cat-failover-cluster

Probleme mit Failover Cluster und Computer Accounts?

FAILOVER CLUSTER

Um Hochverfügbarkeit bei Microsoft Produkten zu konfigurieren wird in der Regel der Failover Cluster vorausgesetzt, wie zum Beispiel bei SQL Server (AlwaysOn Availability Group) oder Exchange Server (Distributed Availability Group). Auch bei Hyper-V wird HA für die Virtual Machines mit Hilfe des Failover Cluster erreicht. Die Anforderungen an Active Directory sind dabei eigentlich sehr überschaubar:

  • Die Nodes müssen…
    • … Teil einer Active Directory Domain sein;
    • … Mitglied der gleichen Active Directory Domain sein;
    • … Member Server sein (nicht als Domain Controller);
  • Das Active Directory muss…
    • … mindestens Domain Functional Level “Windows Server 2003” sein (Empfohlen wäre 2008 oder höher);
    • … Domain Contoller mit Windows Server 2012 oder höher nutzen wenn BitLocker eingesetzt wird;

Die Integration in Active Directory

Wird ein neuer Failover Cluster erstellt, legt dieser ein sogenanntes “Cluster Name Object” (CNO) in Active Directory an. Dieses Computer Objekt ist dann mit dem “Cluster Namen” assoziiert. Dies wird für Cluster Management und Intra-Cluster Authentication eingesetzt.

Für die weiteren Cluster Network Name Ressourcen wird zusätzlich ein sogenanntes “Virtual Computer Objekt” (VCO) erstellt. Dieses wird von externen Clients verwendet um sich gegenüber der Cluster Ressource, sprich der Applikation, zu authentifizieren.

Erstellen der Computer Objekte

Für die Erstellung des CNO wird der lokal angemeldete Benutzer, welcher die Failover Cluster Management Tools nutzt, verwendet. Das Computer Object wird in derselben “Organizational Unit” (OU) wie die Cluster Nodes angelegt. Sollte dieser Benutzer nicht über die notwendigen Berechtigungen Verfugungen wird dies im Validation Report entsprechend hervorgehoben.

Oftmals wird davon ausgegangen, dass bei dem VCO die gleiche Vorgehensweise gilt… dem ist aber nicht so. Natürlich benötigt der Benutzer entsprechende Berechtigung im Failover Cluster um die Cluster Ressource anzulegen, jedoch werden vom Cluster Service die CNO Berechtigungen verwendet um das Computer Objekt anzulegen. Dies erfolgt in der gleichen OU wie das CNO selbst.

Sollte das CNO also nicht über die notwendigen Berechtigungen verfügen, kann es bei der Konfiguration von zum Beispiel des Hyper-V Replica Broker, oder Cluster-Aware Updating zu einer Fehlermeldung kommen.

Log Name: System
Source: Microsoft-Windows-FailoverClustering
Event ID: 1207
Task Category: Resource Control Manager
Level: Error
Description: Cluster network name resource ‘%1’ cannot be brought online. The computer object associated with the resource could not be updated in domain ‘%2’ for the following reason: %3.
The text for the associated error code is: %4
The cluster identity ‘%5’ may lack permissions required to update the object. Please work with your domain administrator to ensure that the cluster identity can update computer objects in the domain.

Die notwendigen Berechtigungen

Eine einfache Lösung ist, wenn das CNO in die “Computers” OU (zurück-)verschoben wird. Allerdings ist es empfohlen, dass sämtliche Cluster Nodes und zugehörige Computer Objekte sich in der gleichen OU befinden. Daher bietet sich die dauerhafte Lösung an, wobei für das “Cluster Name Object” (CNO) entsprechende Berechtigungen konfiguriert werden. Dazu muss auf der entsprechenden die “Properties” aufgerufen werden. Unter “Security” werden dann für das CNO folgende Berechtigungen (für “This object and all descendant objects”) konfiguriert:

  • Create Computer Objects
  • Read All Properties
  • Reset Password

Eine weitere Alternative wäre auch, das VNO Objekt vorgängig anzulegen. Das Vorgehen wird in folgendem TechNet Artikel beschrieben. Bei beiden Varianten empfiehlt es sich das Flag “Protect object from accidental deletion” zu aktivieren, damit das CNO oder VNO nicht aus Versehen gelöscht wird.

Failover Cluster , Hyper-V , Windows Server 2012 , Windows Server 2012 R2

, , , , , ,

About the Author

Michel Luescher is a solution architect in the worldwide Datacenter & Cloud Infrastructure Center of Excellence (CoE) at Microsoft Corporation based out of Zurich, Switzerland. Primarily, Michel is focused on hybrid cloud solutions (Hyper-V, System Center and Microsoft Azure). In addition Michel is speaker, blogger and author of several books.

Comments (3)

  • raphael says:

    🙂 2921
    … Domain Contoller mit Windows Server 2912 oder höher nutzen wenn BitLocker eingesetzt wird;

     
    • Michel Luescher says:

      Danke Raphael, das war wohl bisschen fest in die Zukunft geschaut 🙂 Ist korrigiert.

       
  • Lyndon says:

    Hey Michel

    Guter Post! damit hatte ich auch schon Erfahrungen gemacht… aber war am 1. Juli nicht dein Geburtstag? und dann blogst du noch? 😉 jedenfalls auch nachträglich alles Gute!!!

     

Leave a Reply.

System Center 2012 R2 Update Rollup 3 verfügbar System Center 2012 R2 Update Rollup 2 verfügbar