Usuario
Error al crear un cluster para Hyper-V

Debate general
-
Buenas tardes, esto tratando de montar un cluster Hyper V
Tengo 4 servidores y una cabina por fibra, el caso es que los test los pasa pero al ir a crearla, me da un error , veo que es por permisos , pero es que estoy haciéndolo con el administrador así que no se, si me dais una pista
este es el error:
Error al agregar permisos especiales al objeto de equipo. Error al intentar agregar permisos 'Acceso total' para la entidad de seguridad S-1-5-21-1132633641-1278989476-2950679697-500 al objeto de equipo CN=VIRTUALCL,CN=Computers,DC=empresa,DC=org. Compruebe que el usuario que ejecuta la creación del clúster tenga permisos para actualizar el objeto de equipo en Servicios de dominio de Active Directory. El parámetro no es correcto
Todos lo servidores son 2012 R2 Datacenter y el dominio 2008 R2
Oscar Fernandez
Todas las respuestas
-
-
Hola Oscar,
Creo que estás teniendo problemas con la cuenta que creaste el computer object del cluster. Mira estos pasos previos https://technet.microsoft.com/en-us/library/cc731002%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3
El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn -
Hola Oscar,
para intentar ayudarte me gustaría hacerte unas preguntas:
- ¿Los host están en dominio?
- ¿Puede ser que estés accediendo con el usuario administrador local de la máquina o credenciales cacheadas por algún error de comunicación con el DC?
Recibe un saludo.
-
-
-
El procedimiento lo debes hacer con una cuenta con privilegios sobre el objeto cluster (computer) el problema lo tienes en tu propia infraestructura y en los permisos. En teoría con el administrador de dominio debes hacerlo de sobra ...Y si es con otra cuenta debes haber delegado sobre el objeto cluster los permisos que aparecen en la documentación.
Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3
El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn -
Si he seguido el procedimiento a mano, he creado los objetos y aplicado la seguridad sobre ellos, pero cuando lanzo el asistente falla con el error anterior, creo que algo a pasado con la seguridad en el dominio, conoces algun sistema para volver a desplegar esa seguridad? es decir volver a aplicar los permisos en el AD?
Oscar Fernandez
-
En la OU en la pestaña seguridad / Permisos abajo a la derecha tienes un botón que se llama Restaurar Valores Prdeterminados ... pero has de tener mucho cuidado con eso, puedes provocar que otras cosas que funcionan dejen de hacerlo.
Por otra parte supongo que la cuenta que utilizas es miembro de los Admins del Dominio..
Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3
El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn -
-
Hola de nuevo,
a lo mejor se podría hacer un workaround para que manipules los permisos de la OU de manera aislada.
- La cuenta de cluster se crea en el contenedor de máquinas por defecto:
- Si cambias temporalmente el contenedor de objetos máquina por defecto a una OU nueva que puedas manipular podrías ejecutar los cambios en los permisos sin afectar al resto de objetos del contenedor Computers
- Log on with Domain Administrator credentials in the domain where the CN=computers container is being redirected.
- Transition the domain to the Windows Server 2003 domain in the Active Directory Users and Computers snap-in (Dsa.msc) or in the Domains and Trusts (Domains.msc) snap-in. For more information about increasing the domain functional
level, click the following article number to view the article in the Microsoft Knowledge Base:
322692 How to raise domain and forest functional levels in Windows Server 2003
- Create the organizational unit container where you want computers that are created with earlier-version APIs to be located, if the desired organizational unit container does not already exist.
- Run the Redircmp.exe file at a command prompt by using the following syntax, where <var style="margin:0px;padding:0px;box-sizing:border-box;">container-dn</var> is
the distinguished name of the organizational unit that will become the default location for newly created computer objects that are created by down-level APIs:
redircmp <var style="margin:0px;padding:0px;box-sizing:border-box;">container-dn </var>container-dnRedircmp.exe is installed in the %Systemroot%\System32 folder on Windows Server 2003-based or newer computers. For example, to change the default location for a computer that is created with earlier-version APIs such as Net User to the OU=mycomputers container in the CONTOSO.COM domain, use the following syntax:C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
https://support.microsoft.com/en-us/kb/324949?wa=wsignin1.0
No se si encaja el poder hacer esto en tu escenario pero espero que te genere alguna idea.
Un saludo!
The cluster name account is created in the default container for computer accounts in Active Directory. By default this is the “Computers” container, but the domain administrator can choose to redirect it to another container or organizational unit (OU). https://technet.microsoft.com/en-us/library/cc731002(v=ws.10).aspx
Redirecting CN=Computers to an administrator-specified organizational unit
-
-
-
-
Con un get-aduser sobre tu usuario te será fácil saber si ese SID corresponde con el prefijo de tu dominio. Así al menos sabrás si se trata de un usuario borrado de tu dominio o de otro.
Puedes usar las opciones avanzadas para rascar la superficie e intentar averiguar cómo están afectando esos permisos de denegación.
Por otra parte existe la posibilidad del workaround (siento el formato, mejor verlo por los enlaces). Habría que ver que el cambio del contenedor por defecto (redircmp) no afecte a otros servicios aunque, en el peor de los casos, se puede volver atrás y dejarlo donde estaba.
Un saludo.
-
-
-
-
-