После нескольких часов безуспешных поисков в Google и поиске по всему Интернету я должен вернуться к моему старому доброму другу в StackExchange. Моя проблема связана с отказоустойчивым отказоустойчивым кластером Microsoft, работающим на паре узлов Windows Server 2008 R2 Enterprise.
Вкратце: ресурс сетевого имени не может быть переведен в оперативный режим. Каждый раз, когда я пытаюсь это сделать (щелкнув правой кнопкой мыши имя сети и выбрав «Перевести этот ресурс в Интернет»), я терплю неудачу. Средство просмотра событий регистрирует эту запись:
EventID: 1207
Source: Failover Clustering
Cluster network name resource 'SQL Network Name (DMT-1NETNAME)' cannot be brought online. The computer object associated with the resource could not be updated in domain 'DMTDevOps.com' for the following reason:
Unable to obtain the Primary Cluster Name Identity token.
The text for the associated error code is: An attempt has been made to operate on an impersonation token by a thread that is not currently impersonating a client.
The cluster identity 'DMT-SQLCLUSTER1$' may lack permissions required to update the object. Please work with your domain administrator to ensure that the cluster identity can update computer objects in the domain.
Я просмотрел EventID и описания, найденные здесь, и это не похоже на то, что в Интернете нет документации о том, как это исправить, проблема в том, что решения связаны с предоставлением объекту компьютера для службы или приложения определенных привилегий ( что я и сделал) но ничего не изменилось.
Я полностью контролирую домен (это тестовая среда), и я единственный, кто его использует, поэтому нет никаких изменений в том, что «кто-то» что-то непреднамеренно изменил (например, уничтожил учетные записи компьютеров или изменил Active Directory, чтобы предотвратить появление нового объекта компьютера). создается (что-то предлагалось во многих блогах, связанных с этой ошибкой).
Когда я пытаюсь «Проверить этот кластер», отчет показывает, что ошибок нет ... так что и здесь все хорошо. Также компьютеры могут нормально подключаться к домену.
Единственное, что изменилось с момента последней работы, - это то, что эти узлы являются VMS, и я использовал их предыдущий снимок (когда кластер работал нормально). По какой-то причине доверительные отношения после загрузки этих снимков были нарушены, и мне пришлось запустить netdom resetpwd чтобы заставить это работать снова, но в остальном все точно так же, как было, когда кластер был в порядке.
Вот журнал, созданный кластером, надеюсь, он проливает дополнительный свет на кого-то знающего и желающего помочь: Cluster.log. Обратите внимание на конец этого журнала (в 15:54), именно тогда я попытался вывести ресурс (имя сервера) в оперативный режим.
Любая помощь приветствуется!
Я отвечаю на свой вопрос, так как после еще нескольких часов расследования мне удалось найти решение. Я постараюсь задокументировать свои действия для всех, кто столкнется с этой же проблемой.
Я сделал комбинацию действий, не совсем уверен, что это все исправило, но я предполагаю, что это «Восстановить объект Active Directory» в диспетчере отказоустойчивого кластера.
Сначала я перекомпоновал учетные записи компьютерной сети для обоих узлов кластера SQL (DMT-AClusNode и DMT-BClusNode) в Active Directory, войдя в систему как локальный администратор и выполнив это: netdom resetpwd /s:dmtdevops.com / ud: dmtdevops.com \ администратор / pd: *
Затем я перешел к контроллеру домена Active Directory (пользователи и компьютеры Active Directory) и использовал «Делегировать управление ...» (щелкните правой кнопкой мыши имя домена на левой панели), чтобы делегировать как можно больше контроля обеим учетным записям компьютеров на узлы (DMT-ACLUSNODE и DMT-BCLUSNODE), а также компьютерные учетные записи для объекта имени кластера (DMT-SQLCLUSTER1) и объекта виртуального компьютера (DMT-1NETNAME).
Я также внес изменения в Управление групповой политикой (DMTDevOps.com -> Объекты групповой политики -> Политика домена по умолчанию -> Щелкните правой кнопкой мыши -> Изменить ...), затем (Политика домена по умолчанию -> Конфигурация компьютера - > Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя -> Добавить рабочие станции в политику домена). В эту политику я добавил все учетные записи компьютеров, упомянутые на предыдущем шаге (DMT -ACLUSNODE, DMT-BCLUSNODE, DMT-SQLCLUSTER1 и DMT-1NETNAME)
Наконец (и я считаю, что это решило проблему) я выбрал «Восстановить объект Active Directory» в диспетчере отказоустойчивого кластера ».