Come risolvere i problemi relativi all'account del servizio cluster quando modifica gli oggetti computer

Questo articolo descrive come risolvere i problemi del servizio cluster quando crea o modifica un oggetto computer in Active Directory per un cluster server (server virtuale).

Numero KB originale: 307532

Diritti di accesso di Active Directory per la creazione di un oggetto computer

Per impostazione predefinita, ai membri del gruppo Domain Users viene concesso il diritto utente di aggiungere workstation a un dominio. Per impostazione predefinita, questo diritto utente è impostato su una quota massima di 10 oggetti computer in Active Directory. Se si supera questa quota, viene registrato il seguente messaggio di ID evento:

Se più cluster usano lo stesso account di dominio dell'account del servizio cluster, è possibile che venga visualizzato questo messaggio di errore prima di creare dieci oggetti computer in un determinato cluster. Un modo per risolvere questo problema consiste nel concedere all'account del servizio cluster l'autorizzazione Create Computer Objects (Crea oggetti computer) nel contenitore Computers .One way to resolve this issue is to grant the Cluster service account the Create Computer Objects permission on the Computers container. Questa autorizzazione esegue l'override del diritto Aggiungi workstation a un utente di dominio, con una quota predefinita pari a dieci.

Per verificare che l'account del servizio cluster disponga del diritto Add Workstations to a Domain user (Aggiungi workstation a un utente di dominio):

1. Accedere al controller di dominio in cui è archiviato l'account del servizio cluster.

2. Avviare il programma Criteri di sicurezza del controller di dominio da Strumenti di amministrazione.

3. Fare clic per espandere Criteri locali e quindi fare clic per espandere Assegnazioni diritti utente.

4. Fare doppio clic su Aggiungi workstation a un dominio e prendere nota degli account elencati.

5. Il gruppo Utenti autenticati (gruppo predefinito) deve essere elencato. Se non è elencato, è necessario concedere questo diritto utente all'account del servizio cluster o a un gruppo che contiene l'account del servizio cluster nei controller di dominio.

   Note

   È necessario concedere questo diritto utente ai controller di dominio perché gli oggetti computer vengono creati nei controller di dominio.

6. Se si aggiunge in modo esplicito l'account del servizio cluster a questo diritto utente, eseguire nel controller di dominio (o eseguire gpupdate secedit per Windows 2000) in modo che il nuovo diritto utente venga replicato in tutti i controller di dominio.

7. Verificare che il criterio non venga sovrascritto da un altro criterio.

L'account del servizio cluster non dispone dei diritti utente appropriati nel nodo locale

Verificare che l'account del servizio cluster disponga dei diritti utente appropriati per ogni nodo del cluster. L'account del servizio cluster deve trovarsi nel gruppo administrators locale e deve avere i diritti elencati di seguito. Questi diritti vengono concessi all'account del servizio cluster durante la configurazione del nodo Cluster. È possibile che un criterio di livello superiore sovrascriva i criteri locali o che un aggiornamento da un sistema operativo precedente non aggiunga tutti i diritti necessari. Per verificare che questi diritti siano assegnati nel nodo locale, seguire queste procedure:

1. Avviare la console Impostazioni di sicurezza locale dal gruppo Strumenti di amministrazione.

2. Passare a Assegnazioni diritti utente in Criteri locali.

3. Verificare che all'account del servizio cluster siano stati concessi in modo esplicito i diritti seguenti:

   • Accedere come servizio
   • Agire come parte del sistema operativo
   • Backup di file e directory
   • Regolazione limite risorse memoria per un processo
   • Aumento della priorità di pianificazione
   • Ripristino di file e directory

   Note

   Se l'account del servizio cluster è stato rimosso dal gruppo Administrators locale, ricreare manualmente l'account del servizio cluster e assegnare al servizio cluster i diritti necessari.

   Se uno dei diritti non è presente, concedere all'account del servizio cluster diritti espliciti, quindi arrestare e riavviare il servizio cluster. I diritti aggiunti non diventano effettivi fino a quando non si riavvia il servizio cluster. Se l'account del servizio cluster non riesce ancora a creare un oggetto computer, verificare che Criteri di gruppo non sovrascriva i criteri locali. A tale scopo, è possibile digitare gpresult al prompt dei comandi se si è in un dominio di Windows 2000 o un set di criteri risultante (RSOP) da uno snap-in MMC se si è in un dominio di Windows Server 2003.

   Se si è in un dominio di Windows Server 2003, cercare in Guida e supporto tecnico in "RSOP" per istruzioni sull'uso del set di criteri risultante.

   Se l'account del servizio cluster non ha il diritto "Agire come parte del sistema operativo", la risorsa Nome di rete avrà esito negativo e il Cluster.log registrerà il messaggio seguente:

   Usare i passaggi precedenti per verificare che l'account del servizio cluster disponga di tutti i diritti necessari. Se i criteri di sicurezza locali vengono sovrascritto da criteri di gruppo di dominio o unità organizzativa, sono disponibili diverse opzioni. È possibile posizionare i nodi del cluster nella propria unità organizzativa che dispone delle autorizzazioni ereditabili dall'elemento padre per propagarsi a questo oggetto" deselezionate.

Diritti di accesso necessari quando si usa un oggetto computer pre-creato

Se i membri del gruppo Utenti autenticati o dell'account del servizio cluster non sono autorizzati a creare un oggetto computer, se si è l'amministratore di dominio, è necessario creare in modo preliminare l'oggetto computer del server virtuale. È necessario concedere determinati diritti di accesso all'account del servizio Cluster nell'oggetto computer creato in modo preliminare. Il servizio Cluster tenta di aggiornare l'oggetto computer corrispondente al nome NetBIOS del server virtuale.

Per verificare che l'account del servizio cluster disponga delle autorizzazioni appropriate per l'oggetto computer:

1. Avviare lo snap-in Utenti e computer di Active Directory da Strumenti di amministrazione.

2. Scegliere Funzionalità avanzate dal menu Visualizza.

3. Individuare l'oggetto computer che si vuole usare l'account del servizio Cluster.

4. Fare clic con il pulsante destro del mouse sull'oggetto computer e quindi scegliere Proprietà.

5. Selezionare la scheda Sicurezza e quindi selezionare Aggiungi.

6. Aggiungere l'account del servizio cluster o un gruppo di cui l'account del servizio cluster è membro.

7. Concedere all'utente o al gruppo le autorizzazioni seguenti:

   • Reimpostazione password
   • Convalidata scrittura in nome host DNS
   • Convalidata scrittura nel nome dell'entità servizio

8. Seleziona OK. Se sono presenti più controller di dominio, potrebbe essere necessario attendere che la modifica dell'autorizzazione venga replicata negli altri controller di dominio (per impostazione predefinita, un ciclo di replica si verifica ogni 15 minuti).

La risorsa del nome di rete non è online quando Kerberos è disabilitato

Una risorsa Nome di rete non viene online se esiste un oggetto computer, ma non si seleziona l'opzione Abilita autenticazione Kerberos. Per risolvere il problema, utilizzare una delle procedure seguenti:

• Eliminare l'oggetto computer corrispondente in Active Directory.
• Selezionare Abilita autenticazione Kerberos nella risorsa Nome rete.