Delen via

Cluster-accounts configureren in Active Directory

Clusteraccounts in Active Directory (AD) zijn essentieel voor de veilige en betrouwbare werking van Windows Server-failoverclusters. Deze accounts, waaronder het clusternaamaccount en accounts voor geclusterde services of toepassingen, maken clusters mogelijk om te communiceren met domeinbronnen, acties te verifiëren en machtigingen te beheren. De juiste configuratie van deze accounts zorgt ervoor dat clusters kunnen worden gemaakt, beheerd en onderhouden in overeenstemming met het beveiligingsbeleid van de organisatie en aanbevolen procedures.

Vereiste voorwaarden

De rol Active Directory Domain Services moet op uw apparaat zijn geïnstalleerd. Zie Functies en onderdelen in Windows Server toevoegen of verwijderen voor meer informatie.

Het account dat wordt gebruikt door de persoon die het cluster installeert, is belangrijk omdat het wordt gebruikt om het computeraccount voor het cluster te maken tijdens de installatie. Het volgende is vereist op basis van uw scenario:

  • Domeinaccount: Als u verantwoordelijk bent voor het maken van het clusteraccount in AD en de benodigde machtigingen toewijst, moet u bevoegdheden op domeinniveau hebben. U moet lid zijn van de groep Domeinadministrators of Accountoperators of gelijkwaardige machtigingen hebben.

  • Lokale machtigingen toewijzen: als het clusteraccount al door iemand anders in AD is gemaakt en uw taak is om dit account toe te voegen aan de lokale groep Administrators op elke clusterserver, hebt u alleen beheerdersrechten op deze servers nodig. U moet lid zijn van de lokale groep Administrators op elke server.

Het clusteraccount configureren

Maak of haal het domeinaccount op voor de persoon die het cluster installeert. Dit account kan een standaard domeingebruikersaccount of een Account Operators zijn. Als u een standaardgebruikersaccount gebruikt, moet u later in dit proces aanvullende machtigingen verlenen. Als het account dat u hebt gemaakt of verkregen, niet automatisch deel uitmaakt van de lokale groep Administrators op domeincomputers, volgt u deze stappen om het toe te voegen aan de lokale groep Administrators op elke server die deel uitmaakt van het failovercluster:

  1. Selecteer Hulpprogramma's in Serverbeheer en selecteer vervolgens Computerbeheer.

  2. Vouw in het linkerdeelvenster onder Systeemhulpprogramma'slokale gebruikers en groepen uit en vouw vervolgens Groepen uit.

  3. Klik in het middelste deelvenster met de rechtermuisknop op Administrators, selecteer Toevoegen aan groep en selecteer Vervolgens Toevoegen.

  4. Typ of zoek in het veld Voer de objectnamen in om te selecteren de naam van het gebruikersaccount dat u hebt gemaakt of gekregen. Als u hierom wordt gevraagd, voert u de referenties in en selecteert u OK.

Herhaal deze stappen op elke server die een knooppunt in het failovercluster worden.

Belangrijk

Deze stappen moeten worden herhaald op alle servers die knooppunten in het cluster worden.

Als uw account een domeinbeheerder is, kunt u de volgende stappen overslaan. Anders moet u het account de machtigingen 'Computerobjecten maken' en 'Alle eigenschappen lezen' geven in de container voor computeraccounts van het domein door deze stappen op de domeincontroller (DC) te volgen:

  1. Selecteer in ServerbeheerderExtraen selecteer vervolgens Active Directory-gebruikers en -computers.

  2. Selecteer het tabblad Weergave en selecteer vervolgens Geavanceerde functies.

  3. Vouw in het linkerdeelvenster uw domein uit, klik met de rechtermuisknop op Computers en selecteer Eigenschappen.

  4. Selecteer het tabblad Security en selecteer vervolgens Advanced.

  5. Selecteer Toevoegen, selecteer Een principal selecteren, typ of zoek de naam van het account en selecteer VERVOLGENS OK.

  6. Onder de sectie Machtigingen, selecteer Computerobjecten maken. "Onder Eigenschappen selecteer Lees alle eigenschappen." Selecteer vervolgens OK.

  7. Selecteer OK om het venster Geavanceerde beveiligingsinstellingen te sluiten en selecteer vervolgens opnieuw OK .

Het clusternaamaccount voorbereiden

Als organisatiebeleid vereist dat u het clusternaamaccount voorbereidt, volgt u de opgegeven stappen. Anders kunt u toestaan dat de wizard Cluster aanmaken het account automatisch aanmaakt en configureert tijdens de clustersetup. Voordat u begint, moet u ervoor zorgen dat u de clusternaam en het gebruikersaccount hebt dat wordt gebruikt om het cluster te maken. U kunt dit account gebruiken om de voorbereidende stappen uit te voeren:

  1. Selecteer start op de domeincontroller, selecteer Systeembeheer en selecteer vervolgens Active Directory: gebruikers en computers.

  2. Klik in het linkerdeelvenster met de rechtermuisknop op Computers en selecteer Nieuw>Computer.

  3. Voer de naam in die u wilt gebruiken voor het failovercluster. Dit is de clusternaam die is ingevoerd in de wizard 'Cluster maken'; selecteer OK.

  4. Klik met de rechtermuisknop op het account dat u hebt gemaakt en selecteer Account uitschakelen. Als u wordt gevraagd uw keuze te bevestigen, selecteert u Ja en selecteert u VERVOLGENS OK.

    Als u het account uitschakelt, stelt u de Wizard Cluster Maken in staat om te controleren of het account niet reeds is toegewezen aan een andere computer of cluster in het domein voordat u verdergaat.

  5. Selecteer het tabblad Weergave en zorg ervoor dat Geavanceerde functies zijn geselecteerd. Als dat niet zo is, selecteert u deze.

  6. Klik met de rechtermuisknop op Computers, selecteer Eigenschappen, selecteer het tabblad Beveiliging en selecteer Vervolgens Geavanceerd.

  7. Selecteer Toevoegen, selecteer een principal, selecteer Objecttypen en zorg ervoor dat Computers is geselecteerd. Selecteer vervolgens OK.

  8. Typ of zoek onder Voer de objectnaam in die u wilt selecteren, typ of zoek de naam van het computeraccount dat u hebt gemaakt en selecteer VERVOLGENS OK.

  9. Er wordt een beveiligingsbericht weergegeven waarin de toevoeging van een uitgeschakeld object wordt gemeld. Kies OK.

  10. Onder de sectie Machtigingen, selecteer Computerobjecten maken. "Onder Eigenschappen selecteer Lees alle eigenschappen." Selecteer OK en selecteer vervolgens nogmaals OK .

Als u hetzelfde account gebruikt om het cluster te maken en deze procedure uit te voeren, kunt u de volgende stappen overslaan. Zorg er anders voor dat het gebruikersaccount dat is aangewezen voor het maken van het cluster, volledige controlemachtigingen heeft voor het computeraccount dat u hebt gemaakt:

  1. Selecteer in Active Directory: gebruikers en computers het tabblad Weergave . Zorg ervoor dat Geavanceerde functies is geselecteerd. Als dat niet zo is, selecteert u deze.

  2. Selecteer Computers in het linkerdeelvenster. Klik met de rechtermuisknop op het computeraccount dat u hebt gemaakt en selecteer Eigenschappen.

  3. Selecteer het tabblad Beveiliging , selecteer Objecttypen toevoegen, selecteer Objecttypen en zorg ervoor dat Computers is geselecteerd. Selecteer vervolgens OK.

  4. Typ of zoek onder Voer de objectnaam in die u wilt selecteren, typ of zoek de naam van het computeraccount en selecteer VERVOLGENS OK.

  5. Zorg ervoor dat het gebruikersaccount dat u zojuist hebt toegevoegd, is geselecteerd. Onder Machtigingen voor het account selecteert u Volledig beheer en selecteert u VERVOLGENS OK.

Een account voorbereiden voor een geclusterde service of toepassing (optioneel)

Voor de meeste scenario's is het eenvoudiger om de High Availability Wizard het account automatisch te laten aanmaken en configureren tijdens de installatie. Als het beleid van uw organisatie voorbereiding vereist, volgt u deze stappen.

Zorg ervoor dat u de naam van het cluster en de naam kent die de geclusterde service of toepassing heeft.

  1. Selecteer op de domeincontroller in Serverbeheerhulpprogramma's en selecteer vervolgens Active Directory: gebruikers en computers.

  2. Klik in het linkerdeelvenster met de rechtermuisknop op Computers en selecteer Nieuwe>computer.

  3. Typ de naam die u wilt gebruiken voor de geclusterde service of toepassing en selecteer VERVOLGENS OK.

  4. Selecteer het tabblad Beeld . Zorg ervoor dat Geavanceerde functies is geselecteerd. Als dat niet zo is, selecteert u deze.

  5. Klik met de rechtermuisknop op het computeraccount dat u hebt gemaakt, selecteer Eigenschappen, selecteer het tabblad Beveiliging en selecteer Vervolgens Toevoegen.

  6. Selecteer Objecttypen en zorg ervoor dat Computers is geselecteerd. Selecteer vervolgens OK.

  7. Typ onder Voer de objectnaam in die u wilt selecteren, typ de naam van het clusteraccount en selecteer OK.

  8. Zorg ervoor dat het clusternaamaccount is geselecteerd, selecteer Volledig beheer en selecteer vervolgens OK.

Zie ook