Windows Server 2008 R1/R2 Failover Cluster & Active Directory Berechtigungen

Bei einem Kunden traten im Zusammenhang mit geänderter Rechtedelegation im Active Directory und einem Windows 2008 Failover Cluster Probleme bei der Erstellung eines neuen Clusters auf.

Bei einem Windows 2008 Failover Cluster wird für den Cluster ein „Virtual Computer Object“ ( VCO ) im Active Directory vom Cluster Wizard angelegt. Hierbei handelt es sich um ein Computer Objekt im Active Directory welches den Namen des Clusters erhällt „Cluster Name Object“ ( CNO ).

Bsp.: MSCLUSTER-A

Der Account, welcher den Cluster Wizard started muss das Recht haben das Computer Objekt im Active Directory anzulegen!

Unser Problem bestand darin, als wir bei dem Erstellen von „Services and applications“ im Cluster immer einen Fehler bekommen hatten, als wir den Resource Type „Network Name“ online nehmen wollten. Für jeden Resource vom Typ „Network Name“ wird ein weiteres „Virtual Computer Object“ im Active Directory angelegt.

Bsp.: MSCLUSTERGRP-1

Durch die geänderte Rechetdelegation im Active Directory des Kunden haben Computer Objekte nicht mehr das Recht andere Computer Objekte zu Aktivieren/Deaktivieren oder die Passwörter zu ändern. Genau das war unser Problem. Das Computer Objekt ( MSCLUSTER-A ) hat keine Rechte auf das Computer Objekt ( MSCLUSTERGRP-1 ).

Lösung: Wir habe auf allen weiteren Computer Objekten, welche durch den Cluster angelegt wurden das Computer Objekt (  MSCLUSTER-A ) mit Full Control berechtigt. Anschließend konnten wir alle Resourcen ohne Probleme online nehmen.