DetailPage-MSS-KB

기술 자료

기술 자료: 307532 - 마지막 검토: 2005년 10월 19일 수요일 - 수정: 13.1

이 페이지에서

요약

이 문서에서는 Active Directory에서 서버 클러스터(가상 서버)에 대한 컴퓨터 개체를 만들거나 수정할 때의 클러스터 서비스 문제를 해결하는 방법을 설명합니다. 클러스터 서비스와 관련하여 컴퓨터 개체에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
302389  (http://support.microsoft.com/kb/302389/ ) Windows Server 2003의 클러스터 네트워크 이름 리소스 속성에 대한 설명

추가 정보

컴퓨터 개체를 만들기 위한 Active Directory 액세스 권한

기본적으로 Domain Users 그룹의 구성원에게는 도메인에 워크스테이션을 추가할 수 있는 사용자 권한이 부여됩니다. 기본적으로 이 사용자 권한은 최대 할당량인 10개의 Active Directory 컴퓨터 개체로 설정됩니다. 이 할당량을 초과하면 다음과 유사한 이벤트 ID 메시지가 기록됩니다.

이벤트 원본: ClusSvc

이벤트 범주: 네트워크 이름 리소스

이벤트 ID: 1194



설명:

다음과 같은 이유로 인해 microsoft.com 도메인에 있는 '네트워크 이름 리소스' 클러스터 리소스에 대한 컴퓨터 계정을 만들 수 없습니다. 컴퓨터 계정 만들 수 없음



오류 코드 텍스트: 사용자 컴퓨터를 도메인에 참가시킬 수 없습니다. 도메인에서 만들 수 있는 최대의 컴퓨터 개수를 초과했습니다. 컴퓨터 제한을 다시 설정하거나 늘리려면 시스템 관리자에게 문의하십시오.



이 오류는 Active Directory에 올바르게 액세스하지 않은 클러스터 서비스 계정으로 인해 발생할 수 있습니다. 이 문제를 해결하려면 도메인 관리자에게 문의하십시오.

클러스터 몇 개가 클러스터 서비스 계정과 같은 도메인 계정을 사용할 경우 해당 클러스터에서 10개의 컴퓨터 개체를 만들기 전에 이러한 오류 메시지가 나타날 수 있습니다. 이러한 문제를 해결하는 한 가지 방법은 컴퓨터 컨테이너에 대한 컴퓨터 개체 만들기 권한을 클러스터 서비스 계정에 부여하는 것입니다. 이 사용 권한은 기본 할당량이 10인 워크스테이션을 도메인에 추가 사용자 권한보다 우선합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
251335  (http://support.microsoft.com/kb/251335/ ) 도메인 사용자가 워크스테이션이나 서버를 도메인에 참가시킬 수 없다
해당 클러스터 서비스 계정에 워크스테이션을 도메인에 추가 사용자 권한이 있는지 확인하려면 다음과 같이 하십시오.
  1. 해당 클러스터 서비스 계정이 저장되어 있는 도메인 컨트롤러로 로그온합니다.
  2. 관리 도구에서 도메인 컨트롤러 보안 정책 프로그램을 시작합니다.
  3. 로컬 정책을 확장한 다음 사용자 권한 할당을 확장합니다.
  4. 워크스테이션을 도메인에 추가를 두 번 누른 다음 나열되는 계정을 기록해 둡니다.
  5. Authenticated Users 그룹(기본 그룹)이 나열됩니다. 이 그룹이 나열되지 않는 경우에는 클러스터 서비스 계정이나 도메인 컨트롤러에서 클러스터 서비스 계정이 포함된 그룹에 이 사용자 권한을 부여해야 합니다.

    참고 컴퓨터 개체가 도메인 컨트롤러에서 만들어지므로 도메인 컨트롤러에 이 사용자 권한을 부여해야 합니다.
  6. 이 사용자 권한에 명시적으로 클러스터 서비스 계정을 추가한 경우에는 새 사용자 권한이 모든 도메인 컨트롤러에 복제되도록 도메인 컨트롤러에서 gpupdate(Windows 2000의 경우 secedit 실행)를 실행합니다.
  7. 이 정책보다 다른 정책이 우선하지 않는지 확인합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    250842  (http://support.microsoft.com/kb/250842/ ) 그룹 정책 응용 프로그램 문제 해결

로컬 노드에서 클러스터 서비스 계정에 적절한 사용자 권한이 없는 경우

각 클러스터 노드에서 클러스터 서비스 계정에 적절한 사용자 권한이 있는지 확인하십시오. 클러스터 서비스 계정이 로컬 관리자 그룹에 속해야 하며 아래에 나열된 권한이 있어야 합니다. 이들 권한은 클러스터 노드를 구성하는 동안 클러스터 서비스 계정에 부여됩니다. 높은 수준의 정책이 로컬 정책보다 우선하거나 이전 운영 체제에서 업그레이드할 때 필요한 권한이 일부 추가되지 않을 수 있습니다. 로컬 노드에서 이러한 권한이 부여되었는지 확인하려면 다음 절차를 수행하십시오.
  1. 관리 도구 그룹에서 로컬 보안 설정 콘솔을 시작합니다.
  2. 로컬 정책 아래의 사용자 권한 할당으로 이동합니다.
  3. 클러스터 서비스 계정에 다음과 같은 권한이 명시적으로 부여되었는지 확인합니다.
    • 서비스로 로그온
    • 운영 체제의 일부로 활동
    • 파일 및 디렉터리 백업
    • 프로세스 별 메모리 할당량 조정
    • 스케쥴링 우선 순위 증가
    • 파일 및 디렉터리 복원


    참고 로컬 관리자 그룹에서 클러스터 서비스 계정이 제거된 경우 수동으로 클러스터 서비스 계정을 다시 만들고 클러스터 서비스에 필요한 권한을 부여하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    269229  (http://support.microsoft.com/kb/269229/ ) 클러스터 서비스 계정을 수동으로 다시 만드는 방법
권한 중 하나가 누락된 경우에는 클러스터 서비스 계정에 그에 대한 명시적 권한을 부여한 다음 클러스터 서비스를 중지한 후 다시 시작하십시오. 클러스터 서비스를 다시 시작할 때까지 추가된 권한이 적용되지 않습니다. 그래도 클러스터 서비스 계정이 컴퓨터 개체를 만들지 못하는 경우에는 그룹 정책이 로컬 정책보다 우선하지 않는지 확인하십시오. 이를 확인하려면 Windows 2000 도메인에 있는 경우에는 명령 프롬프트에서 gpresult를 입력하고 Windows Server 2003 도메인에 있는 경우에는 MMC 스냅인의 RSOP(정책 결과 집합)를 사용하여 할 수 있습니다. Windows 2000에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
250842  (http://support.microsoft.com/kb/250842/ ) 그룹 정책 응용 프로그램 문제 해결
Windows Server 2003 도메인에 있는 경우 정책 결과 집합 사용 지침을 보려면 도움말 및 지원에서 "RSOP"를 검색하십시오.

클러스터 서비스 계정에 "운영 체제의 일부로 활동" 권한이 없으면 네트워크 이름 리소스가 실패하고 Cluster.log가 다음 사항을 등록합니다.

Failed to enable TCB privilege, status C0000061

ERR Network Name Cluster Name: Failed to add credentials

to LSA for computer account Cluster status 1314

클러스터 서비스 계정에 필요한 권한이 모두 있는지 확인하려면 위에 나와 있는 단계를 사용하십시오. 로컬 보안 정책보다 도메인 또는 OU(조직 구성 단위) 그룹 정책이 우선하는 경우에는 몇 가지 옵션이 있습니다. "부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음"을 선택 취소한 자신의 OU로 클러스터 노드를 배치할 수 있습니다.

미리 만든 컴퓨터 개체를 사용할 때 필요한 액세스 권한

Authenticated Users 그룹의 구성원이나 클러스터 서비스 계정이 컴퓨터 개체를 만들지 못하는 경우에 사용자가 도메인 관리자라면 가상 서버 컴퓨터 개체를 미리 만들어야 합니다. 미리 만들어진 컴퓨터 개체의 클러스터 서비스 계정에 특정 액세스 권한을 부여해야 합니다. 클러스터 서비스는 가상 서버의 NetBIOS 이름과 일치하는 컴퓨터 개체를 업데이트하려고 합니다. 사용 권한에 문제가 있을 경우에 다음과 같은 이벤트 ID 메시지 중 하나가 시스템 로그에 기록될 수 있습니다.

이벤트 메시지 1

이벤트 원본: ClusSvc

이벤트 범주: 네트워크 이름 리소스

이벤트 ID: 1194



설명:

다음과 같은 이유로 인해 microsoft.com 도메인에 있는 '네트워크 이름 리소스' 클러스터 리소스에 대한 컴퓨터 계정을 만들 수 없습니다. 암호를 업데이트 할 수 없습니다.



오류 코드 텍스트: 액세스가 거부되었습니다.

이벤트 메시지 2

이벤트 원본: ClusSvc

이벤트 범주: 네트워크 이름 리소스

이벤트 ID: 1194



설명:

다음과 같은 이유로 인해 microsoft.com 도메인에 있는 '네트워크 이름 리소스' 클러스터 리소스에 대한 컴퓨터 계정을 만들 수 없습니다. ServicePrincipalName 특성 설정할 수 없음



오류 코드 텍스트: 해당 작업을 실행할 수 있는 권한이 없습니다.

이벤트 메시지 3

이벤트 원본: ClusSvc

이벤트 범주: 네트워크 이름 리소스

이벤트 ID: 1194



설명:

다음과 같은 이유로 인해 microsoft.com 도메인에 있는 '네트워크 이름 리소스' 클러스터 리소스에 대한 컴퓨터 계정을 만들 수 없습니다. DnsHostName 특성 설정할 수 없음



오류 코드 텍스트: 액세스가 거부되었습니다.

클러스터 서비스 계정이 컴퓨터 개체에서 적절한 사용 권한을 갖고 있는지 확인하려면 다음과 같이 하십시오.
  1. 관리 도구에서 Active Directory 사용자 및 컴퓨터 스냅인을 시작합니다.
  2. 보기 메뉴에서 고급 기능을 누릅니다.
  3. 클러스터 서비스 계정을 사용할 컴퓨터 개체를 찾습니다.
  4. 마우스 오른쪽 단추로 컴퓨터 개체로 누른 다음 속성을 누릅니다.
  5. 보안 탭을 누른 다음 추가를 누릅니다.
  6. 클러스터 서비스 계정을 추가하거나 해당 클러스터 서비스 계정이 구성원에 해당하는 그룹을 추가합니다.
  7. 사용자나 그룹에 다음과 같은 사용 권한을 부여합니다.
    • 암호 다시 설정
    • DNS 호스트 이름에 유효한 쓰기
    • 서비스 사용자 이름에 유효한 쓰기
  8. 확인을 누릅니다.
도메인 컨트롤러가 여러 개 있는 경우에는 사용 권한 변경 내용이 다른 도메인 컨트롤러에도 복제될 때까지 기다려야 합니다. 기본적으로 복제 주기는 15분마다 발생합니다.

Kerberos가 해제되어 있을 때 네트워크 이름 리소스가 온라인 상태로 되지 않는 경우

컴퓨터 개체가 존재하지만 Kerberos 인증 사용 옵션을 선택하지 않은 경우 네트워크 이름 리소스가 온라인 상태로 되지 않습니다. 문제를 해결하려면 아래 절차 중 하나를 사용하십시오.
  • Active Directory에서 해당 컴퓨터 개체를 삭제합니다.
  • 네트워크 이름 리소스에서 Kerberos 인증 사용을 누릅니다.
네트워크 이름 리소스에서 Kerberos 인증 사용 옵션을 선택하지 않고 컴퓨터 개체가 Active Directory에 없는 경우에 네트워크 이름 리소스 문제를 해결하는 방법에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하십시오.
257903  (http://support.microsoft.com/kb/257903/ ) 이벤트 ID 1052가 발생하면서 클러스터 네트워크 이름이 온라인 상태로 되지 않을 수 있다




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
키워드: 
kberrmsg kbinfo kbenv KB307532
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store