用于创建计算机对象的 Active Directory 访问权限
默认情况下,授予“域用户”组的成员向域中添加工作站的用户权限。同时,默认情况下,此用户权限被设置为最大配额,即 Active Directory 中的十个计算机对象。如果超出此配额,则记录下面的事件 ID 消息:
Event Source: ClusSvc
Event Category: Network Name Resource
Event ID: 1194
Description:
The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to create computer account.
The text for error code is:Your computer could not be joined to the domain.You have exceeded the maximum number of computer accounts you are allowed to create in this domain.Contact your system administrator to have this limit reset or increased.
This failure may be due to the cluster service account not having proper access to Active Directory.The domain administrator should be contacted to assist with resolving this issue. 如果多个群集将同一域帐户用做其群集服务帐户,则在给定的群集中创建 10 个计算机对象之前,可能收到此错误信息。解决此问题的一个办法是授予群集服务帐户在 Computers 容器上“创建计算机对象”的权限。此权限将覆盖“域中添加工作站”用户权限(其默认配额为 10)。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251335 Domain Users Cannot Join Workstation or Server to a Domain
验证群集服务帐户是否具有“域中添加工作站”用户权限:
- 登录到存储群集服务帐户的域控制器。
- 从“管理工具”中启动“域控制器安全策略”程序。
- 单击以展开 本地策略 ,然后单击以展开“用户权利指派”。
- 双击“域中添加工作站”,并注意列出的帐户。
- 应列出“Authenticated Users”组(默认组)。如果未列出该组,则必须将此用户权限授予群集服务帐户,或授予包含域控制器上的群集服务帐户的组。
注意 :由于计算机对象是在域控制器上创建的,因此必须将此用户权限授予域控制器。
- 如果将群集服务帐户明确添加到此用户权限,请在域控制器上运行 gpupdate (或者,对于 Windows 2000 运行 secedit ),以便将新的用户权限复制到所有域控制器。
- 请验证该策略不会被另一个策略覆盖。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
250842 Troubleshooting Group Policy Application Problems
请验证群集服务帐户在群集的每个节点上都具有适当的用户权限。群集服务帐户必须位于本地管理员组中,并且应具有下面列出的权限。在配置群集节点的过程中,这些权限被给予群集服务帐户。有可能更高级的策略会覆盖本地策略,或者从以前的操作系统升级时未添加所有必要的权限。
若要验证在本地节点上给予了这些权限,请按照下列步骤操作:
- 从“管理工具”组,启动“本地安全设置”Microsoft 管理控制台 (MMC)。
- 浏览到“本地策略”下的“用户权利指派”。
- 验证是否已将以下权限明确给予群集服务帐户:
- 作为服务登录
- 以操作系统方式操作
- 备份文件和目录
- 增加配额
- 增加调度优先级
- 还原文件和目录
如果某个权限丢失,请将其明确给予群集服务帐户,然后停止并重新启动群集服务。重新启动群集服务后,所添加的权限才会生效。如果群集服务帐户仍然无法创建计算机对象,请验证“组策略”不会覆盖“本地策略”。为此,可以在命令提示符处键入 gpresult (如果您位于 Windows 2000 域中),或者查看 MMC 管理单元生成的“策略的结果集”(RSOP)(如果您位于 Windows Server 2003 域中)。有关 Windows 2000 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
250842 Troubleshooting Group Policy Application Problems
如果您位于 Windows Server 2003 域中,请在“帮助和支持”中搜索“RSOP”,以查看有关使用“策略的结果集”的说明。
如果群集服务帐户不具有“以操作系统方式操作”权限,则“网络名称”资源将失败,并且 Cluster.log 将记录如下内容:
Failed to enable TCB privilege, status C0000061
ERR Network Name Cluster Name:Failed to add credentials
to LSA for computer account Cluster status 1314
请使用上述步骤验证群集服务帐户具有所有需要的权限。如果域或组织单位 (OU) 组策略将要覆盖本地安全策略,则可以有几个选项。您可以将群集节点放入其自己的 OU 中,此 OU 已取消选择“允许从父系来的继承权限传播到这个对象”。
如果禁止“Authenticated Users”组的成员或群集服务帐户创建计算机对象,则当您是域管理员时,必须预先创建虚拟服务器计算机对象。必须将某些访问权限授予预先创建的计算机对象上的群集服务帐户。群集服务会尝试更新与虚拟服务器的 NetBIOS 名称匹配的计算机对象。如果这些权限有问题,则可能在系统日志中记录以下事件 ID 消息:
Event Source: ClusSvc
Event Category: Network Name Resource
Event ID: 1194
Description:
The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to update password.
The text for error code is:Access is denied.
- 或 -
Event Source: ClusSvc
Event Category: Network Name Resource
Event ID: 1194
Description:
The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to set ServicePrincipalName attribute.
The text for error code is:Insufficient access rights to perform the operation.
- 或 -
Event Source: ClusSvc
Event Category: Network Name Resource
Event ID: 1194
Description:
The computer account for Cluster resource 'Network Name Resource' in domain microsoft.com could not be created for the following reason:Unable to set DnsHostName attribute.
The text for error code is:Access is denied. 验证群集服务帐户在计算机对象上具有适当的权限:
- 从“管理工具”中启动“Active Directory 用户和计算机”管理单元。
- 在 查看 菜单上,单击 高级功能 。
- 找到希望群集服务帐户使用的计算机对象。
- 右键单击该计算机对象,然后单击 属性 。
- 单击 安全 选项卡,然后单击 添加 。
- 添加群集服务帐户或群集服务帐户所属的组。
- 将以下权限授予用户或组:
- 重设密码
- 已验证的到 DNS 主机名的写入
- 已验证的到服务主名称的写入
- 单击 确定 。
如果有多个域控制器,则可能需要等待将权限更改复制到其他域控制器(默认情况下,每 15 分钟发生一次复制)。
如果计算机对象存在但您未选择“启用 Kerberos 身份验证”选项,则“网络名称”资源不会联机。要解决此问题,请使用下列两个过程中的任一过程:
- 删除 Active Directory 中的相应计算机对象。
- 或 -
- 在“网络名称”资源上单击“启用 Kerberos 身份验证”。
如果没有在“网络名称”资源上选择“启用 Kerberos 身份验证”选项,并且 Active Directory 中不存在计算机对象,则请参考以下 Microsoft 知识库文章,以了解有关如何排除“网络名称”资源故障的信息:
2579