帐户,则在给定的群集中创建 10 个计算机对象之前,可能收到此错误信息
      如果这些权限有问题,则可能在系统日志中记录以下事件 ID 消息:
      Event Source: ClusSvc

      Event Category: Network Name Resource

      Event ID: 1194



      Description:

      The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to update password.



      The text for error code is:Access is denied.

      - 或 -


      Event Source: ClusSvc

      Event Category: Network Name Resource

      Event ID: 1194



      Description:

      The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to set ServicePrincipalName attribute.



      The text for error code is:Insufficient access rights to perform the operation.

      - 或 -


      Event Source: ClusSvc

      Event Category: Network Name Resource

      Event ID: 1194



      Description:

      The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to set DnsHostName attribute.



      The text for error code is:Access is denied. 验证群集服务帐户在计算机对象上具有适当的权限:
      1. 从“管理工具”中启动“Active Directory 用户和计算机”管理单元
        必须将某些访问权限授予预先创建的计算机对象上的群集服务帐户
        您可以将群集节点放入其自己的 OU 中,此 OU 已取消选择“允许从父系来的继承权限传播到这个对象”
        有关 Windows 2000 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

        250842 Troubleshooting Group Policy Application Problems

        如果您位于 Windows Server 2003 域中,请在“帮助和支持”中搜索“RSOP”,以查看有关使用“策略的结果集”的说明
        有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

        250842 Troubleshooting Group Policy Application Problems

      群集服务帐户在本地节点上不具有适当的用户权限

      请验证群集服务帐户在群集的每个节点上都具有适当的用户权限
      有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

      251335 Domain Users Cannot Join Workstation or Server to a Domain

      验证群集服务帐户是否具有“域中添加工作站”用户权限:
      1. 登录到存储群集服务帐户的域控制器
        www.orchn.com 有可能更高级的策略会覆盖本地策略,或者从以前的操作系统升级时未添加所有必要的权限
        网络 此权限将覆盖“域中添加工作站”用户权限(其默认配额为 10)
        群集服务会尝试更新与虚拟服务器的 NetBIOS 名称匹配的计算机对象
        www.orchn.com 群集服务帐户必须位于本地管理员组中,并且应具有下面列出的权限
        要解决此问题,请使用下列两个过程中的任一过程:
        • 删除 Active Directory 中的相应计算机对象
          www.orchn.com 解决此问题的一个办法是授予群集服务帐户在 Computers 容器上“创建计算机对象”的权限
          重新启动群集服务后,所添加的权限才会生效

          0

          顶一下

          0

          踩一下
    • 相关文章
  • · Windows 2000 设置计算机说明
  • · Windows 2000 用户和计算机帐户管理 爱国者安全网
  •     服务器