L'oggetto computer associato alla risorsa non può essere aggiornato nel dominio

0

Dopo alcune ore di tentativi falliti su Google e perlustrando su Internet, devo tornare dal mio caro vecchio amico su StackExchange. Il mio problema è associato a un cluster di failover Microsoft dissfuction in esecuzione su una coppia di nodi Enterprise di Windows Server 2008 R2.

In breve: la risorsa Nome rete non può essere portata in linea. Ogni volta che provo a farlo (facendo clic con il pulsante destro del mouse sul nome della rete e selezionando "Porta questa risorsa online"), fallisco. Il Visualizzatore eventi registra questa voce:

EventID: 1207
Source: Failover Clustering

Cluster network name resource 'SQL Network Name (DMT-1NETNAME)' cannot be brought online. The computer object associated with the resource could not be updated in domain 'DMTDevOps.com' for the following reason:
Unable to obtain the Primary Cluster Name Identity token.
The text for the associated error code is: An attempt has been made to operate on an impersonation token by a thread that is not currently impersonating a client.
The cluster identity 'DMT-SQLCLUSTER1$' may lack permissions required to update the object. Please work with your domain administrator to ensure that the cluster identity can update computer objects in the domain.

Ho cercato EventID e le descrizioni trovate qui, e non è che non ci sia documentazione online su come risolverlo, il problema è che le soluzioni sono legate alla concessione dell'oggetto computer per il servizio o l'applicazione con determinati privilegi ( cosa che ho fatto) ma nulla è cambiato.

Controllo completamente il dominio (è un ambiente di test) e sono l'unico ad usarlo, quindi non c'è alcun cambiamento nel fatto che "qualcuno" abbia cambiato inavvertitamente qualcosa (come distruggere gli account dei computer o cambiare Active Directory per impedire a un nuovo oggetto computer di in fase di creazione (qualcosa che è stato suggerito su molti blog relativi a questo errore).

Quando provo a "Convalidare questo cluster" il rapporto mostra che non ci sono errori ... quindi tutto va bene anche su quel fronte. Anche i computer possono connettersi al dominio bene.

L'unica cosa che è cambiata dall'ultima volta che ha funzionato è che questi nodi sono VMS e ne ho usato una precedente istantanea (quando il cluster funzionava perfettamente). Per qualche ragione la relazione di fiducia dopo aver caricato quelle istantanee era rotta e ho dovuto eseguire netdom resetpwd per farlo funzionare di nuovo, ma a parte questo, tutto è esattamente lo stesso di quando il cluster andava bene.

Ecco un registro che è stato generato dal cluster, si spera che questo faccia luce aggiuntiva a qualcuno esperto e disposto ad aiutare: Cluster.log . Notare la coda di quel registro (alle 15:54), è esattamente quando ho tentato di portare la risorsa (Nome server) online.

Tutto l'aiuto è apprezzato!

failover  failovercluster  windows-cluster 
Martin Surasky
fonte

Risposte:

1

Sto rispondendo alla mia domanda poiché, dopo alcune ore di indagine, sono riuscito a trovare una soluzione. Proverò a documentare le cose che ho fatto per chiunque abbia riscontrato questo stesso problema.

Sono state eseguite una combinazione di azioni, non del tutto sicura di cosa sia stato risolto da tutto ciò, ma presumo sia "Ripristina oggetto Active Directory" su Gestione cluster di failover

  • Per prima cosa ho ricomposto gli account di rete del computer per SQL ClusterNodes (DMT-AClusNode e DMT-BClusNode) in Active Directory accedendo come amministratore locale ed emettendo questo: netdom resetpwd /s:dmtdevops.com / ud: dmtdevops.com \ admnistrator / pd: *

  • Quindi sono andato al controller di dominio Active Directory (Utenti e computer di Active Directory) e ho usato il "Controllo delegato ..." (fai clic con il pulsante destro del mouse su Nome dominio nel pannello di sinistra) per delegare il maggior controllo possibile a entrambi gli account computer su i nodi (DMT-ACLUSNODE e DMT-BCLUSNODE) ​​e anche gli account computer per l'oggetto nome cluster (DMT-SQLCLUSTER1) e l'oggetto computer virtuale (DMT-1NETNAME).

  • Ho anche apportato modifiche alla Gestione criteri di gruppo (DMTDevOps.com -> Oggetti Criteri di gruppo -> Criteri dominio predefiniti -> Clic destro -> Modifica ...) quindi (Criteri dominio predefiniti -> Configurazione computer - > Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Assegnazione diritti utente -> Aggiungi criteri workstation a dominio) Su tale criterio ho aggiunto tutti gli account computer che ho citato nel passaggio precedente (DMT -ACLUSNODE, DMT-BCLUSNODE, DMT-SQLCLUSTER1 e DMT-1NETNAME)

  • Infine (e questo è ciò che credo risolva il problema) ho selezionato "Ripara oggetto Active Directory" su Gestione cluster di failover "

Martin Surasky
fonte
Credo che l'ultimo passaggio sia davvero il passaggio che ha risolto il problema, tuttavia senza informazioni più dettagliate sarebbe difficile dimostrarlo. Inoltre, sarei cauto riguardo al passaggio 2/3, poiché ciò potrebbe aver compromesso un po 'di sicurezza di AD, dovrai stare attento che i nodi / le app del cluster non siano compresi e utilizzare i privilegi aggiunti nel passaggio 2 ... comunque; grazie per la restituzione con la tua soluzione.
Edwin van Mierlo,
Grazie Edwin. Penso di aver dimenticato di menzionare, ma tutto è successo su un set di VM all'interno di una rete che utilizzo come sandbox per i miei test, quindi la sicurezza in questo particolare scenario non è stata un problema (almeno per me).
Martin Surasky,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.