locked
MSFCでファイルサーバーの追加後にネットワーク名のリソースのみ失敗する RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    初めまして。

    現在、Windows Server 2008 Enterprise x64 を2台用意し、MSFCを構成して、ファイルサーバを導入する検証作業を行っております。

    構築するなかで、クラスターグループの作成までは問題なくすすむのですが、
    ファイルサーバーの追加後、ネットワーク名リソースが失敗する状態になります。
    AD上でもファイルサーバー用のコンピュータオブジェクトが作成されない状態です。

     

    構築の手順です。

    下記の情報を参考にMSFCを設定するためのアカウントとしてDomain Users にたとえば
    "ClusterUser"というユーザーを作成し、各クラスタノードのローカルのAdministratorsグループに
    ClusterUserも加えました。

    http://technet.microsoft.com/ja-jp/library/dd197454(WS.10).aspx

    さらに、ClusterUserに対してADから"コンピュータオブジェクトの作成"と"すべてのプロパティの読み取りアクセス権限"の
    付与も行いました。

    この手順は

    ADの"管理ツール" -> "Active Directory ユーザーとコンピュータ" -> 左ペインのドメイン名のツリー -> 
    Computersを右クリック -> "制御の委任" -> "選択されたユーザーとグループ"にClusterUserを追加 ->
    "委任するカスタム タスクを作成する" -> "このフォルダ、このフォルダ内の既存のオブジェクト・・・" ->
    "これらのアクセス許可を表示します"にて"全般"と"プロパティ固有"と"特定の子オブジェクトの作成または削除"を選択->
    "すべてのプロパティの読み取り"と"コンピュータ オブジェクトの作成"を選択(プロパティの読み取りを選択すると付随して、
    ほかの要素もチェックされるのでそのままチェック)

    上記の手順でクラスター管理アカウントに設定を行いました。

     

    わかっている回避策です。

    ADにて、Computersに対して、上記のようにクラスタ管理ユーザーに対して行った権限の委任を
    クラスタグループのコンピュータオブジェクトに対しても行うと、ファイルサーバーのコンピュータオブジェクトも
    作成され、問題なく構築が完了します。

     

    クラスター管理ユーザーにのみComputersの権限の委任をすれば良いと考えていたのですが、
    このほかに、Computersに対してクラスターグループのコンピュータオブジェクトにも権限の委任を
    することが必須なのでしょうか。

    よろしくお願いいたします。

     

    [環境]

    AD: Windows Server 2008 Standard x64 SP2
    クラスタノード x2 : Windows Server 2008 Enterprise x64 SP2

     

     

     

    2011年3月13日 6:26

回答

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    今、手元に環境がなく実際に確認はできないのですが、下記の情報を見ますと CNO はコンピュータ オブジェクトを作成するための権限が必要なようです。

    - 参考情報
    Windows Server 2008 フェールオーバー クラスタリングの概要
    http://technet.microsoft.com/ja-jp/magazine/2008.07.failover.aspx
    (「セキュリティ機能の強化」 を参照してください)

    --- 抜粋 ---
    クラスタのセキュリティ機能はクラスタ名オブジェクト (CNO) に移行されました。CNO は、クラスタを最初に作成したとき、既定では Active DirectoryR の Computers コンテナ内に作成されるコンピュータ オブジェクトです。クラスタが正常に作成され、Active Directory 内に CNO が存在していれば、クラスタのインストールと構成に使用したユーザー アカウントを残しておく必要はなくなりました。
    (略)
    CNO は、自身が作成したすべての VCO についてドメイン パスワードの同期も行います。このプロセスは、パスワードのローテーションに関する構成済みのドメイン ポリシーに従って実行されます。また、CNO (コンピュータ アカウント) は、クラスタ内の VCO に関連付けられたすべてのコンピュータ オブジェクトの作成を行うため、VCO が作成されたコンテナ (既定では Computers コンテナ) 上にコンピュータ オブジェクトを作成するためのドメイン レベルの権限を保有している必要があります。
    ------------


    念のために、下記 KB947049 に記載された内容を確認してください。
    (行われた手順を最初から見直してみてください)

    - - 参考情報
    Windows Server 2008 フェールオーバー クラスターのセキュリティ モデルの説明
    http://support.microsoft.com/kb/947049

    --- 抜粋 ---
    メモ  AD DS にはクラスター ネットワーク名リソースに対応するコンピューター アカウントを pre-staged ことができます。 コンピューター アカウントが、ことができますコンピューター コンテナー以外のコンテナーに pre-staged は。 で、CNO をプレステージ コンピューター アカウントを設定する、クラスターを作成する前にこのコンピューター アカウントに無効にする必要があります。 このコンピューター アカウントを無効にしない場合、クラスターの作成プロセスは失敗します。
    ------------
    (少し日本語がおかしいので英語の情報を見てもらいたいのですが、、、"pre-staged" とは "事前準備された" といった意味と思われます)

     

    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年3月24日 2:54
    2011年3月17日 8:01

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    追記いたします。

    ためしに Windows  Server 2003 Std x86 にてADを構築し、
    クラスタ管理ユーザーにのみ"すべてのプロパティの読み取り"と"コンピュータ オブジェクトの作成"を付与して
    クラスタグループの作成、ファイルサーバーの作成を行ったところ、問題なく作成できました。

    Win2008のADもWin2003のADもほぼ既定の設定でたててますが、
    おそらくWin2008のADではクラスタグループのコンピュータオブジェクトに対しても
    権限の委任という手順が必要なのかもしれないです。


    2011年3月13日 7:36
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    今、手元に環境がなく実際に確認はできないのですが、下記の情報を見ますと CNO はコンピュータ オブジェクトを作成するための権限が必要なようです。

    - 参考情報
    Windows Server 2008 フェールオーバー クラスタリングの概要
    http://technet.microsoft.com/ja-jp/magazine/2008.07.failover.aspx
    (「セキュリティ機能の強化」 を参照してください)

    --- 抜粋 ---
    クラスタのセキュリティ機能はクラスタ名オブジェクト (CNO) に移行されました。CNO は、クラスタを最初に作成したとき、既定では Active DirectoryR の Computers コンテナ内に作成されるコンピュータ オブジェクトです。クラスタが正常に作成され、Active Directory 内に CNO が存在していれば、クラスタのインストールと構成に使用したユーザー アカウントを残しておく必要はなくなりました。
    (略)
    CNO は、自身が作成したすべての VCO についてドメイン パスワードの同期も行います。このプロセスは、パスワードのローテーションに関する構成済みのドメイン ポリシーに従って実行されます。また、CNO (コンピュータ アカウント) は、クラスタ内の VCO に関連付けられたすべてのコンピュータ オブジェクトの作成を行うため、VCO が作成されたコンテナ (既定では Computers コンテナ) 上にコンピュータ オブジェクトを作成するためのドメイン レベルの権限を保有している必要があります。
    ------------


    念のために、下記 KB947049 に記載された内容を確認してください。
    (行われた手順を最初から見直してみてください)

    - - 参考情報
    Windows Server 2008 フェールオーバー クラスターのセキュリティ モデルの説明
    http://support.microsoft.com/kb/947049

    --- 抜粋 ---
    メモ  AD DS にはクラスター ネットワーク名リソースに対応するコンピューター アカウントを pre-staged ことができます。 コンピューター アカウントが、ことができますコンピューター コンテナー以外のコンテナーに pre-staged は。 で、CNO をプレステージ コンピューター アカウントを設定する、クラスターを作成する前にこのコンピューター アカウントに無効にする必要があります。 このコンピューター アカウントを無効にしない場合、クラスターの作成プロセスは失敗します。
    ------------
    (少し日本語がおかしいので英語の情報を見てもらいたいのですが、、、"pre-staged" とは "事前準備された" といった意味と思われます)

     

    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年3月24日 2:54
    2011年3月17日 8:01
  • Question
    サインインして投票
    0
    サインインして投票

    coni524 さん、

    こんにちは。
    フォーラム オペレーターの服部清次です。

    coni524 さんがこちらの質問を投稿されてから少し経ちましたが、
    弊社の三沢健二が紹介しましたリンク情報はご確認いただけましたでしょうか?

    今回、1つの参考情報として弊社の三沢の回答を役立てていただけるのではないかと思いましたので、
    勝手ながら、私の方でひとまず [回答としてマーク] させていただきました。

    また何か困ったことなどがありましたら、ぜひ TechNet フォーラムをご活用ください。
    今後ともよろしくお願いします!
    それでは、また。


    __________________________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2011年3月24日 2:56