Solución de problemas de la cuenta de servicio de clúster cuando modifica objetos de equipo

En este artículo se describe cómo solucionar problemas del servicio de clúster cuando crea o modifica un objeto de equipo en Active Directory para un clúster de servidores (servidor virtual).

Número de KB original: 307532

Derechos de acceso de Active Directory para crear un objeto de equipo

De forma predeterminada, a los miembros del grupo Usuarios de dominio se les concede el derecho de usuario para agregar estaciones de trabajo a un dominio. De forma predeterminada, este derecho de usuario se establece en una cuota máxima de 10 objetos de equipo en Active Directory. Si supera esta cuota, se registra el siguiente mensaje de identificador de evento:

Si varios clústeres usan la misma cuenta de dominio que su cuenta de servicio de clúster, puede recibir este mensaje de error antes de crear diez objetos de equipo en un clúster determinado. Una manera de resolver este problema es conceder a la cuenta de servicio de clúster el permiso Crear objetos de equipo en el contenedor Equipos. Este permiso invalida el derecho de usuario Agregar estaciones de trabajo a un dominio, que tiene una cuota predeterminada de diez.

Para comprobar que la cuenta de servicio de clúster tiene el derecho de usuario Agregar estaciones de trabajo a un dominio:

1. Inicie sesión en el controlador de dominio en el que se almacena la cuenta de servicio de clúster.

2. Inicie el programa Directiva de seguridad del controlador de dominio desde Herramientas administrativas.

3. Haga clic para expandir Directivas locales y, a continuación, haga clic para expandir Asignaciones de derechos de usuario.

4. Haga doble clic en Agregar estaciones de trabajo a un dominio y anote las cuentas que aparecen.

5. Debe aparecer el grupo Usuarios autenticados (el grupo predeterminado). Si no aparece, debe conceder a este usuario derecho a la cuenta de servicio de clúster o a un grupo que contenga la cuenta de servicio de clúster en los controladores de dominio.

   Nota:

   Debe conceder este derecho de usuario a los controladores de dominio porque los objetos de equipo se crean en los controladores de dominio.

6. Si agrega explícitamente la cuenta de servicio de clúster a este derecho de usuario, ejecute en el controlador de dominio (o ejecute secedit para Windows 2000) para que el nuevo derecho de usuario se replique gpupdate en todos los controladores de dominio.

7. Compruebe que otra directiva no sobrescribirá la directiva.

La cuenta de servicio de clúster no tiene derechos de usuario adecuados en el nodo local

Compruebe que la cuenta de Servicio de clúster tiene los derechos de usuario adecuados en cada nodo del clúster. La cuenta de Servicio de clúster debe estar en el grupo de administradores locales y debe tener los derechos que se enumeran a continuación. Estos derechos se conceden a la cuenta de Servicio de clúster durante la configuración del nodo Clúster. Es posible que una directiva de nivel superior sobrescriba la directiva local o que una actualización de un sistema operativo anterior no agregue todos los derechos necesarios. Para comprobar que estos derechos se proporcionan en el nodo local, siga estos procedimientos:

1. Inicie la consola Configuración de seguridad local desde el grupo Herramientas administrativas.

2. Vaya a Asignaciones de derechos de usuario en Directivas locales.

3. Compruebe que la cuenta de Servicio de clúster se ha concedido explícitamente los siguientes derechos:

   • Inicio de sesión como servicio
   • Actuar como parte del sistema operativo
   • Hacer copias de seguridad de archivos y directorios
   • Ajustar las cuotas de la memoria para un proceso
   • Aumentar prioridad de programación
   • Restaurar archivos y directorios

   Nota:

   Si la cuenta de Servicio de clúster se ha quitado del grupo de administradores local, vuelva a crear manualmente la cuenta de servicio de clúster y asigne al servicio de clúster los derechos necesarios.

   Si falta alguno de los derechos, conceda a la cuenta de Servicio de clúster derechos explícitos para él y, a continuación, detenga y reinicie el servicio de clúster. Los derechos agregados no surten efecto hasta que reinicie el servicio de clúster. Si la cuenta de servicio de clúster todavía no puede crear un objeto de equipo, compruebe que una directiva de grupo no sobrescriba la directiva local. Para ello, puedes escribir gpresult en el símbolo del sistema si estás en un dominio de Windows 2000 o en un conjunto resultante de directiva (RSOP) desde un complemento MMC si estás en un dominio de Windows Server 2003.

   Si está en un dominio de Windows Server 2003, busque Ayuda y soporte técnico en "RSOP" para obtener instrucciones sobre el uso del conjunto resultante de directivas.

   Si la cuenta de Servicio de clúster no tiene el derecho "Actuar como parte del sistema operativo", se producirá un error en el recurso Nombre de red y el Cluster.log registrará el siguiente mensaje:

   Siga los pasos anteriores para comprobar que la cuenta de Servicio de clúster tiene todos los derechos necesarios. Si las directivas de seguridad local se están sobreescribiendo mediante una directiva de grupo de unidad organizativa o dominio, hay varias opciones. Puede colocar los nodos de clúster en su propia unidad organizativa que tenga los permisos "Permitir que los permisos heredados del elemento primario se propaguen a este objeto" deseleccionado.

Derechos de acceso necesarios al usar un objeto de equipo creado previamente

Si los miembros del grupo Usuarios autenticados o la cuenta de servicio de clúster están bloqueados para crear un objeto de equipo, si es el administrador de dominio, debe crear previamente el objeto de equipo del servidor virtual. Debe conceder determinados derechos de acceso a la cuenta de servicio de clúster en el objeto de equipo creado previamente. El servicio de clúster intenta actualizar el objeto de equipo que coincide con el nombre NetBIOS del servidor virtual.

Para comprobar que la cuenta de servicio de clúster tiene los permisos adecuados en el objeto de equipo:

1. Inicie el complemento Usuarios y equipos de Active Directory desde Herramientas administrativas.

2. En el menú Ver , seleccione Características avanzadas.

3. Busque el objeto de equipo que desea que use la cuenta de servicio de clúster.

4. Haga clic con el botón derecho en el objeto de equipo y seleccione Propiedades.

5. Seleccione la pestaña Seguridad y, a continuación, seleccione Agregar.

6. Agregue la cuenta de servicio de clúster o un grupo al que pertenece la cuenta de Servicio de clúster.

7. Conceda al usuario o al grupo los permisos siguientes:

   • Restablecimiento de contraseña
   • Escritura validada en nombre de host DNS
   • Escritura validada en el nombre de la entidad de seguridad de servicio

8. Seleccione Aceptar. Si hay varios controladores de dominio, es posible que tenga que esperar a que el cambio de permiso se replique en los otros controladores de dominio (de forma predeterminada, se produce un ciclo de replicación cada 15 minutos).

El recurso de nombre de red no está en línea cuando kerberos está deshabilitado

Un recurso nombre de red no está en línea si existe un objeto de equipo, pero no selecciona la opción Habilitar autenticación Kerberos. Para resolver el problema, use cualquiera de los procedimientos siguientes:

• Elimine el objeto de equipo correspondiente en Active Directory.
• Seleccione Habilitar autenticación Kerberos en el recurso Nombre de red.