DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 307532 - Geändert am: Donnerstag, 20. Oktober 2005 - Version: 13.1

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
307532  (http://support.microsoft.com/kb/307532/EN-US/ ) How to troubleshoot the Cluster service account when it modifies computer objects
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

In diesem Artikel wird die Problembehandlung für den Clusterdienst beschrieben, wenn dieser in Active Directory ein Computerobjekt für einen Servercluster (virtuellen Server) erstellt oder ändert. Weitere Informationen über Computerobjekte im Zusammenhang mit dem Clusterdienst finden Sie in folgendem Artikel der Microsoft Knowledge Base:
302389  (http://support.microsoft.com/kb/302389/DE/ ) Beschreibung der Eigenschaften des Clusters Netzwerknamensressource in Windows Server 2003

Weitere Informationen

Zugriffsrechte in Active Directory für das Erstellen eines Computerobjekts

Standardmäßig haben Mitglieder einer Domäne das Benutzerrecht, Arbeitsstationen in einer Domäne hinzuzufügen. Standardmäßig ist dieses Benutzerrecht in Active Directory auf ein Kontingent von 10 Computerobjekten beschränkt. Beim Überschreiten dieses Kontingents wird folgendes Ereignis protokolliert:

Quelle: ClusSvc

Kategorie: Netzwerknamenressource

Ereignis-ID: 1194



Beschreibung:

Das Computerkonto in der Clusterressource 'Netzwerknamenressource' in der Domäne microsoft.com konnte aus folgendem Grund nicht erstellt werden: Das Computerkonto konnte nicht erstellt werden.



Der Text für den Fehlercode lautet: Der Computer konnte der Domäne nicht beitreten. Die maximale Anzahl der Computerkonten, die in dieser Domäne erstellt werden können, wurde überschritten. Wenden Sie sich an den Systemadministrator, damit diese Anzahl zurückgesetzt oder erhöht wird.



Dieser Fehler hängt möglicherweise damit zusammen, dass das Clusterdienstkonto nicht über die richtigen Zugriffsrechte in Active Directory verfügt. Wenden Sie sich an den Domänenadministrator, um Unterstützung bei diesem Problem zu erhalten.

Wenn mehrere Cluster dasselbe Domänenkonto als Clusterdienstkonto verwenden, erhalten Sie diese Fehlermeldung möglicherweise bereits, bevor zehn Computerobjekte in einem der Cluster erstellt wurden. Eine Lösungsmöglichkeit ist es, dem Clusterdienstkonto im Container Computer die Berechtigung zum Erstellen von Computerobjekten zu erteilen. Diese Berechtigung hat Vorrang vor dem Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne", welche auf ein Kontingent von zehn beschränkt ist. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
251335  (http://support.microsoft.com/kb/251335/DE/ ) Domänenbenutzer können Workstation oder Server nicht zu einer Domäne hinzufügen
Gehen Sie folgendermaßen vor, um zu überprüfen, ob das Clusterdienstkonto über das Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne" verfügt.
  1. Melden Sie sich an dem Domänencontroller an, auf dem das Clusterdienstkonto gespeichert ist.
  2. Starten Sie in der Systemverwaltung das Programm Sicherheitsrichtlinie für Domänencontroller.
  3. Klicken Sie auf Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.
  4. Doppelklicken Sie auf Hinzufügen von Arbeitsstationen zur Domäne, und beachten Sie die aufgeführten Konten.
  5. Es sollte die Gruppe "Authentifizierte Benutzer" (die standardmäßige Gruppe) aufgeführt sein. Falls diese Gruppe nicht aufgeführt ist, müssen Sie dem Clusterdienstkonto oder einer Gruppe, der das Clusterdienstkonto angehört, dieses Benutzerrecht auf dem Domänencontroller zuweisen.

    Hinweis: Sie müssen dieses Benutzerrecht auf den Domänencontrollern zuweisen, da Computerobjekte auf den Domänencontrollern erstellt werden.
  6. Falls Sie explizit das Clusterdienstkonto zu diesem Benutzerrecht hinzufügen, führen Sie auf dem Domänencontroller gpupdate (bzw. secedit in Windows 2000) aus, so dass das neue Benutzerrecht auf allen Domänencontrollern repliziert wird.
  7. Vergewissern Sie sich, dass die Richtlinie nicht von einer anderen Richtlinie überschrieben wird. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    250842  (http://support.microsoft.com/kb/250842/DE/ ) Behandlung von Problemen bei der Anwendung von Gruppenrichtlinien

Das Clusterdienstkonto hat auf dem lokalen Knoten keine ausreichenden Benutzerrechte

Stellen Sie sicher, dass das Clusterdienstkonto auf jedem Knoten des Clusters ausreichende Benutzerrechte hat. Das Clusterdienstkonto sollte der lokalen Administratorgruppe angehören und sollte außerdem über die unten aufgeführten Rechte verfügen: Diese Rechte werden bei der Konfiguration des Clusterknotens dem Clusterdienstkonto zugewiesen. Es ist jedoch möglich, dass eine ranghöhere Richtlinie die lokale Richtlinie überschreibt, oder dass bei einer Aktualisierung von einer früheren Version des Betriebssystems nicht alle erforderlichen Rechte hinzugefügt wurden. Gehen Sie folgendermaßen vor, um zu überprüfen, ob diese Rechte auf dem lokalen Knoten zugewiesen sind:
  1. Starten Sie in der Microsoft Management Console (MMC) in der Gruppe Verwaltung das Programm Lokale Sicherheitseinstellungen.
  2. Öffnen Sie unter Lokale Richtlinien den Zweig Zuweisen von Benutzerrechten.
  3. Überprüfen Sie, ob dem Clusterdienstkonto explizit die folgenden Rechte zugewiesen sind:
    • Als Dienst anmelden
    • Einsetzen als Teil des Betriebssystems
    • Sichern von Dateien und Verzeichnissen
    • Anpassen von Speicherkontingenten für einen Prozess
    • Anheben der Zeitplanungspriorität
    • Wiederherstellen von Dateien und Verzeichnissen


    Hinweis: Falls der Clusterdienst-Account von der lokalen Administrator-Gruppe entfernt wurde, erstellen Sie den Clusterdienst-Account und vergeben Sie die nötigen Berechtigungen für den Clusterdienst. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    269229  (http://support.microsoft.com/kb/269229/DE/ ) Wie neu Erstellen des Dienstkontos des Clusterdienstes
Falls nicht alle dieser Rechte zugewiesen sind, weisen Sie dem Clusterdienstkonto explizit die fehlenden Rechte zu. Halten Sie dann den Clusterdienst an, und starten Sie ihn erneut. Die hinzugefügten Rechte werden erst wirksam, nachdem Sie den Clusterdienst neu gestartet haben. Falls der Clusterdienst immer noch keine Computerobjekte erstellen kann, überprüfen Sie, ob nicht eine Gruppenrichtlinie die lokale Richtlinie überschreibt. Um dies zu tun, können Sie entweder an der Befehlszeile gpresult eingeben, wenn Sie sich in einer Windows 2000-Domäne befinden, oder in der MMC das Richtlinienergebnissatz-Snap-In ausführen, wenn Sie sich in einer Windows Server 2003-Domäne befinden. Weitere Informationen zu Windows 2000 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
250842  (http://support.microsoft.com/kb/250842/DE/ ) Behandlung von Problemen bei der Anwendung von Gruppenrichtlinien
Falls Sie sich in einer Windows Server 2003-Domäne befinden, suchen Sie in Hilfe und Support nach "RSOP" (Resultant Set of Policies) oder "Richtlinienergebnissatz", um Anweisungen zum Verwenden von Richtlinienergebnissätzen zu erhalten.

Falls das Clusterdienstkonto nicht über das Recht "Einsetzen als Teil des Betriebssystems" verfügt, schlägt die Netzwerknamenressource fehl, und in der Datei "Cluster.log" wird folgende Meldung festgehalten:

Das Aktivieren der TCB-Rechte ist fehlgeschlagen, Status C0000061

ERR Netzwerkname Clustername: Anmeldeinformationen für das Computerkonto

konnten nicht zu LSA hinzugefügt werden. Clusterstatus 1314

Folgen Sie den oben beschriebenen Schritten, um sicherzustellen, dass das Clusterdienstkonto über alle erforderlichen Rechte verfügt. Falls die lokalen Sicherheitsrichtlinien von einer Gruppenrichtlinie überschrieben werden, die auf der Ebene einer Domäne oder Organisationseinheit festgelegt wurde, gibt es mehrere Möglichkeiten. Sie können die Clusterknoten in einer eigenen Organisationseinheit platzieren, für die das Vererben von Berechtigungen vom übergeordneten Objekt deaktiviert ist.

Erforderliche Zugriffsrechte beim Verwenden eines vorbereiteten Computerobjekts

Falls Mitglieder der Gruppe "Authentifizierte Benutzer" oder das Clusterdienstkonto keine Berechtigung zum Erstellen von Computerobjekten haben, müssen Sie als Domänenadministrator das Computerobjekt für den virtuellen Server vorbereiten. Sie müssen dabei dem Clusterdienstkonto für das vorbereitete Computerobjekt bestimmte Zugriffsrechte zuweisen. Der Clusterdienst versucht, das Computerobjekt zu aktualisieren, das dem NetBIOS-Namen des virtuellen Servers entspricht. Eine der folgenden Ereignisse wird möglicherweise im Systemprotokoll vermerkt, wenn ein Problem mit den Berechtigungen besteht:

Ereignismeldung 1

Quelle: ClusSvc

Kategorie: Netzwerknamenressource

Ereigniskennung: 1194



Beschreibung:

Das Computerkonto in der Clusterressource 'Netzwerknamenressource' in der Domäne microsoft.com konnte aus folgendem Grund nicht erstellt werden: Kennwort konnte nicht aktualisiert werden.



Der Text für den Fehlercode lautet: Zugriff wurde verweigert.

Ereignismeldung 2

Quelle: ClusSvc

Kategorie: Netzwerknamenressource

Ereignis-ID: 1194



Beschreibung:

Das Computerkonto in der Clusterressource 'Netzwerknamenressource' in der Domäne microsoft.com konnte aus folgendem Grund nicht erstellt werden: Das Attribut ServicePrincipalName konnte nicht gesetzt werden.



Der Text für den Fehlercode lautet: Die Zugriffsrechte reichen für diesen Vorgang nicht aus.

Ereignismeldung 3

Quelle: ClusSvc

Kategorie: Netzwerknamenressource

Ereignis-ID: 1194



Beschreibung:

Das Computerkonto in der Clusterressource 'Netzwerknamenressource' in der Domäne microsoft.com konnte aus folgendem Grund nicht erstellt werden: Das Attribut DnsHostName konnte nicht gesetzt werden.



Der Text für den Fehlercode lautet: Zugriff wurde verweigert.

Gehen Sie folgendermaßen vor, um zu überprüfen, dass das Clusterdienstkonto über die erforderlichen Berechtigungen für das Computerobjekt verfügt:
  1. Starten Sie unter Verwaltung das Snap-In Active Directory-Benutzer und -Computer.
  2. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen.
  3. Suchen Sie das Computerobjekt, das vom Clusterdienstkonto verwendet werden soll.
  4. Klicken Sie mit der rechten Maustaste auf das Computerobjekt, und klicken Sie anschließend auf Eigenschaften.
  5. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  6. Fügen Sie das Clusterdienstkonto hinzu, oder eine Gruppe, der das Clusterdienstkonto angehört.
  7. Weisen Sie dem Benutzer oder der Gruppe die folgenden Berechtigungen zu:
    • Kennwort zurücksetzen
    • Bestätigter Schreibvorgang an den Hostnamen
    • Bestätigter Schreibvorgang an den Principal Name des Dienstes
  8. Klicken Sie auf OK.
Falls es im Netzwerk mehrere Domänencontroller gibt, müssen Sie möglicherweise warten, bis die Berechtigungsänderung auf den anderen Domänencontrollern repliziert wurde (standardmäßig wird alle 15 Minuten eine Replikation durchgeführt).

Netzwerknamenressource kann nicht online geschaltet werden, wenn Kerberos deaktiviert ist

Eine Netzwerknamenressource kann nicht online geschaltet werden, wenn ein Computerobjekt existiert, aber die OptionKerberos-Authentifizierung aktivieren nicht aktiviert ist. Wenden Sie eines der folgenden Verfahren an, um dieses Problem zu beheben.
  • Löschen Sie das entsprechende Computerobjekt in Active Directory.
  • Klicken Sie auf der Netzwerknamenressource auf Kerberos-Authentifizierung aktivieren.
Wenn Sie auf der Netzwerknamenressource die Option Kerberos-Authentifizierung aktivieren nicht aktivieren und in Active Directory kein Computerobjekt existiert, finden Sie weitere Informationen zur Problembehandlung für die Netzwerknamenressource in folgendem Artikel der Microsoft Knowledge Base:
257903  (http://support.microsoft.com/kb/257903/DE/ ) Bezeichnung von Clusternetzwerk- kann Ereignisid 1052 nicht online enthalten

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Keywords: 
kberrmsg kbinfo kbenv KB307532
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store