Назад | Перейти на главную страницу

Отказоустойчивый кластер Windows - Пытаетесь создать роль MSDTC - Проблемы с разрешениями AD?

Обычно я зависаю в DBA Exchange, но на этот раз я обращаюсь к ServerFault с проблемой кластеризации.

Я пытаюсь создать роль MSDTC для своего кластера Windows 2012 R2.

IP-адрес и диск запускаются нормально, но когда имя A06SQLX-DTC пытается появиться, я получаю две ошибки

Кластерный ресурс «A06SQLX-DTC» типа «Сетевое имя» в кластерной роли «A06SQLX-DTC» завершился неудачно.

На основе политик отказа для ресурса и роли служба кластера может попытаться перевести ресурс в оперативный режим на этом узле или переместить группу на другой узел кластера, а затем перезапустить ее. Проверьте состояние ресурса и группы с помощью диспетчера отказоустойчивого кластера или командлета Windows PowerShell Get-ClusterResource.

Я считаю, что это проблема с разрешениями, потому что в AD я не вижу объекта для A06SQLX-DTC. Однако этот объект присутствует в другом AD, где я успешно создал роль MSDTC.

Одна вещь, которую я заметил, заключается в том, что в свойствах роли есть доступ, запрещенный статусом Kerberos.

Это приводит меня к статье о msdn. Но это не помогло.

Прочитайте это вопрос тоже, но тоже не помогло.

Дальнейший поиск в журналах событий кластера выявил это

Ресурсу сетевого имени кластера «A06SQLX-DTC» не удалось создать связанный с ним компьютерный объект в домене «mydomain.com» во время: Ресурс в сети.

Текст соответствующего кода ошибки: Доступ запрещен.

Обратитесь к администратору домена, чтобы убедиться, что: - Идентификатор кластера «A06SQLX-CLU-1 $» имеет разрешения на создание компьютерных объектов. По умолчанию все компьютерные объекты создаются в том же контейнере, что и идентификатор кластера A06SQLX-CLU-1 $. - Квота для компьютерных объектов не достигнута. - Если существует существующий компьютерный объект, убедитесь, что идентификатор кластера «A06SQLX-CLU-1 $» имеет разрешение «Полный доступ» к этому компьютерному объекту с помощью средства «Пользователи и компьютеры Active Directory».

Вот мой вопрос:

  1. Какие разрешения нужно назначить моему логину?
  2. Какое разрешение нужно назначить узлам?
  3. Какие разрешения нужно назначить объекту A06SQLX-CLU-1?

Чтобы решить проблему.

Объект в Active Directory, представляющий отказоустойчивый кластер Windows, A06SQLX-CLU-1, должен иметь возможность создавать и перечислять объекты в собственном контейнере Active Directory.

Итак, A06SQLX-CLU-1 содержится в папке

mydomain.com
|
-----> COMPUTERS
     |
      ------> DEV
            |
             ------> A06SQLX-CLU-1

A06SQLX-CLU-1 необходимо будет создать объекты / роли (такие как msdtc, sql server) в папке DEV.