手机站 | 电信站 | 联通站| 业务咨询:400-777-3808

Active Directory单域控ad失败丢失损坏windows群集ker

Active Directory单域控ad失败丢失损坏,也没有备份。
win2012 上建群集,然后在群集里运安装了win2012 Active Directory 。有一天存储不停重启,导致win2012 直接启动蓝屏(win2012-r2 错误码0xc00002e2)。只有开机进入活动目录修复模式才能进入系统。百度 微软里各种技术贴看了三天三夜,恢复不了。
esentutl /r "c:\windows\ntds\ntds.dit"
NTDSUTIL
netdom add KL-GROUP /domain:ad.net /userd:administrator 
PS C:\Users\Administrator.AD-5-250> netdom add KL-GROUP /domain:ad.net /userd:administrator /passwordd:******
 
好在2年前做了一下vhd 的备份,可以启动。以为就这样可以正常了。进系统所有的计算机名全部不认 。网上很多办法是用来恢复最近删除AD帐号的  (AD管理中心 -》本地-》Deleted Objects 容器-》找到对应的计算机名 点右键 还原) 。只是我的计算机名都在 

群集错误代码1196 2107 2106   kerberos认证失败

解决方步骤
   1.检查域控AD用于群集管理用户名 和 密码,不记得了就重新建一个,或修改密码。
   2.把群集节点服务器退出域 切到工作组 (本地服务器-> 计算机名-> 更改->工作组 (随便乱写个)  ,生效后通知要重启,你不听。再切换到域,这时需要录入域控AD的管理用户名 和 密码,这样就把节点重新加入域了。 反复操作,把所有的节点服务器都重新加入到域
   3.群集重新加入域控 。打开故障转移群集管理器 点开你原来建的 群集 , 屏中间 下面 有群集核心资源,点开 找到服务器名点 右键 -> 更多操作 ->修复 (正常情况是灰色 不可用状态。那就 点一下面的 “模拟故障” 好了,前面的“修复”变成可操作状态了。点修复,集群名应该就重新加到域控AD了。 )


耗时一个星期,参考有用的文档如下

URL https://technet.microsoft.com/en-us/library/cc731002(v=ws.10).aspx

Account that are created at the end of this article

For the folks like me, 

1. Cluster Administrator Account (for the person who logs in and creates windows cluster) 'ClustAdmin'

2. Windows Cluster Name in AD, create this as a new computer in active director  'CLUSTER1'

3. Cluster Application Service Account, create this also a new computer (why cant't it be just a user account?) call it 'Application1'

4. Now give permissions to each other.

ClustAdmin -> get full control on CLUSTER1 and CLUSTER1-> get full control on Application1

5. Right click on Computer folder and give two permissions.

and go to Advanced and give ClustAdmin and CLUSTER1 two permissions 'Create Computer Objects' and 'Read all Properties'




URL http://dufei.blog.51cto.com/blog/382644/940301 


群集网络名称资源注册DNS时失败,系统日志有如下报错,事件号是1196。同样的报错在同一个网络名称资源上每隔15分钟会出现一次。由于客户的群集环境中有很多网络名称资源,因此系统日志基本被这个错误填满了。
Error 1196 Cluster network name resource 'Cluster Name' failed registration of one or more associated DNS name(s) for the following reason: DNS bad key.
通常,DNS注册失败的原因有很多,但是在群集环境中比较常见的原因是权限不够。那么,在群集环境中,谁才有权限去注册或更新这些DNS记录呢?说到这里,我们就要说一下Windows Server 2008以后群集服务帐户的一个改变。
在Windows Server 2003以前的群集技术中,群集服务是在一个域用户帐户的上下文中。该帐户在每一个群集节点上必须满足一定的权限要求,群集服务才能正常工作。 由于群集服务帐户是一个域帐号,所以这个帐户会受到很多组策略的影响,密码过期策略、 用户权限分配、 本地和域组成员身份等等。在运行过程中,如果群集服务帐户的密码修改了或者群集服务帐号的权限被误删误改了,都可能影响到群集服务无法正常工作。
在 Windows Server 2008以后的故障转移群集中,群集服务不再在域用户帐户的上下文中运行,而是在群集节点的本地系统帐户的上下文中运行。在故障转移群集安装过程中,一个域用户帐户只是完成群集验证和创建的任务。要完成这些任务,我们只需要让该帐户具有本地管理员和在域中创建计算机对象的权限。
在创建群集之后,群集不需要这个帐户,也可以正常工作。但是,域用户帐户才能管理群集。若要管理群集,这个域用户帐户必须是每个群集节点上本地管理员组的管理群集。接下来,故障转移群集会在群集名所对应的计算机对象的管理下进行工作。这个计算机对象也叫做群集名对象(CNO)。CNO还会负责创建所有其他的网络名资源。我们称这些网络名资源为虚拟计算机对象(VCO)。
举个例子,如果我们创建一个群集,群集名为DipCluster,接下来我们再创建一个FileServer001的网络名资源。这样,AD里就会创建出两个计算机对象,DipCluster(CNO)和FileServer001(VCO)。
 
CNO在管理所有的VCO时,也有一个最小的权限集。但是一般我们都建议在VCO的Security页面上分配给CNO FULL Control。具体所需要的最小权限集,大家可以查看以下文档:
Rights needed for user account when precreating a Cluster Name Object (CNO) on Windows Server 2008 R2 Failover Cluster
http://blogs.technet.com/b/askcore/archive/2011/06/22/rights-needed-for-user-account-when-precreating-a-cluster-name-object-cno-on-windows-server-2008-r2-failover-cluster.aspx
同时DNS也会注册两条Host A记录。
 
CNO会对所有的网络资源名的A记录有FULL Control,包括它自己。
 
通过上面的描述,我想大家就清楚该如何继续解决我们的问题了:
检查所有VCO的权限,确认CNO管理VCO所需的权限是否都满足。
检查所有DNA Host A记录,确认CNO有Full Control。
在我们实际问题的处理过程中,我曾经发现CNO在用户AD中的环境中丢失了。因此,在分配校正这些权限时,我们需要先帮助客户恢复CNO。具体的恢复办法,我们会在另外一篇文章中详细描述。
 
分享到:

热门关注