Comment résoudre les problèmes liés au compte de service de cluster lorsqu’il modifie des objets ordinateur

Cet article explique comment dépanner le service de cluster lorsqu’il crée ou modifie un objet ordinateur dans Active Directory pour un cluster de serveurs (serveur virtuel).

Numéro de base de connaissances d’origine : 307532

Droits d’accès Active Directory pour la création d’un objet ordinateur

Par défaut, les membres du groupe Utilisateurs du domaine disposent du droit utilisateur d’ajouter des stations de travail à un domaine. Par défaut, ce droit utilisateur est défini sur un quota maximal de 10 objets ordinateurs dans Active Directory. Si vous dépassez ce quota, le message d’ID d’événement suivant est enregistré :

Si plusieurs clusters utilisent le même compte de domaine que leur compte de service de cluster, vous pouvez recevoir ce message d’erreur avant de créer dix objets d’ordinateur dans un cluster donné. Une façon de résoudre ce problème consiste à accorder au compte de service de cluster l’autorisation Créer des objets ordinateurs sur le conteneur Ordinateurs. Cette autorisation remplace l’ajout de stations de travail à un droit d’utilisateur de domaine, qui a un quota par défaut de dix.

Pour vérifier que le compte de service de cluster a les stations de travail Ajouter des stations de travail à un droit d’utilisateur de domaine :

1. Connectez-vous au contrôleur de domaine sur lequel le compte de service de cluster est stocké.

2. Démarrez le programme stratégie de sécurité du contrôleur de domaine à partir des outils d’administration.

3. Cliquez pour développer les stratégies locales, puis pour développer les attributions de droits utilisateur.

4. Double-cliquez sur Ajouter des stations de travail à un domaine et notez les comptes répertoriés.

5. Le groupe Utilisateurs authentifiés (le groupe par défaut) doit être répertorié. S’il n’est pas répertorié, vous devez accorder à cet utilisateur le droit d’accès au compte de service de cluster ou à un groupe qui contient le compte de service de cluster sur les contrôleurs de domaine.

   Note

   Vous devez accorder à cet utilisateur le droit des contrôleurs de domaine, car les objets ordinateur sont créés sur les contrôleurs de domaine.

6. Si vous ajoutez explicitement le compte de service de cluster à ce droit d’utilisateur, exécutez gpupdate le contrôleur de domaine (ou exécutez secedit pour Windows 2000) afin que le nouveau droit d’utilisateur soit répliqué sur tous les contrôleurs de domaine.

7. Vérifiez que la stratégie ne sera pas remplacée par une autre stratégie.

Le compte de service de cluster ne dispose pas des droits d’utilisateur appropriés sur le nœud local

Vérifiez que le compte de service de cluster dispose des droits d’utilisateur appropriés sur chaque nœud du cluster. Le compte de service de cluster doit se trouver dans le groupe administrateurs local et disposer des droits répertoriés ci-dessous. Ces droits sont attribués au compte de service de cluster pendant la configuration du nœud de cluster. Il est possible qu’une stratégie de niveau supérieur écrive la stratégie locale ou qu’une mise à niveau à partir d’un système d’exploitation précédent n’ajoute pas tous les droits requis. Pour vérifier que ces droits sont donnés sur le nœud local, procédez comme suit :

1. Démarrez la console Paramètres de sécurité local à partir du groupe Outils d’administration.

2. Accédez aux attributions de droits utilisateur sous Stratégies locales.

3. Vérifiez que le compte de service de cluster a reçu explicitement les droits suivants :

   • Se connecter en tant que service
   • Agir en tant que partie du système d'exploitation
   • Sauvegarder des fichiers et des répertoires
   • Ajuster les quotas de mémoire pour un processus
   • Augmenter la priorité de planification
   • Restaurer des fichiers et des répertoires

   Note

   Si le compte de service de cluster a été supprimé du groupe Administrateurs local, recréez manuellement le compte de service de cluster et donnez au service de cluster les droits requis.

   Si l’un des droits est manquant, accordez au compte de service de cluster des droits explicites pour celui-ci, puis arrêtez et redémarrez le service de cluster. Les droits ajoutés ne prennent pas effet tant que vous n’avez pas redémarré le service de cluster. Si le compte de service de cluster ne peut toujours pas créer d’objet ordinateur, vérifiez qu’une stratégie de groupe n’écrit pas trop la stratégie locale. Pour ce faire, vous pouvez taper gpresult à l’invite de commandes si vous êtes dans un domaine Windows 2000 ou un ensemble de stratégies résultant (RSOP) à partir d’un composant logiciel enfichable MMC si vous êtes sur un domaine Windows Server 2003.

   Si vous êtes dans un domaine Windows Server 2003, recherchez l’aide et le support sur « RSOP » pour obtenir des instructions sur l’utilisation de l’ensemble de stratégie résultant.

   Si le compte de service de cluster n’a pas le droit « Agir dans le cadre du système d’exploitation », la ressource Nom du réseau échoue et le Cluster.log inscrit le message suivant :

   Utilisez les étapes ci-dessus pour vérifier que le compte de service de cluster dispose de tous les droits requis. Si les stratégies de sécurité locales sont surécrites par une stratégie de groupe d’unités d’organisation ou de domaine, il existe plusieurs options. Vous pouvez placer les nœuds de cluster dans leur propre unité d’organisation qui dispose des autorisations héritées du parent pour se propager à cet objet » désélectionnée.

Droits d’accès requis lors de l’utilisation d’un objet ordinateur précréé

Si les membres du groupe Utilisateurs authentifiés ou du compte de service de cluster sont bloqués pour créer un objet ordinateur, si vous êtes l’administrateur de domaine, vous devez précréer l’objet d’ordinateur de serveur virtuel. Vous devez accorder certains droits d’accès au compte de service de cluster sur l’objet ordinateur précréé. Le service cluster tente de mettre à jour l’objet ordinateur qui correspond au nom NetBIOS du serveur virtuel.

Pour vérifier que le compte de service de cluster dispose des autorisations appropriées sur l’objet ordinateur :

1. Démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory à partir des outils d’administration.

2. Dans le menu Affichage , sélectionnez Fonctionnalités avancées.

3. Recherchez l’objet ordinateur que vous souhaitez utiliser pour le compte de service de cluster.

4. Cliquez avec le bouton droit sur l’objet ordinateur, puis sélectionnez Propriétés.

5. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter.

6. Ajoutez le compte de service de cluster ou un groupe dont le compte de service de cluster est membre.

7. Accordez à l’utilisateur ou au groupe les autorisations suivantes :

   • Réinitialiser le mot de passe
   • Écriture validée dans le nom d’hôte DNS
   • Écriture validée dans le nom du principal de service

8. Cliquez sur OK. S’il existe plusieurs contrôleurs de domaine, vous devrez peut-être attendre que la modification d’autorisation soit répliquée sur les autres contrôleurs de domaine (par défaut, un cycle de réplication se produit toutes les 15 minutes).

La ressource de nom réseau n’est pas disponible en ligne lorsque Kerberos est désactivé

Une ressource nom de réseau n’est pas disponible en ligne si un objet ordinateur existe, mais vous ne sélectionnez pas l’option Activer l’authentification Kerberos. Pour résoudre le problème, utilisez l’une des procédures suivantes :

• Supprimez l’objet ordinateur correspondant dans Active Directory.
• Sélectionnez Activer l’authentification Kerberos sur la ressource Nom du réseau.