Поделиться через

Настройка учетных записей кластера в Active Directory

Учетные записи кластера в Active Directory (AD) важны для безопасной и надежной работы отказоустойчивых кластеров Windows Server. Эти учетные записи, включая учетную запись имени кластера и учетные записи для кластеризованных служб или приложений, позволяют кластерам взаимодействовать с ресурсами домена, выполнять проверку подлинности и управлять разрешениями. Правильная настройка этих учетных записей гарантирует, что кластеры можно создавать, управлять и поддерживать в соответствии с политиками безопасности организации и рекомендациями.

Предпосылки

Роль служб доменов Active Directory должна быть установлена на вашем устройстве. Дополнительные сведения см. в статье "Добавление и удаление ролей и компонентов" в Windows Server.

Учетная запись, используемая пользователем, устанавливающего кластер, важна, так как она используется для создания учетной записи компьютера для кластера во время установки. В зависимости от вашего сценария требуются следующие действия.

  • Учетная запись домена: если вы отвечаете за создание учетной записи кластера в AD и назначение необходимых разрешений, необходимо иметь права на уровне домена. Вы должны быть членом группы "Администраторы домена" или " Операторы учетных записей " или иметь эквивалентные разрешения.

  • Назначение локальных разрешений. Если учетная запись кластера уже создана в AD другим пользователем, а задача — добавить эту учетную запись в локальную группу администраторов на каждом сервере кластера, на каждом сервере кластера требуются только права администратора на этих серверах. На каждом сервере необходимо быть членом локальной группы администраторов .

Настройка учетной записи кластера

Создайте или получите учетную запись домена для пользователя, который установит кластер. Эта учетная запись может быть стандартной учетной записью пользователя домена или учетной записью операторов учетных записей . Если вы используете стандартную учетную запись пользователя, вам потребуется предоставить дополнительные разрешения позже в этом процессе. Если созданная или полученная учетная запись не входит в группу локальных администраторов на компьютерах домена, выполните следующие действия, чтобы добавить ее в локальную группу администраторов на каждом сервере, который становится частью отказоустойчивого кластера:

  1. В диспетчере серверов выберите "Сервис", а затем выберите "Управление компьютерами".

  2. В левой области в разделе "Системные инструменты" разверните "Локальные пользователи и группы", а затем разверните "Группы".

  3. В центральной области щелкните правой кнопкой мыши "Администраторы", выберите "Добавить в группу", а затем нажмите кнопку "Добавить".

  4. В разделе "Введите имена объектов для выбора поля", введите или найдите имя созданной или полученной учетной записи пользователя. Если появится запрос, введите учетные данные и нажмите кнопку "ОК".

Повторите эти действия на каждом сервере, который становится узлом в отказоустойчивом кластере.

Это важно

Эти действия должны повторяться на всех серверах, которые становятся узлами в кластере.

Если ваша учетная запись является администратором домена, можно пропустить следующие действия. В противном случае необходимо предоставить учетной записи разрешения на создание объектов компьютера и чтение всех свойств в контейнере учетных записей компьютера домена, выполнив следующие действия на контроллере домена (DC):

  1. В диспетчере серверов выберите "Сервис", а затем выберите "Пользователи и компьютеры Active Directory".

  2. Перейдите на вкладку "Вид ", а затем выберите "Дополнительные функции".

  3. В левой области разверните домен, щелкните правой кнопкой мыши компьютеры и выберите пункт "Свойства".

  4. Перейдите на вкладку "Безопасность ", а затем нажмите кнопку "Дополнительно".

  5. Нажмите кнопку "Добавить", выберите "Выбрать участника", введите или найдите имя учетной записи, а затем нажмите кнопку "ОК".

  6. В разделе "Разрешения" выберите "Создать объекты компьютера". В разделе "Свойства" выберите "Чтение всех свойств". Затем нажмите кнопку "ОК".

  7. Нажмите кнопку "ОК ", чтобы закрыть окно "Дополнительные параметры безопасности ", а затем снова нажмите кнопку "ОК ".

Подготовьте учетную запись имени кластера

Если политики организации требуют предварительной подготовки учетной записи имени кластера, выполните указанные ниже действия. В противном случае можно разрешить мастеру создания кластера автоматически создавать и настраивать учетную запись во время настройки кластера. Перед началом работы убедитесь, что у вас есть имя кластера и учетная запись пользователя, которая будет использоваться для создания кластера. Эту учетную запись можно использовать для выполнения предварительных действий.

  1. На сервере домена выберите "Пуск", далее выберите "Административные инструменты", а затем выберите "Пользователи и компьютеры Active Directory".

  2. В левой области щелкните правой кнопкой мыши "Компьютеры", а затем выберите "Новый>компьютер".

  3. Введите имя, которое вы намерены использовать для отказоустойчивого кластера. Это имя кластера, введенное в мастере создания кластера, нажмите кнопку "ОК".

  4. Щелкните правой кнопкой мыши созданную учетную запись, а затем выберите "Отключить учетную запись". Если появится запрос на подтверждение выбора, нажмите кнопку "Да", а затем нажмите кнопку "ОК".

    Отключение учетной записи гарантирует, что мастер создания кластера может проверить, что учетная запись еще не назначена другому компьютеру или кластеру в домене, прежде чем продолжить.

  5. Выберите вкладку "Вид ", убедитесь, что выбраны дополнительные функции . Если нет, выберите его.

  6. Щелкните правой кнопкой мыши компьютеры, выберите "Свойства", перейдите на вкладку "Безопасность ", а затем выберите "Дополнительно".

  7. Выберите "Добавить", выберите субъект, выберите "Типы объектов " и убедитесь, что выбраны компьютеры . Затем нажмите кнопку "ОК".

  8. В разделе "Введите имя объекта для выбора", введите или найдите имя созданной учетной записи компьютера, а затем нажмите кнопку "ОК".

  9. В сообщении системы безопасности отображается уведомление о добавлении отключенного объекта. Нажмите ОК.

  10. В разделе "Разрешения" выберите "Создать объекты компьютера". В разделе "Свойства" выберите "Чтение всех свойств". Нажмите кнопку ОК, а затем еще раз нажмите кнопку ОК .

Если вы используете ту же учетную запись для создания кластера и выполните эту процедуру, можно пропустить следующие действия. В противном случае убедитесь, что учетная запись пользователя, назначенная для создания кластера, имеет разрешения на полный контроль в созданной учетной записи компьютера:

  1. На вкладке " Пользователи и компьютеры Active Directory" выберите вкладку "Вид ". Убедитесь, что выбраны дополнительные функции . Если нет, выберите его.

  2. В левой области выберите "Компьютеры". Щелкните правой кнопкой мыши созданную учетную запись компьютера и выберите пункт "Свойства".

  3. Выберите вкладку "Безопасность" , выберите " Добавить", выберите "Типы объектов " и убедитесь, что выбраны компьютеры . Затем нажмите кнопку "ОК".

  4. В разделе "Введите имя объекта" для выбора, введите или найдите имя учетной записи компьютера, а затем нажмите кнопку "ОК".

  5. Убедитесь, что выбрана только что добавленная учетная запись пользователя. В разделе "Разрешения для учетной записи" нажмите кнопку "Полный доступ", а затем нажмите кнопку "ОК".

Подготовка учетной записи для кластеризованной службы или приложения (необязательно)

Для большинства сценариев проще позволить мастеру высокой доступности автоматически создавать и настраивать учетную запись во время установки. Если политики вашей организации требуют предварительной подготовки, выполните следующие действия.

Убедитесь, что вы знаете имя кластера и имя, которое будет иметь кластеризованная служба или приложение.

  1. На контроллере домена в Диспетчере серверов выберите Инструменты, а затем выберите Пользователи и компьютеры Active Directory.

  2. В левой области щелкните правой кнопкой мыши " Компьютеры" и выберите "Создать>компьютер".

  3. Введите имя, которое будет использоваться для кластеризованной службы или приложения, а затем нажмите кнопку "ОК".

  4. Выберите вкладку "Вид ". Убедитесь, что выбраны дополнительные функции . Если нет, выберите его.

  5. Щелкните правой кнопкой мыши созданную учетную запись компьютера, выберите "Свойства", перейдите на вкладку "Безопасность ", а затем нажмите кнопку "Добавить".

  6. Выберите типы объектов и убедитесь, что выбраны компьютеры . Затем нажмите кнопку "ОК".

  7. В разделе "Введите имя объекта, чтобы выбрать", введите учетную запись имени кластера, а затем нажмите кнопку "ОК".

  8. Убедитесь, что выбрана учетная запись имени кластера, нажмите кнопку "Полный элемент управления", а затем нажмите кнопку "ОК".

См. также