none
Проблема с MS Cluster Service 2012 RRS feed

  • Вопрос

  • Привет. Есть такая проблема. Некоторое время назад ставили в одном учреждении файл кластер. Всё работало всё протестировали и ушли. Сейчас звонят-появилась такая проблема:

    Когда пытаемся добавить ресурс к кластеру пишет ошибку и не может создать аккаунт этого ресурса в Active Directory. Сервера Windows 2012 Standard, общий ресурс на HP 3PAR. В свойствах Cluster Name пишется ошибка Kerberos Handle Invalid. Подозреваю что отсюда надо начинать копать. Права перепроверили, всё в порядке. Аккаунт ресетить боимся чтобы кластер не пришлось бы пересобирать. В какую сторону копать-может кто уже сталкивался с этим? Спасибо...

    17 июля 2013 г. 13:13

Ответы

  • Попробуйте установить исправление, описанное в KB2838043.


    This hotfix prevents an error when accessing resources hosted on a Windows 8-based or Windows Server 2012-based failover cluster from a Windows XP-based or Windows Server 2003-based client computer.

    It also resolves an Event ID 1196 with error The handle is invalid when the cluster network name resource fails to come online and register in DNS. Available for individual download.
    • Изменено Denis DyagilevEditor 17 июля 2013 г. 16:03 Добавление цитаты
    • Помечено в качестве ответа AndricoRusModerator 21 июля 2013 г. 7:59
    17 июля 2013 г. 15:42
    Отвечающий
  • Поставили обновление на одном из серверов, но всё равно не помогло.

    1. Попробуйте увести VCO (объект кластерного имени) в оффлайн и поднять через Repair в его контекстном меню - не помогло? - Это не пытались попробовать так как боимся что то что работает тоже слетит.

    Что можно еще попробовать?

    Вам придётся это сделать. И данное обновление просто-таки требует это сделать - это связано с генерацией хэша паролей, как минимум аффектит RC4-HMAC. Сделав Repair VCO - пароли кластерной учётки синхронизируются с AD в том числе.

    Active Directory? Ask me how.

    • Помечено в качестве ответа alexey1987 21 июля 2013 г. 7:56
    18 июля 2013 г. 10:13
    Модератор
  • ТО есть имеете ввиду из з истечения пароля аккаунта сервиса кластера? Думаю что после установки вышеуказанного апдейта данное не повторится опять через 2 месяца?))
    Именно. До фикса хэш AES генерировался и обрабатывался правильно, а вот RC4 нет. Чаще встречаются с этим на файловых кластерах - мы кейс ещё весной вели на этот счёт, потом тестировали приватный фикс, а недавно его опубликовали для масс - полёт нормальный.

    Active Directory? Ask me how.

    • Помечено в качестве ответа alexey1987 21 июля 2013 г. 19:12
    • Снята пометка об ответе alexey1987 21 июля 2013 г. 19:12
    • Помечено в качестве ответа alexey1987 21 июля 2013 г. 19:12
    21 июля 2013 г. 17:16
    Модератор

Все ответы

  • Привет. Есть такая проблема. Некоторое время назад ставили в одном учреждении файл кластер. Всё работало всё протестировали и ушли. Сейчас звонят-появилась такая проблема:

    Когда пытаемся добавить ресурс к кластеру пишет ошибку и не может создать аккаунт этого ресурса в Active Directory. Сервера Windows 2012 Standard, общий ресурс на HP 3PAR. В свойствах Cluster Name пишется ошибка Kerberos Handle Invalid. Подозреваю что отсюда надо начинать копать. Права перепроверили, всё в порядке. Аккаунт ресетить боимся чтобы кластер не пришлось бы пересобирать. В какую сторону копать-может кто уже сталкивался с этим? Спасибо...

    1. Попробуйте увести VCO (объект кластерного имени) в оффлайн и поднять через Repair в его контекстном меню - не помогло?

    2. Если создать для ресурса учётную запись в AD предварительно, дав права кластерной учётке на неё - не помогло?


    Active Directory? Ask me how.

    17 июля 2013 г. 13:22
    Модератор
  • Попробуйте установить исправление, описанное в KB2838043.


    This hotfix prevents an error when accessing resources hosted on a Windows 8-based or Windows Server 2012-based failover cluster from a Windows XP-based or Windows Server 2003-based client computer.

    It also resolves an Event ID 1196 with error The handle is invalid when the cluster network name resource fails to come online and register in DNS. Available for individual download.
    • Изменено Denis DyagilevEditor 17 июля 2013 г. 16:03 Добавление цитаты
    • Помечено в качестве ответа AndricoRusModerator 21 июля 2013 г. 7:59
    17 июля 2013 г. 15:42
    Отвечающий
  • Спасибо за ответы всем. Пре- создание учётки не помогало. Пункт первый завтра попробуем. Исправление тоже поставим, просто странно что ни с того ни с сего такое вот началось(  Попробую и отпишусь Вам.
    17 июля 2013 г. 17:36
  • Поставили обновление на одном из серверов, но всё равно не помогло.

    1. Попробуйте увести VCO (объект кластерного имени) в оффлайн и поднять через Repair в его контекстном меню - не помогло?-Это не пытались попробовать так как боимся что то что работает тоже слетит. Но если ничего другого не поможет то наверно рискнём и это испробуем. Это большая организация и пользователи уже используют файл сервер на кластере.

    Что можно еще попробовать?

    18 июля 2013 г. 10:09
  • Поставили обновление на одном из серверов, но всё равно не помогло.

    1. Попробуйте увести VCO (объект кластерного имени) в оффлайн и поднять через Repair в его контекстном меню - не помогло? - Это не пытались попробовать так как боимся что то что работает тоже слетит.

    Что можно еще попробовать?

    Вам придётся это сделать. И данное обновление просто-таки требует это сделать - это связано с генерацией хэша паролей, как минимум аффектит RC4-HMAC. Сделав Repair VCO - пароли кластерной учётки синхронизируются с AD в том числе.

    Active Directory? Ask me how.

    • Помечено в качестве ответа alexey1987 21 июля 2013 г. 7:56
    18 июля 2013 г. 10:13
    Модератор
  • Спасибо за ответ. ОК в субботу вечером я вместе с их админом будем делать это...По результатам сообщу...Может быть будет еще какая то мысль: выяснилось что перед обозначением проблемы их сисадмин переносил кластерные записи компьютеров и самих кластер нодов с одного OU  в другое. Думаю что это и могло повлиять. Я и раньше хотел попробовать repair но пока нельзя -рабочий кластер. В общем спасибо за ответы и по  результатам отпишусь вам...
    19 июля 2013 г. 13:48
  • Stop cluster service +Repair+Start помогло.Всё заработало! спасибо всем подсказавшим...Не совсем понятно почему такое могло произойти. Наверно связано с перемещением аккаунтов серверов и аккаунта кластерного сервиса в другую OU.Главное чот завелось и апдейты накатали.надеюсь не повторится.Спасибо!
    21 июля 2013 г. 7:56
  • Не совсем понятно почему такое могло произойти. Наверно связано с перемещением аккаунтов серверов и аккаунта кластерного сервиса в другую OU.
    С бОльшей вероятностью это произошло спустя 2 месяца после поднятия ресурсов. OU в данном случае непричём - более, чем уверен.

    Active Directory? Ask me how.

    21 июля 2013 г. 8:02
    Модератор
  • ТО есть имеете ввиду из з истечения пароля аккаунта сервиса кластера? Думаю что после установки вышеуказанного апдейта данное не повторится опять через 2 месяца?))
    21 июля 2013 г. 8:53
  • ТО есть имеете ввиду из з истечения пароля аккаунта сервиса кластера? Думаю что после установки вышеуказанного апдейта данное не повторится опять через 2 месяца?))
    Именно. До фикса хэш AES генерировался и обрабатывался правильно, а вот RC4 нет. Чаще встречаются с этим на файловых кластерах - мы кейс ещё весной вели на этот счёт, потом тестировали приватный фикс, а недавно его опубликовали для масс - полёт нормальный.

    Active Directory? Ask me how.

    • Помечено в качестве ответа alexey1987 21 июля 2013 г. 19:12
    • Снята пометка об ответе alexey1987 21 июля 2013 г. 19:12
    • Помечено в качестве ответа alexey1987 21 июля 2013 г. 19:12
    21 июля 2013 г. 17:16
    Модератор
  • Спасибо Огромное...Вы очень помогли.
    21 июля 2013 г. 19:12