通过

在 Active Directory 域服务中预留群集计算机对象

本主题介绍如何在 Active Directory 域服务 (AD DS) 中预安排群集计算机对象。 当用户或组没有在 AD DS 中创建计算机对象的权限时,你可以使用此过程,允许用户或组创建故障转移群集。

使用创建群集向导或 Windows PowerShell 创建故障转移群集时,请指定群集的名称。 如果有足够的权限,群集创建过程会自动在 AD DS 中创建与群集名称匹配的计算机对象。 此对象称为“群集名称对象”或 CNO。 通过 CNO,在设置使用客户端接入点的群集角色时,会自动创建虚拟计算机对象(VCO)。 例如,如果使用名为 FileServer1 的客户端访问点创建高度可用的文件服务器,CNO 会在 AD DS 中创建相应的 VCO。

Note

可以创建 Active Directory 分离的群集,其中 AD DS 中未创建 CNO 或 VCO。 此选项适用于特定类型的群集部署。 有关详细信息,请参阅部署与 Active Directory 分离的群集

若要自动创建 CNO,创建故障转移群集的用户需要在群集中的服务器所在的组织单位(OU)或容器中拥有“创建计算机对象”的权限。 若要让用户或组在没有此权限的情况下创建群集,AD DS(通常是域管理员)中具有适当权限的用户可以在 AD DS 中预留 CNO。 此方法还使域管理员可以更好地控制群集的命名约定以及哪个 OU 包含群集对象。

步骤 1:在 AD DS 中预安排 CNO

在开始之前,请确保知道以下内容:

  • 要分配给群集的名称
  • 要创建群集的用户帐户或组的名称

最佳做法是为群集对象创建 OU。 如果想要使用的 OU 已存在, 则帐户操作员 组中的成员身份是完成此步骤所需的最低要求。 如果需要为群集对象创建 OU,则 域管理员 组中的成员身份或等效项是完成此步骤所需的最低要求。

Note

如果在默认计算机容器而不是 OU 中创建 CNO,则无需完成本主题的步骤 3。 在此方案中,群集管理员可以创建最多 10 个 VCO,而无需任何额外的配置。

在 AD DS 中预安排 CNO

  1. 在安装了远程服务器管理工具中 AD DS 工具的计算机,或者在域控制器上,打开 Active Directory 用户和计算机。 若要在服务器上执行此作,请启动服务器管理器,然后在 “工具” 菜单上,选择 “Active Directory 用户和计算机”。

  2. 若要为群集计算机对象创建 OU,请右键单击域名或现有 OU,指向 “新建”,然后选择“ 组织单位”。 在 “名称 ”框中,输入 OU 的名称,然后选择“ 确定”。

  3. 在控制台树中,右键单击要在其中创建 CNO 的 OU,将光标悬停在新建上,然后选择计算机

  4. “计算机名称 ”框中,输入将用于故障转移群集的名称,然后选择“ 确定”。

    Note

    创建群集的用户将在创建群集向导中的“用于管理群集的访问点” 页面上指定此群集名称,或将此群集名称用作 New-Cluster Windows PowerShell cmdlet 的 –Name 参数值。

  5. 最佳做法是右键单击刚刚创建的计算机帐户,选择“ 属性”,然后选择“ 对象 ”选项卡。在“ 对象 ”选项卡上,选中“ 保护对象免受意外删除 ”复选框,然后选择“ 确定”。

  6. 右键单击刚刚创建的计算机帐户,然后选择“ 禁用帐户”。 选择“ ”以确认,然后选择“ 确定”。

    Note

    必须禁用帐户,这样在群集创建期间,群集创建过程就能确认帐户当前未被域中的现有计算机或群集使用。

    示例群集 OU 中禁用的 CNO 的屏幕截图。

图 1. 示例群集 OU 中的已禁用 CNO

步骤 2:向用户授予创建群集的权限

你必须配置权限,使得将用于创建故障转移群集的用户帐户具有对 CNO 的“完全控制”权限。

帐户操作员组中的成员身份是完成此步骤所需的最低成员身份。

下面介绍如何向用户授予创建群集的权限:

  1. 在 Active Directory 用户和计算机中,在 “视图 ”菜单上,确保已选择 “高级功能 ”。

  2. 找到并右键单击 CNO,然后选择“ 属性”。

  3. 在“ 安全 ”选项卡上,选择“ 添加”。

  4. 在“选择用户、计算机或组”对话框中,指定要向其授予权限的用户帐户或组,然后选择“确定”

  5. 选择刚刚添加的用户帐户或组,然后在 “完全控制”旁边选中“ 允许 ”复选框。

    向将创建群集的用户或组授予完全控制权限的屏幕截图。

    图 2. 向将要创建群集的用户或组授予“完全控制”权限

  6. 选择“确定”

完成此步骤后,你向其授予权限的用户将能够创建故障转移群集。 但是,如果 CNO 位于 OU 中,则在完成步骤 3 之前,用户将无法创建需要客户端访问点的群集角色。

Note

如果 CNO 位于默认的计算机容器中,则群集管理员可以创建最多 10 个 VCO,而无需任何附加配置。 要添加 10 个以上的 VCO,你必须明确授予对计算机容器的 CNO 的“创建计算机对象”权限。

步骤 3:向 CNO 授予对 OU 的权限,或为群集角色预安排 VCO

当你创建具有客户端访问点的群集角色时,群集会在 CNO 所在的同一个 OU 中创建 VCO。 若要自动执行此操作,CNO 必须具备在 OU 中创建计算机对象的权限。

如果你已在 AD DS 中预安排 CNO,则可以通过执行以下某一项操作来创建 VCO:

  • 选项 1:向 CNO 授予对 OU 的权限。 如果使用此选项,则群集可以自动在 AD DS 中创建 VCO。 因此,故障转移群集的管理员可以创建群集角色,而无需请求你在 AD DS 中预安排 VCO。

Note

域管理员组中的成员身份或等效成员身份是完成此选项的步骤所需的最低要求。

  • 选项 2:为群集角色预安排 VCO。 如果由于组织的要求,必须为群集角色预安排帐户,请使用此选项。 例如,你可能需要控制命名约定,或者控制创建哪些群集角色。

Note

“帐户操作员”组中的成员身份是完成此选项的步骤所需的最低要求。

向 CNO 授予对 OU 的权限

  1. 在 Active Directory 用户和计算机中,在 “视图 ”菜单上,确保已选择 “高级功能 ”。

  2. 右键单击你在步骤 1:在 AD DS 中预安排 CNO 中创建了 CNO 的 OU,然后选择“属性”

  3. 在“安全性”选项卡上,选择“高级” 。

  4. 在“高级安全设置”对话框中,选择“添加”。

  5. 主体旁边,选择选择主体

  6. 在“选择用户、计算机、服务帐户或组”对话框中,选择“对象类型”,选中“计算机”复选框,然后选择“确定”

  7. 在“输入要选择的对象名称”下,输入 CNO 的名称,选择“检查名称”,然后选择“确定”。 若要响应指示要添加已禁用对象的警告消息,请选择 “确定”。

  8. “权限条目 ”对话框中,确保 类型 列表设置为 “允许”,并将“ 应用于 ”列表设置为 “此对象”和所有后代对象

  9. “权限”下,选中“ 创建计算机对象 ”复选框。

    授予 CNO 的“创建计算机”对象权限的屏幕截图。

    图 3. 向 CNO 授予创建计算机对象的权限

  10. 选择 “确定”,直到返回 Active Directory 用户和计算机管理单元。

故障转移群集管理员现在能够创建具有客户端访问点的群集角色,并让资源联机。

为群集角色预安排 VCO

  1. 开始之前,请确保你知道群集的名称,以及群集角色将要使用的名称。

  2. 在 Active Directory 用户和计算机中,在 “视图 ”菜单上,确保已选择 “高级功能 ”。

  3. 在 Active Directory 用户和计算机中,右键单击群集 CNO 所在的 OU,指向 “新建”,然后选择“ 计算机”。

  4. “计算机名称 ”框中,输入将用于群集角色的名称,然后选择“ 确定”。

  5. 最佳做法是右键单击刚刚创建的计算机帐户,选择“ 属性”,然后选择“ 对象 ”选项卡。在“ 对象 ”选项卡上,选中“ 保护对象免受意外删除 ”复选框,然后选择“ 确定”。

  6. 右键单击刚刚创建的计算机帐户,然后选择“ 属性”。

  7. 在“ 安全 ”选项卡上,选择“ 添加”。

  8. 在“选择用户、计算机、服务帐户或组”对话框中,选择“对象类型”,选中“计算机”复选框,然后选择“确定”

  9. 在“输入要选择的对象名称”下,输入 CNO 的名称,选择“检查名称”,然后选择“确定”。 如果收到一条警告消息,指出要添加禁用的对象,请选择“ 确定”。

  10. 确保选中 CNO,然后在 “完全控制”旁边选中“ 允许 ”复选框。

  11. 选择“确定”

故障转移群集管理员现在能够创建其客户端访问点与预安排 VCO 名称相匹配的群集角色,并让资源联机。

相关内容