對容錯移轉叢集所使用的帳戶問題進行疑難排解
本文提供故障轉移叢集所使用帳戶問題的疑難解答指引。
當您建立故障轉移叢集並 設定叢集服務或應用程式時,故障轉移叢集精靈會建立必要的 Active Directory 帳戶,並提供正確的許可權。 刪除所需的帳戶或變更必要的權限時,可能會發生問題。 下列各節中提供了對這些問題進行疑難排解的步驟。
對叢集名稱帳戶的密碼問題進行疑難排解
您會收到有關電腦物件或叢集身分識別的事件訊息,其中包含下列文字:
Logon failure: unknown user name or bad password.
事件訊息指出叢集名稱帳戶的密碼不再符合叢集軟體所儲存的對應密碼。
注意
若要完成下列步驟:
- 您的帳戶至少必須是本機 Administrators 群組的成員(或對等專案)。 此外,您的帳戶應該獲得 叢集名稱帳戶的重設密碼 許可權(除非它是網域管理員帳戶或叢集名稱帳戶的建立者擁有者)。
- 您可以使用用來安裝叢集的帳戶。
如需有關使用適當帳戶和群組成員資格的詳細資料,請參閱本機與網域的預設群組。
如需確保叢集管理員擁有正確許可權的詳細資訊,請參閱 預先規劃密碼重設和其他帳戶維護。
若要解決這些問題,請遵循下列步驟:
選取 [ 開始],移至 [系統管理工具],然後選取 [故障轉移叢集管理員 ] 以開啟故障轉移叢集嵌入式管理單元。 如果出現 [使用者帳戶控制] 對話方塊,請確認其所顯示的動作就是您所需的動作,然後按一下 [是]。
在 [ 故障轉移叢集管理員 ] 嵌入式管理單元中,檢查是否顯示您要設定的叢集。 如果未顯示,請在控制台樹中,以滑鼠右鍵按兩下 [故障轉移叢集管理員],選取 [管理叢集],然後選取或指定所需的叢集。
在中央窗格中,展開 [叢集核心資源]。
在 [叢集名稱] 下,以滑鼠右鍵按兩下 [名稱] 項目,然後選取 [離線]。
在 [叢集名稱] 下,以滑鼠右鍵按兩下 [名稱] 專案,指向 [更多動作],然後選取 [修復 Active Directory 物件]。
注意
除非叢集的 [名稱] 資源脫機,否則 [修復 Active Directory 物件] 選項會呈現灰色。 離線叢集的名稱資源不應對其他叢集群組造成負面影響,例如 SQL Server 故障轉移叢集實例。 這是因為其他叢集群組不相依於叢集的 Name 資源。
對叢集相關 Active Directory 帳戶中的變更所導致的問題進行疑難排解
如果刪除叢集名稱帳戶或從帳戶中移除許可權,當您嘗試設定新的叢集服務或應用程式時,您將會遇到問題。 在此案例中,請使用 Active Directory 使用者和電腦 嵌入式管理單元來檢視或變更叢集名稱帳戶和其他相關帳戶。
如需相關事件的詳細資訊(事件標識符 1193、1194、1206 和 1207),請參閱 叢集帳戶的 Active Directory 許可權。
注意
下列步驟至少需要 Domain Admins 群組的成員資格(或對等專案)。 如需有關使用適當帳戶和群組成員資格的詳細資料,請參閱本機與網域的預設群組。
若要解決這些問題,請遵循下列步驟:
在域控制器上,選取 [開始],移至 [系統管理工具],然後選取 [Active Directory 使用者和電腦]。 如果出現 [使用者帳戶控制] 對話方塊,請確認其所顯示的動作就是您所需的動作,然後按一下 [是]。
展開預設 的計算機 容器或叢集名稱帳戶所在的資料夾(叢集的電腦帳戶)。 [計算機] 容器位於 Active Directory 使用者和電腦\<domain-node>\Computers 中。
檢查叢集名稱帳戶的圖示。 帳戶上不應該有向下指向的箭號來停用。 如果停用,請以滑鼠右鍵按兩下它,並盡可能選取 [ 啟用帳戶 ]。
在 [ 檢視] 功能表上,確定已選取 [ 進階功能] 選項。
選取 [進階功能] 選項時,您可以在 [Active Directory 使用者和電腦] 中的帳戶屬性 (objects) 中看到 [安全性] 索引卷標。
以滑鼠右鍵按下預設 的計算機 容器或叢集名稱帳戶所在的資料夾,然後選取 [ 屬性]。
在 [安全性] 索引標籤上,選取 [進階]。
在具有許可權的帳戶清單中,選取叢集名稱帳戶,然後選取 [ 編輯]。
注意
如果未列出叢集名稱帳戶,請選取 [新增 ],並將其新增至清單。
針對叢集名稱帳戶(也稱為叢集名稱物件或 CNO),請確定已針對 [建立計算機] 物件選取 [允許] 複選框,並讀取所有屬性許可權。
![[計算機的許可權專案] 視窗螢幕快照,其中顯示 [建立計算機物件] 和 [讀取所有屬性] 許可權。](media/troubleshoot-issues-accounts-used-failover-clusters/permission-entry-for-computers.png)
選取 [確定],直到您返回 Active Directory 使用者和電腦 嵌入式管理單元為止。
檢閱與建立計算機帳戶(物件)相關的網域原則(如果適用,請參閱網域管理員)。 請確定每次設定叢集服務或應用程式時,叢集名稱帳戶都可以建立電腦帳戶。 例如,如果您的網域系統管理員已設定設定,導致在特製化容器中建立所有新計算機帳戶,而不是預設 的計算機 容器,請確定這些設定也允許叢集名稱帳戶在該容器中建立新的計算機帳戶。
展開預設 的計算機 容器或其中一個叢集服務或應用程式的計算機帳戶所在的容器。
以滑鼠右鍵按兩下其中一個叢集服務或應用程式的電腦帳戶,然後選取 [ 屬性]。
在 [ 安全性] 索引標籤上,確認叢集名稱帳戶列在具有許可權的帳戶中,並加以選取。 確認叢集名稱帳戶具有 [完全控制 ] 許可權( 已選取 [允許 ] 複選框。 如果沒有,請將叢集名稱帳戶新增至清單,並授與 完整控制 許可權。
![此螢幕快照顯示已列出叢集名稱帳戶,且具有 [完全控制] 許可權。](media/troubleshoot-issues-accounts-used-failover-clusters/application-properties-full-control.png)
針對叢集中設定的每個叢集服務和應用程式重複步驟 12-13。
請確定尚未達到建立計算機物件的全網域配額(如果適用的話,
10請參閱網域管理員)。 如果已檢閱並更正此程式中先前的專案,且已達到配額,請考慮增加配額。 若要變更配額,請遵循下列步驟:- 以系統管理員身分開啟命令提示字元,然後執行
ADSIEdit.msc命令。 - 以滑鼠右鍵按兩下 [ADSI 編輯],然後選取 [連線到>確定]。 然後, 預設命名內容 會新增至主控台樹。
- 按兩下 [ 預設命名內容],以滑鼠右鍵按下的定義域物件,然後選取 [ 屬性]。
- 捲動至 ms-DS-MachineAccountQuota 並加以選取。 選取 [ 編輯]、變更值,然後選取 [ 確定]。
- 以系統管理員身分開啟命令提示字元,然後執行