Dela via

Konfigurera klusterkonton i Active Directory

Klusterkonton i Active Directory (AD) är viktiga för säker och tillförlitlig drift av Windows Server-redundanskluster. Dessa konton, som omfattar klusternamnkontot och konton för klustrade tjänster eller program, gör det möjligt för kluster att interagera med domänresurser, autentisera åtgärder och hantera behörigheter. Korrekt konfiguration av dessa konton säkerställer att kluster kan skapas, hanteras och underhållas i enlighet med organisationens säkerhetsprinciper och bästa praxis.

Förutsättningar

Active Directory Domain Services-rollen måste vara installerad på enheten. Mer information finns i Lägga till eller ta bort roller och funktioner i Windows Server.

Det konto som används av den person som installerar klustret är viktigt eftersom det används för att skapa datorkontot för klustret under installationen. Följande krävs baserat på ditt scenario:

  • Domänkonto: Om du ansvarar för att skapa klusterkontot i AD och tilldela nödvändiga behörigheter måste du ha behörigheter på domännivå. Du måste vara medlem i gruppen Domänadministratörer eller Kontoansvariga eller ha motsvarande behörigheter.

  • Tilldela lokala behörigheter: Om klusterkontot redan har skapats i AD av någon annan, och din uppgift är att lägga till det här kontot i den lokala gruppen Administratörer på varje klusterserver, behöver du bara administrativa rättigheter på dessa servrar. Du måste vara medlem i den lokala gruppen Administratörer på varje server.

Konfigurera klusterkontot

Skapa eller hämta domänkontot för den person som ska installera klustret. Det här kontot kan vara ett standarddomänanvändarkonto eller kontooperatorkonto . Om du använder ett standardanvändarkonto måste du bevilja ytterligare behörigheter senare i den här processen. Om det konto som du skapade eller hämtade inte automatiskt ingår i den lokala gruppen Administratörer på domändatorer följer du dessa steg för att lägga till det i den lokala gruppen Administratörer på varje server som blir en del av redundansklustret:

  1. I Serverhanteraren väljer du Verktyg och sedan Datorhantering.

  2. I den vänstra rutan under Systemverktyg expanderar du Lokala användare och grupper och expanderar sedan Grupper.

  3. Högerklicka på Administratörer i mittenfönstret, välj Lägg till i grupp och välj sedan Lägg till.

  4. Under fältet Ange de objektnamn som ska väljas skriver eller söker du efter namnet på det användarkonto som du skapade eller hämtade. Om du uppmanas till det anger du autentiseringsuppgifterna och väljer sedan OK.

Upprepa dessa steg på varje server som blir en nod i redundansklustret.

Viktigt!

De här stegen måste upprepas på alla servrar som blir noder i klustret.

Om ditt konto är domänadministratör kan du hoppa över följande steg. Annars måste du bevilja kontot behörighet att skapa datorobjekt och läsa alla egenskaper i domänens container för datorkonton genom att följa dessa steg på domänkontrollanten (DC):

  1. I Serverhanterarenväljer du Verktygoch väljer sedan Active Directory-användare och datorer.

  2. Välj fliken Visa och välj sedan Avancerade funktioner.

  3. Expandera domänen i den vänstra rutan, högerklicka på Datorer och välj sedan Egenskaper.

  4. Välj fliken Security och välj sedan Avancerat.

  5. Välj Lägg till, välj Välj ett huvudnamn, skriv eller sök efter namnet på kontot och välj sedan OK.

  6. Under Behörigheter väljer du Skapa datorobjekt. Under Egenskaper väljer du Läs alla egenskaper. Välj sedan OK.

  7. Välj OK för att stänga fönstret Avancerade säkerhetsinställningar och välj sedan OK igen.

Förinstallera klusternamnkontot

Om organisationsprinciper kräver att du förinstallerar klustrets namnkonto följer du de angivna stegen. Annars kan du tillåta att guiden Skapa kluster automatiskt skapar och konfigurerar kontot under klusterkonfigurationen. Innan du börjar kontrollerar du att du har klusternamnet och det användarkonto som ska användas för att skapa klustret. Du kan använda det här kontot för att slutföra förberedelsestegen:

  1. På domänkontrollanten väljer du Start, Administrationsverktyg och sedan Active Directory-användare och datorer.

  2. Högerklicka på Datorer i den vänstra rutan och välj sedan Ny>dator.

  3. Ange det namn som du tänker använda för redundansklustret. Det här är det klusternamn som anges i guiden Skapa kluster och välj OK.

  4. Högerklicka på det konto som du skapade och välj sedan Inaktivera konto. Om du uppmanas att bekräfta ditt val väljer du Ja och sedan OK.

    Om du inaktiverar kontot ser du till att guiden Skapa kluster kan kontrollera att kontot inte redan har tilldelats till en annan dator eller ett kluster i domänen innan du fortsätter.

  5. Välj fliken Visa och kontrollera att Avancerade funktioner har valts . Om inte väljer du det.

  6. Högerklicka på Datorer, välj Egenskaper, välj fliken Säkerhet och välj sedan Avancerat.

  7. Välj Lägg till, välj Välj ett huvudnamn, välj Objekttyper och se till att Datorer är markerade. Välj sedan OK.

  8. Under Ange det objektnamn som ska väljas skriver du eller söker efter namnet på det datorkonto som du skapade och väljer sedan OK.

  9. Ett säkerhetsmeddelande visas som meddelar tillägget av ett inaktiverat objekt. Välj OK.

  10. Under Behörigheter väljer du Skapa datorobjekt. Under Egenskaper väljer du Läs alla egenskaper. Välj OK och sedan OK igen.

Om du använder samma konto för att skapa klustret och utföra den här proceduren kan du hoppa över följande steg. I annat fall kontrollerar du att användarkontot som är avsett för klusterskapande har fullständig behörighet för det datorkonto som du skapade:

  1. I Active Directory Användare och datorer väljer du fliken Visa . Kontrollera att Avancerade funktioner har valts . Om inte väljer du det.

  2. I den vänstra rutan väljer du Datorer. Högerklicka på datorkontot som du skapade och välj Egenskaper.

  3. Välj fliken Säkerhet , välj Lägg till, välj Objekttyper och se till att Datorer är markerade. Välj sedan OK.

  4. Under Ange det objektnamn som ska väljas skriver du eller söker efter namnet på datorkontot och väljer sedan OK.

  5. Kontrollera att det användarkonto som du nyss lade till är markerat. Under Behörigheter för kontot väljer du Fullständig kontroll och sedan OK.

Förbereda ett konto för en tjänst eller applikation i kluster (valfritt)

I de flesta scenarier är det enklare att låta guiden för hög tillgänglighet automatiskt skapa och konfigurera kontot under installationen. Följ dessa steg om organisationens policys kräver förberedelser.

Kontrollera att du vet namnet på klustret och namnet på den klustrade tjänsten eller programmet.

  1. På domänkontrollanten, i Serverhanteraren, väljer du Verktyg och sedan Användare och datorer i Active Directory.

  2. I den vänstra rutan högerklickar du på Datorer och väljer Ny>dator.

  3. Skriv det namn som du ska använda för den klustrade tjänsten eller programmet och välj sedan OK.

  4. Välj fliken Visa . Kontrollera att Avancerade funktioner har valts . Om inte väljer du det.

  5. Högerklicka på datorkontot du skapade, välj Egenskaper, välj fliken Säkerhet och välj sedan Lägg till.

  6. Välj Objekttyper och se till att Datorer är markerade. Välj sedan OK.

  7. Under Ange det objektnamn som ska väljas skriver du klustrets namnkonto och väljer sedan OK.

  8. Kontrollera att klustrets namnkonto är markerat, välj Fullständig kontroll och välj sedan OK.

Se även