次の方法で共有

Active Directory でクラスター アカウントを構成する

Active Directory (AD) のクラスター アカウントは、Windows Server フェールオーバー クラスターのセキュリティで保護された信頼性の高い操作に不可欠です。 これらのアカウントには、クラスター名アカウントとクラスター化されたサービスまたはアプリケーションのアカウントが含まれており、クラスターがドメイン リソースと対話し、アクションを認証し、アクセス許可を管理できます。 これらのアカウントを適切に構成することで、組織のセキュリティ ポリシーとベスト プラクティスに従ってクラスターを作成、管理、および管理できます。

[前提条件]

Active Directory Domain Services ロールがデバイスにインストールされている必要があります。 詳細については、「 Windows Server での役割と機能の追加または削除」を参照してください。

クラスターをインストールするユーザーが使用するアカウントは、セットアップ中にクラスターのコンピューター アカウントを作成するために使用されるため、重要です。 シナリオに基づいて、次のものが必要です。

  • ドメイン アカウント: AD でクラスター アカウントを作成し、必要なアクセス許可を割り当てる責任がある場合は、ドメイン レベルの特権が必要です。 Domain Admins または Account Operators グループのメンバーであるか、同等のアクセス許可を持っている必要があります。

  • ローカルアクセス許可の割り当て: クラスター アカウントが他のユーザーによって AD で既に作成されており、このアカウントを各クラスター サーバーのローカル Administrators グループに追加する場合は、それらのサーバーに対する管理者権限のみが必要です。 各サーバーのローカル Administrators グループのメンバーである必要があります。

クラスター アカウントを構成する

クラスターをインストールするユーザーのドメイン アカウントを作成または取得します。 このアカウントには、標準ドメイン ユーザー アカウントまたは アカウント オペレーター アカウントを指定できます。 標準ユーザー アカウントを使用している場合は、このプロセスの後半で追加のアクセス許可を付与する必要があります。 作成または取得したアカウントがドメイン コンピューターのローカル Administrators グループに自動的に含まれていない場合は、次の手順に従って、フェールオーバー クラスターの一部となる各サーバーのローカル Administrators グループに追加します。

  1. サーバー マネージャーで、[ツール] を選択し、[コンピューターの管理] を選択します。

  2. 左側のウィンドウの [ システム ツール] で、[ ローカル ユーザーとグループ] を展開し、[グループ] を展開 します

  3. 中央のウィンドウで[ 管理者]を右クリックし、[ グループに追加]、[ 追加]の順に選択します。

  4. [ 選択するオブジェクト名を入力 してください] フィールドで、作成または取得したユーザー アカウントの名前を入力または検索します。 メッセージが表示されたら、資格情報を入力し、[ OK] を選択します。

フェールオーバー クラスター内のノードになる各サーバーで、これらの手順を繰り返します。

Von Bedeutung

これらの手順は、クラスター内のノードになるすべてのサーバーで繰り返す必要があります。

アカウントがドメイン管理者の場合は、次の手順をスキップできます。 それ以外の場合は、ドメイン コントローラー (DC) で次の手順に従って、ドメインのコンピューター アカウント コンテナーのアカウントの [コンピューター オブジェクトの作成 ] と [すべてのプロパティの読み取り ] アクセス許可を付与する必要があります。

  1. サーバー マネージャーで、[ツール] を選択し、[Active Directory ユーザーとコンピューター] を選択します。

  2. [ 表示 ] タブを選択し、[ 高度な機能] を選択します。

  3. 左側のウィンドウで、ドメインを展開し、[ コンピューター] を右クリックし、[ プロパティ] を選択します。

  4. [セキュリティ] タブを選択してから、[詳細] を選択します。

  5. [ 追加] を選択し、[ プリンシパルの選択] を選択し、アカウントの名前を入力または検索して、[ OK] を選択します

  6. [ アクセス許可] で、[ コンピューター オブジェクトの作成] を選択します。 [ プロパティ] で、[ すべてのプロパティの読み取り] を選択します。 その後、OK を選択します。

  7. [ OK] を 選択して [ セキュリティの詳細設定] ウィンドウを閉じ、もう一度 [OK] を選択します

クラスター名アカウントを事前設定する

組織のポリシーでクラスター名アカウントを事前設定する必要がある場合は、指定された手順に従います。 それ以外の場合は、クラスターの作成ウィザードで、クラスターのセットアップ中にアカウントを自動的に作成および構成できます。 開始する前に、クラスター名と、クラスターの作成に使用されるユーザー アカウントがあることを確認します。 このアカウントを使用して、事前設定手順を完了できます。

  1. DC で[ スタート]、[ 管理ツール]、[ Active Directory ユーザーとコンピューター] の順に選択します。

  2. 左側のウィンドウで、[ コンピューター] を右クリックし、[ 新規作成>Computer] を選択します。

  3. フェールオーバー クラスターに使用する名前を入力します。 これは、クラスターの作成ウィザードに入力されたクラスター名です。 [OK] を選択します

  4. 作成したアカウントを右クリックし、[ アカウントの無効化] を選択します。 選択内容を確認するメッセージが表示されたら、[ はい] を選択し、[ OK] を選択します

    アカウントを無効にすると、クラスターの作成ウィザードで、先に進む前に、アカウントがドメイン内の別のコンピューターまたはクラスターにまだ割り当てられていないことを確認できます。

  5. [ 表示 ] タブを選択し、[ 高度な機能] が選択されていることを確認します。 そうでない場合は、それを選択します。

  6. [コンピューター] を右クリックし、[プロパティ] を選択し、[セキュリティ] タブを選択し、[詳細設定] を選択します。

  7. [ 追加] を選択し、[ プリンシパルの選択] を選択し、[ オブジェクトの種類] を選択し、[ コンピューター] が選択されていることを確認します。 その後、OK を選択します。

  8. 選択 するオブジェクト名を入力し、作成したコンピューター アカウントの名前を入力または検索し、[ OK] を選択します

  9. 無効なオブジェクトの追加を通知するセキュリティ メッセージが表示されます。 [OK] を選択.

  10. [ アクセス許可] で、[ コンピューター オブジェクトの作成] を選択します。 [ プロパティ] で、[ すべてのプロパティの読み取り] を選択します。 [ OK] を選択し、もう一度 [OK] を選択します

同じアカウントを使用してクラスターを作成し、この手順を実行している場合は、次の手順をスキップできます。 それ以外の場合は、クラスターの作成に指定されたユーザー アカウントに、作成したコンピューター アカウントに対するフル コントロールアクセス許可があることを確認します。

  1. Active Directory ユーザーとコンピューターで、[表示] タブを選択します。[高度な機能] が選択されていることを確認します。 そうでない場合は、それを選択します。

  2. 左側のウィンドウで、[ コンピューター] を選択します。 作成したコンピューター アカウントを右クリックし、[プロパティ] を選択 します

  3. [ セキュリティ ] タブを選択し、[ 追加] を選択し、[ オブジェクトの種類] を選択し、[ コンピューター] が選択されていることを確認します。 その後、OK を選択します。

  4. [ 選択するオブジェクト名を入力してください] で、コンピューター アカウントの名前を入力または検索し、[ OK] を選択します

  5. 追加したユーザー アカウントが選択されていることを確認します。 [アカウントの アクセス許可 ] で、[ フル コントロール] を選択し、[ OK] を選択します

クラスター化されたサービスまたはアプリケーションのアカウントを事前設定する (省略可能)

ほとんどのシナリオでは、高可用性ウィザードでセットアップ中にアカウントを自動的に作成して構成する方が簡単です。 組織のポリシーで事前設定が必要な場合は、次の手順に従います。

クラスターの名前と、クラスター化されたサービスまたはアプリケーションに使用する名前を確認します。

  1. DC の サーバー マネージャーで、[ ツール] を選択し、[ Active Directory ユーザーとコンピューター] を選択します。

  2. 左側のウィンドウで、[ コンピューター] を右クリックし、[ 新規作成>Computer] を選択します。

  3. クラスター化されたサービスまたはアプリケーションに使用する名前を入力し、[ OK] を選択します。

  4. [ 表示 ] タブを選択します。 [高度な機能] が選択されていることを確認します。 そうでない場合は、それを選択します。

  5. 作成したコンピューター アカウントを右クリックし、[ プロパティ] を選択し、[ セキュリティ ] タブを選択して、[ 追加] を選択します。

  6. [オブジェクトの種類] を選択し、[コンピューター] が選択されていることを確認します。 その後、OK を選択します。

  7. 選択するオブジェクト名を入力し、「クラスター名アカウント」を入力して、「OK」を選択します。

  8. クラスター名アカウントが選択されていることを確認し、[ フル コントロール] を選択し、[ OK] を選択します

こちらも参照ください

  • Last updated on