Учетная запись active directory что это
Вводные сведения об учетных записях служб в Active Directory
Любая служба имеет основной идентификатор безопасности, определяющий права доступа для локальных и сетевых ресурсов. Контекст безопасности службы Microsoft Win32 определяется учетной записью службы, используемой для ее запуска. Учетная запись службы используется для:
Типы локальных учетных записей служб
В зависимости от варианта использования для запуска службы можно использовать управляемую учетную запись службы (MSA), учетную запись компьютера или учетную запись пользователя. Сначала необходимо проверить службу, чтобы убедиться, что она может использовать MSA. Если служба может использовать MSA, следует использовать такой тип учетной записи.
Групповая управляемая учетная запись службы
Для служб, работающих в локальной среде, по возможности используйте групповые управляемые учетные записи служб (gMSA). Такие учетные записи предоставляют единое решение для идентификации служб, выполняющихся в ферме серверов или за подсистемой балансировки нагрузки сети. Их также можно использовать для служб, работающих на одном сервере. Сведения о требованиях для gMSA см. в статье Начало работы с групповыми управляемыми учетными записями служб.
Изолированные управляемые учетные записи служб
Если вы не можете использовать gMSA, используйте изолированную управляемую учетную запись службы (sMSA). Для sMSA требуется Windows Server версии не ниже 2008 R2. В отличие от gMSA, учетные записи sMSA работают только на одном сервере. Их можно использовать для нескольких служб на этом сервере.
Учетные записи компьютера
Если вы не можете использовать MSA, рассмотрите возможность использования учетной записи компьютера. Учетная запись LocalSystem — это предварительно определенная локальная учетная запись, которая обладает широкими разрешениями на локальном компьютере и действует как идентификатор компьютера в сети.
При использовании учетной записи компьютера невозможно определить, какая служба на компьютере ее использует. Следовательно, вы не можете контролировать, какая служба вносит изменения.
Учетные записи пользователей
Если вы не можете использовать MSA, рассмотрите возможность использования учетной записи пользователя. Это может быть учетная запись пользователя домена или локального пользователя.
Учетная запись пользователя домена позволяет службе использовать все преимущества функций безопасности служб Windows и доменных служб Microsoft Active Directory. У службы будут локальные и сетевые разрешения, предоставленные учетной записи. У нее также будут разрешения для групп, в которые входит эта учетная запись. Учетные записи службы домена поддерживают взаимную проверку подлинности Kerberos.
Учетная запись локального пользователя (формат имени: .\имя_пользователя) существует только в базе данных диспетчера учетных записей безопасности главного компьютера. В ней нет объекта пользователя в доменных службах Active Directory. Локальная учетная запись не может пройти проверку подлинности с помощью домена. Таким образом, служба, которая работает в контексте безопасности учетной записи локального пользователя, не имеет доступа к сетевым ресурсам (за исключением доступа анонимного пользователя). Службы, выполняемые в контексте локального пользователя, не поддерживают взаимную проверку подлинности Kerberos, в рамках которой служба проходит проверку подлинности клиентами. По этим причинам учетные записи локальных пользователей обычно не подходят для служб с поддержкой каталога.
Учетные записи служб не должны состоять в каких-либо привилегированных группах, так как участие в привилегированных группах предоставляет разрешения, которые могут создавать угрозу безопасности. У каждой службы должна быть собственная учетная запись службы для аудита и безопасности.
Выберите правильный тип учетной записи службы
| Критерий | gMSA | sMSA | Учетная запись компьютера | Учетная запись пользователя |
|---|---|---|---|---|
| Приложение выполняется на одном сервере | Да | Да. По возможности используйте gMSA. | Да. По возможности используйте MSA. | Да. По возможности используйте MSA. |
| Приложение выполняется на нескольких серверах | Да | Нет | Нет. Учетная запись привязана к серверу. | Да. По возможности используйте MSA. |
| Приложение выполняется за подсистемой балансировки нагрузки | Да | Нет | Нет | Да. Используйте только в том случае, если не можете использовать gMSA. |
| Приложение выполняется в Windows Server 2008 R2 | Нет | Да | Да. По возможности используйте MSA. | Да. По возможности используйте MSA. |
| Приложение выполняется в Windows Server 2012 | Да | Да. По возможности используйте gMSA. | Да. По возможности используйте MSA. | Да. По возможности используйте MSA. |
| Требование ограничить учетную запись службы одним сервером | Нет | Да | Да. По возможности используйте sMSA. | Нет |
Как использовать журналы сервера и PowerShell для исследования
Определить, на каких серверах и на каком их количестве выполняется приложение, можно с помощью журналов сервера.
Чтобы получить список версий Windows Server для всех серверов в сети, можно выполнить следующую команду PowerShell:
Поиск локальных учетных записей служб
Ко всем учетным записям, которые вы используете в качестве учетных записей служб, рекомендуется добавить префикс, например svc-. Это соглашение об именовании упростит поиск учетных записей и управление ими. Также рассмотрите возможность использования атрибута описания для учетной записи службы и владельца учетной записи службы. В описании может быть указан псевдоним команды или владелец команды безопасности.
Успешный поиск локальных учетных записей служб — ключевое условие для обеспечения их безопасности. Для учетных записей, не относящихся к типу MSA, это может быть трудной задачей. Рекомендуем проверять все учетные записи, имеющие доступ к важным локальным ресурсам, и определять, какие учетные записи компьютеров или пользователей могут выступать в качестве учетных записей служб.
Чтобы узнать, как найти учетную запись службы, см. статью о типе этой учетной записи в разделе «Дальнейшие действия».
Учетные записи службы документов
Когда вы найдете учетные записи служб в локальной среде, задокументируйте следующие сведения:
Владелец — лицо, ответственное за поддержку учетной записи.
Назначение — приложение, представляемое учетной записью, или другое назначение.
Области разрешений — разрешения, которые у нее есть или должны быть, а также группы, в которые она входит.
Профиль риска — риск для вашего бизнеса, если эта учетная запись будет скомпрометирована. Если риск высок, используйте MSA.
Ожидаемое время существования и периодическая аттестация — как долго (согласно вашим ожиданиям) учетная запись будет существовать и как часто владелец должен проверять и подтверждать потребность в ней.
Безопасность пароля — где хранится пароль (для учетных записей пользователей и локальных компьютеров). Обеспечьте безопасность паролей и запишите, у кого есть доступ к ним. Для защиты хранимых паролей рекомендуем использовать Azure AD Privileged Identity Management.
Дальнейшие действия
Дополнительные сведения о защите учетных записей служб см. в следующих статьях:
Настройка учетных записей кластеров в Active Directory
Учетная запись, используемая для создания кластера
Требуются права администратора на серверах, которые станут узлами кластера. Также требуются разрешения Create Computer objects и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене.
Учетная запись имени кластера (учетная запись компьютера самого кластера)
При запуске мастера создания кластера учетная запись имени кластера создается в контейнере по умолчанию, который используется для учетных записей компьютеров в домене. По умолчанию учетная запись имени кластера (как и другие учетные записи компьютеров) может создавать до десяти учетных записей компьютеров в домене.
Если создать учетную запись имени кластера (объект имени кластера) перед созданием кластера, то есть предварительно подготовить учетную запись, необходимо предоставить ей разрешения на Создание объектов Computer и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене. Необходимо также отключить учетную запись и предоставить ей полный контроль над учетной записью, которая будет использоваться администратором, устанавливающим кластер. Дополнительные сведения см. в подразделе действия для предварительной подготовки учетной записи имени кластерадалее в этом руководстве.
Учетная запись компьютера кластеризованной службы или приложения
При запуске мастера высокой доступности (для создания новой кластеризованной службы или приложения) в большинстве случаев в Active Directory создается учетная запись компьютера для кластерной службы или приложения. Учетной записи имени кластера предоставляются необходимые разрешения для управления этой учетной записью. Исключением является кластеризованная виртуальная машина Hyper-V: для этого не создана учетная запись компьютера.
При предварительной настройке учетной записи компьютера для кластеризованной службы или приложения необходимо настроить ее с необходимыми разрешениями. Дополнительные сведения см. в подразделе шаги предварительной подготовки учетной записи для кластеризованной службы или приложениядалее в этом руководстве.
в более ранних версиях Windows Server была учетная запись для служба кластеров. однако с Windows Server 2008 служба кластеров автоматически выполняется в специальном контексте, который предоставляет определенные разрешения и привилегии, необходимые для службы (как в контексте локальной системы, но с ограниченными правами). Однако другие учетные записи необходимы, как описано в этом разделе.
Создание учетных записей с помощью мастеров в отказоустойчивой кластеризации
На следующей схеме показано использование и создание учетных записей компьютеров (Active Directory объектов), описанных в предыдущем подразделе. Эти учетные записи возникают, когда администратор запускает мастер создания кластера, а затем запускает мастер высокой доступности (для настройки кластеризованной службы или приложения).
.gif "Учетная запись active directory что это. Смотреть фото Учетная запись active directory что это. Смотреть картинку Учетная запись active directory что это. Картинка про Учетная запись active directory что это. Фото Учетная запись active directory что это")
Обратите внимание, что на приведенной выше схеме показан один администратор, запускающий как мастер создания кластеров, так и мастер высокой доступности. Однако это может быть два разных администратора, использующих две разные учетные записи пользователей, если обе учетные записи имели достаточные разрешения. Разрешения более подробно описаны в разделе требования, связанные с отказоустойчивыми кластерами, Active Directory доменами и учетными записями далее в этом пошаговом окне.
Как могут возникать проблемы при изменении учетных записей, необходимых для кластера
На следующей схеме показано, как могут возникнуть проблемы при изменении учетной записи имени кластера (одной из учетных записей, необходимых для кластера) после автоматического создания мастером создания кластеров.
.gif "Учетная запись active directory что это. Смотреть фото Учетная запись active directory что это. Смотреть картинку Учетная запись active directory что это. Картинка про Учетная запись active directory что это. Фото Учетная запись active directory что это")
Если отображается тип проблемы, показанной на диаграмме, в Просмотр событий регистрируется определенное событие (1193, 1194, 1206 или 1207). Подробнее об этих событиях см. в разделе https://go.microsoft.com/fwlink/?LinkId=118271.
Обратите внимание, что подобная проблема с созданием учетной записи для кластеризованной службы или приложения может произойти, если достигнута квота на уровне домена для создания объектов-компьютеров (по умолчанию — 10). Если это так, то, возможно, потребуется обратиться к администратору домена, чтобы увеличить квоту, хотя это параметр на уровне домена, и его следует изменить только после тщательного рассмотрения и только после подтверждения того, что Предыдущая схема не описывает ситуацию. Дополнительные сведения см. в разделе действия по устранению неполадок, вызванных изменениями в учетных записях Active Directory, связанных с кластером, далее в этом руководстве.
Требования, связанные с отказоустойчивыми кластерами, Active Directory доменами и учетными записями
Как описано в предыдущих трех разделах, для успешной настройки кластерных служб и приложений в отказоустойчивом кластере должны быть выполнены определенные требования. Основные требования касаются расположения узлов кластера (в пределах одного домена) и уровня разрешений учетной записи пользователя, устанавливающего кластер. Если эти требования соблюдены, другие учетные записи, необходимые для кластера, можно создать автоматически с помощью мастеров отказоустойчивого кластера. В следующем списке приведены сведения о базовых требованиях.
Узлы: Все узлы должны находиться в одном домене Active Directory. (домен не может быть основан на Windows NT 4,0, который не включает Active Directory.)
Учетная запись пользователя, устанавливающего кластер: Пользователь, который устанавливает кластер, должен использовать учетную запись со следующими характеристиками:
Учетная запись должна быть учетной записью домена. Она не обязательно должна быть учетной записью администратора домена. Это может быть учетная запись пользователя домена, если она соответствует другим требованиям, указанным в этом списке.
Учетная запись должна иметь разрешения администратора на серверах, которые станут узлами кластера. Самый простой способ предоставить это — создать учетную запись пользователя домена, а затем добавить эту учетную запись в локальную группу администраторов на каждом из серверов, которые станут узлами кластера. Дополнительные сведения см. в подразделе действия по настройке учетной записи для пользователя, устанавливающего кластер, далее в этом руководстве.
Учетной записи (или группе, в которую входит учетная запись) необходимо предоставить разрешения Создание объектов Computer и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене. Дополнительные сведения см. в подразделе действия по настройке учетной записи для пользователя, устанавливающего кластер, далее в этом руководстве.
Если в вашей организации выбрана Предварительная учетная запись имени кластера (учетная запись компьютера с тем же именем, что и у кластера), учетная запись с именем предварительно подготовленное имя кластера должна предоставить учетной записи пользователя, устанавливающего кластер, разрешение «Полный доступ». Другие важные сведения о предварительной настройке учетной записи имени кластера см. в подразделе действия для предварительной подготовки учетной записи имени кластерадалее в этом руководстве.
Заблаговременное планирование сброса паролей и других процедур обслуживания учетных записей
Действия по настройке учетной записи для пользователя, устанавливающего кластер
Учетная запись пользователя, устанавливающего кластер, важна, так как он обеспечивает базис, с помощью которого учетная запись компьютера создается для самого кластера.
Настройка учетной записи для пользователя, устанавливающего кластер
Если учетная запись, созданная или полученная на шаге 1, не включена автоматически в группу локальные Администраторы на компьютерах домена, добавьте учетную запись в локальную группу администраторов на серверах, которые будут узлами в отказоустойчивом кластере:
Щелкните Пуск, затем Администрирование и Диспетчер серверов.
В дереве консоли разверните узел Конфигурация, затем узел Локальные пользователи и группы, а затем узел группы.
В центральной области щелкните правой кнопкой мыши элемент Администраторы, выберите команду Добавить в группу, а затем нажмите кнопку добавить.
В разделе Введите имена объектов для выборавведите имя учетной записи пользователя, созданной или полученной на шаге 1. При появлении запроса введите имя учетной записи и пароль с достаточными разрешениями для этого действия. Затем нажмите кнопку ОК.
Повторите эти действия на каждом сервере, который будет узлом отказоустойчивого кластера.
Эти действия необходимо повторить на всех серверах, которые будут узлами в кластере.
Если учетная запись, созданная или полученная на шаге 1, является учетной записью администратора домена, пропустите оставшуюся часть этой процедуры. В противном случае предоставьте учетной записи разрешения на Создание объектов компьютеров и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене.
На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
Щелкните правой кнопкой мыши контейнер Компьютеры по умолчанию или контейнер по умолчанию, в котором создаются учетные записи компьютеров в домене, а затем нажмите кнопку свойства. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.
На вкладке Безопасность нажмите кнопку Дополнительно.
Нажмите кнопку Добавить, введите имя учетной записи, созданной или полученной на шаге 1, а затем нажмите кнопку ОК.
В диалоговом окне запись разрешения дляконтейнера выберите разрешения Создание объектов компьютера и чтение всех свойств и убедитесь, что флажок Разрешить установлен для каждого из них.
.gif "Учетная запись active directory что это. Смотреть фото Учетная запись active directory что это. Смотреть картинку Учетная запись active directory что это. Картинка про Учетная запись active directory что это. Фото Учетная запись active directory что это")
Действия по предварительной настройке учетной записи имени кластера
Обычно проще, если вы не предготовите учетную запись имени кластера, а вместо этого разрешаете создание и настройку учетной записи автоматически при запуске мастера создания кластера. Однако, если необходимо предварительно подготовить учетную запись имени кластера из-за требований в Организации, используйте следующую процедуру.
Предварительная настройка учетной записи имени кластера
Убедитесь, что известно имя кластера, и имя учетной записи пользователя, которая будет использоваться пользователем, создавшим кластер. (Обратите внимание, что для выполнения этой процедуры можно использовать эту учетную запись.)
На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
В дереве консоли щелкните правой кнопкой мыши Компьютеры или контейнер по умолчанию, в котором создаются учетные записи компьютеров в вашем домене. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.
Введите имя, которое будет использоваться для отказоустойчивого кластера, иными словами, имя кластера, которое будет указано в мастере создания кластера, и нажмите кнопку ОК.
Щелкните только что созданную учетную запись правой кнопкой мыши и выберите пункт Отключить учетнуюзапись. Если будет предложено подтвердить выбор, нажмите кнопку Да.
Учетная запись должна быть отключена, чтобы при запуске мастера создания кластера можно было убедиться, что учетная запись, которая будет использоваться для кластера, в настоящее время не используется существующим компьютером или кластером в домене.
Щелкните правой кнопкой мыши папку, которую вы щелкнули на шаге 3 правой кнопкой мыши, и выберите пункт Свойства.
На вкладке Безопасность нажмите кнопку Дополнительно.
В диалоговом окне запись разрешения выберите разрешения Создание объектов компьютера и чтение всех свойств и убедитесь, что флажок Разрешить установлен для каждого из них.
.gif "Учетная запись active directory что это. Смотреть фото Учетная запись active directory что это. Смотреть картинку Учетная запись active directory что это. Картинка про Учетная запись active directory что это. Фото Учетная запись active directory что это")
Если вы используете ту же учетную запись для выполнения этой процедуры, которая будет использоваться для создания кластера, пропустите оставшиеся шаги. В противном случае необходимо настроить разрешения таким образом, чтобы учетная запись пользователя, которая будет использоваться для создания кластера, полностью могла управлять только что созданной учетной записью компьютера.
Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.
На вкладке Безопасность нажмите кнопку Добавить. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
.gif "Учетная запись active directory что это. Смотреть фото Учетная запись active directory что это. Смотреть картинку Учетная запись active directory что это. Картинка про Учетная запись active directory что это. Фото Учетная запись active directory что это")
Действия по предварительной настройке учетной записи для кластеризованной службы или приложения
Обычно проще, если вы не выполняете предварительную настройку учетной записи компьютера для кластеризованной службы или приложения, а вместо этого разрешаете создавать и настраивать учетную запись автоматически при запуске мастера высокой доступности. Однако, если требуется предварительная настройка учетных записей из-за требований в Организации, используйте следующую процедуру.
Предварительная настройка учетной записи для кластеризованной службы или приложения
Убедитесь, что известно имя кластера и имя, которое будет иметь кластерная служба или приложение.
На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
В дереве консоли щелкните правой кнопкой мыши Компьютеры или контейнер по умолчанию, в котором создаются учетные записи компьютеров в вашем домене. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.
Введите имя, которое будет использоваться для кластеризованной службы или приложения, а затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.
На вкладке Безопасность нажмите кнопку Добавить.
.gif "Учетная запись active directory что это. Смотреть фото Учетная запись active directory что это. Смотреть картинку Учетная запись active directory что это. Картинка про Учетная запись active directory что это. Фото Учетная запись active directory что это")
Действия по устранению неполадок, связанных с учетными записями, используемыми кластером
Как описано ранее в этом разделе, при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отказоустойчивого кластера создают необходимые учетные записи Active Directory и предоставляют им правильные разрешения. Если нужная учетная запись удаляется или изменяются необходимые разрешения, могут возникнуть проблемы. В следующих подразделах приведены шаги по устранению этих проблем.
Действия по устранению неполадок с паролями в учетной записи имени кластера
Эта процедура используется, если имеется сообщение о событии объектов-компьютеров или об удостоверении кластера, включающем следующий текст. Обратите внимание, что этот текст будет находиться в сообщении о событии, а не в начале сообщения о событии:
Logon failure: unknown user name or bad password.
Сообщения о событиях, соответствующие предыдущему описанию, указывают на то, что пароль для учетной записи имени кластера и соответствующий пароль, хранящиеся в программном обеспечении для кластеризации, больше не совпадают.
Сведения о том, как обеспечить наличие у администраторов кластера правильных разрешений для выполнения следующей процедуры по мере необходимости, см. в разделе Планирование предварительной настройки для сброса пароля и других способов обслуживания учетных записей ранее в этом руководством.
Устранение неполадок с паролем в учетной записи имени кластера
Чтобы открыть оснастку управления отказоустойчивыми кластерами, нажмите кнопку Пуск, выберите пункт Администрирование, после чего щелкните Управление отказоустойчивыми кластерами. (При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.)
Если в оснастке «Управление отказоустойчивым кластером» не отображается кластер, который требуется настроить, щелкните правой кнопкой мыши элемент Управление отказоустойчивыми кластерами в дереве консоли, выберите в меню пункт Управление кластером, а затем выберите или укажите требуемый кластер.
В центральной области разверните Ресурсы ядра кластера.
В разделе Имя кластера щелкните правой кнопкой мыши элемент Имя, наведите указатель мыши на Дополнительные действия и выберите Восстановить объект Active Directory.
Действия по устранению неполадок, вызванных изменениями в учетных записях Active Directory, связанных с кластером
Устранение неполадок, вызванных изменениями в учетных записях Active Directory, связанных с кластером
На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
Разверните контейнер Компьютеры по умолчанию или папку, в которой находится учетная запись имени кластера (учетная запись компьютера для кластера). Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.
Проверьте значок учетной записи имени кластера. Она не должна иметь направленной вниз стрелки, то есть учетная запись не должна быть отключена. Если она отключена, щелкните ее правой кнопкой мыши и найдите команду включить учетную запись. Если вы видите команду, щелкните ее.
Щелкните правой кнопкой мыши контейнер Компьютеры по умолчанию или папку, в которой находится учетная запись имени кластера.
Нажмите кнопку Свойства.
На вкладке Безопасность нажмите кнопку Дополнительно.
В списке учетных записей с разрешениями выберите учетную запись имя кластера и нажмите кнопку изменить.
Если учетная запись имени кластера отсутствует в списке, нажмите кнопку Добавить и добавьте ее в список.
Проверьте политики домена (консультации с администратором домена, если это применимо), связанные с созданием учетных записей компьютеров (объектов). Убедитесь, что учетная запись имени кластера может создавать учетную запись компьютера каждый раз при настройке кластеризованной службы или приложения. Например, если администратор домена настроил параметры, которые приводят к созданию всех новых учетных записей компьютеров в специализированном контейнере, а не в контейнере компьютеров по умолчанию, убедитесь, что эти параметры позволяют учетной записи имени кластера создавать новые учетные записи компьютеров в этом контейнере.
Разверните контейнер Компьютеры по умолчанию или контейнер, в котором находится учетная запись компьютера для одной из кластеризованных служб или приложений.
Щелкните правой кнопкой мыши учетную запись компьютера для одной из кластеризованных служб или приложений и выберите пункт Свойства.
На вкладке Безопасность убедитесь, что учетная запись имени кластера указана в списке учетных записей, имеющих разрешения, и выберите ее. Убедитесь, что учетная запись имени кластера имеет разрешение полный доступ (флажок Разрешить установлен). В противном случае добавьте учетную запись имени кластера в список и предоставьте ей разрешение полный доступ.
Повторите шаги 13-14 для каждой кластеризованной службы и приложения, настроенного в кластере.
Убедитесь, что квота на уровне домена для создания объектов-компьютеров (по умолчанию 10) не достигнута (консультации с администратором домена, если это применимо). Если предыдущие элементы в этой процедуре были проверены и исправлены, и если квота достигнута, попробуйте увеличить квоту. Чтобы изменить квоту, сделайте следующее:
Откройте командную строку от имени администратора и запустите ADSIEdit. msc.
щелкните правой кнопкой мыши элемент ADSI Edit, выберите пункт Подключение, а затем нажмите кнопку ок. Контекст именования по умолчанию добавляется в дерево консоли.
Дважды щелкните контекст именования по умолчанию, щелкните правой кнопкой мыши объект домена под ним и выберите пункт свойства.
Прокрутите до пункта MS-DS-мачинеаккаунткуота, выберите его, щелкните изменить, измените значение и нажмите кнопку ОК.
применимо к: Windows Server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 r2, Windows Server 2012, Windows server 2008 R2, Windows Server 2008, Azure Stack хЦи, версии 21H2 и 20H2
в Windows Server при создании отказоустойчивого кластера и настройке кластеризованных служб или приложений мастера отказоустойчивого кластера создают необходимые Active Directory учетные записи компьютеров (также называемые объектами компьютеров) и предоставляют им определенные разрешения. Мастера создают учетную запись компьютера для самого кластера (Эта учетная запись также называется объектом имени кластера или CNO) и учетная запись компьютера для большинства типов кластерных служб и приложений, но это исключение является виртуальной машиной Hyper-V. Разрешения для этих учетных записей устанавливаются автоматически мастерами отказоустойчивого кластера. Если разрешения изменены, их необходимо изменить в соответствии с требованиями к кластеру. В этом руководстве описываются эти Active Directory учетные записи и разрешения, приводятся общие сведения о том, почему они важны, и описываются действия по настройке учетных записей и управлению ими.
Общие сведения об учетных записях Active Directory, необходимых для отказоустойчивого кластера
В этом разделе описаны учетные записи Active Directory компьютеров (также называемые Active Directory объектами компьютеров), которые важны для отказоустойчивого кластера. Это следующие учетные записи:
Учетная запись пользователя, используемая для создания кластера. Это учетная запись пользователя, используемая для запуска мастера создания кластера. Учетная запись важна, так как она обеспечивает базис, с помощью которого учетная запись компьютера создается для самого кластера.
Учетная запись имени кластера. (учетная запись компьютера самого кластера, также называемая объектом имени кластера или CNO). Эта учетная запись автоматически создается мастером создания кластера и имеет то же имя, что и кластер. Учетная запись имени кластера очень важна, так как с помощью этой учетной записи другие учетные записи автоматически создаются при настройке новых служб и приложений в кластере. Если учетная запись имени кластера удалена или из нее отправляются разрешения, другие учетные записи не могут быть созданы по мере необходимости в кластере, пока не будет восстановлена учетная запись имени кластера или не будут заменены правильные разрешения.
Например, если вы создаете кластер с именем Cluster1 и попытаетесь настроить кластеризованный сервер печати под названием PrintServer1 в кластере, учетной записи Cluster1 в Active Directory потребуется хранить правильные разрешения, чтобы ее можно было использовать для создания учетной записи компьютера с именем PrintServer1.
Учетная запись имени кластера создается в контейнере по умолчанию для учетных записей компьютеров в Active Directory. По умолчанию это контейнер «Computers», но администратор домена может перенаправить его в другой контейнер или подразделение (OU).
Учетная запись компьютера (объект-компьютер) кластеризованной службы или приложения. Эти учетные записи автоматически создаются мастером высокой доступности в процессе создания большинства типов кластерных служб или приложений, но это исключение является виртуальной машиной Hyper-V. Учетной записи имени кластера предоставляются необходимые разрешения для управления этими учетными записями.
Например, если имеется кластер с именем Cluster1, а затем создается кластеризованный файловый сервер с именем FileServer1, то мастер высокой доступности создает Active Directory учетную запись компьютера с именем FileServer1. Мастер высокой доступности также предоставляет учетной записи Cluster1 необходимые разрешения для управления учетной записью FileServer1.
В следующей таблице описаны разрешения, необходимые для этих учетных записей.