このトピックでは、Active Directory ドメイン サービス (AD DS) でクラスター コンピューター オブジェクトをプレステージする方法について説明します。 この手順を使用すると、ユーザーまたはグループが AD DS でコンピューター オブジェクトを作成する権限を持っていない場合でも、フェールオーバー クラスターを作成できるようになります。
クラスターの作成ウィザードまたは Windows PowerShell を使用してフェールオーバー クラスターを作成する場合は、クラスターの名前を指定します。 十分なアクセス許可がある場合、クラスター作成プロセスによって、クラスター名と一致するコンピューター オブジェクトが AD DS に自動的に作成されます。 このオブジェクトは、"クラスター名オブジェクト" (CNO) とも呼ばれます。 CNO を使用して、クライアント アクセス ポイントを使用するクラスター化された役割を設定すると、仮想コンピューター オブジェクト (VCO) が自動的に作成されます。 たとえば、 FileServer1 という名前のクライアント アクセス ポイントを持つ高可用性ファイル サーバーを作成すると、CNO によって AD DS に対応する VCO が作成されます。
Note
AD DS で CNO または VCO が作成されない Active Directory デタッチ クラスターを作成できます。 このオプションは、特定の種類のクラスターデプロイ用です。 詳細については、「Active Directory からデタッチされたクラスターを展開する」を参照してください。
CNO を自動的に作成するには、フェールオーバー クラスターを作成するユーザーには、クラスターを形成するサーバーが存在する組織単位 (OU) またはコンテナーに対する コンピューター オブジェクトの作成 アクセス許可が必要です。 このアクセス許可なしでユーザーまたはグループがクラスターを作成できるようにするには、AD DS で適切なアクセス許可を持つユーザー (通常はドメイン管理者) が AD DS で CNO を事前設定できます。 また、この方法により、ドメイン管理者はクラスターの名前付け規則と、クラスター オブジェクトを含む OU をより詳細に制御できます。
手順 1: AD DS で CNO をプレステージする
開始する前に、次のことがわかっていることを確認してください。
- クラスターに割り当てる名前
- クラスターを作成するユーザー アカウントまたはグループの名前
ベスト プラクティスとして、クラスター オブジェクトの OU を作成します。 使用する OU が既に存在する場合は、この手順を完了するために アカウントオペレーター グループのメンバーシップが最低限必要です。 クラスター オブジェクトの OU を作成する必要がある場合は、 Domain Admins グループのメンバーシップまたはそれと同等のものが、この手順を完了するために最低限必要です。
Note
OU ではなく既定のコンピューター コンテナーに CNO を作成する場合は、このトピックの手順 3 を完了する必要はありません。 このシナリオでは、クラスター管理者は、追加の構成なしで最大 10 個の VCO を作成できます。
AD DS で CNO をプレステージする
リモート サーバー管理ツールから AD DS ツールを使用しているコンピューターまたはドメイン コントローラーで、 Active Directory ユーザーとコンピューターを開きます。 サーバーでこれを行うには、サーバー マネージャーを起動し、[ ツール ] メニューの [Active Directory ユーザーとコンピューター] を選択します。
クラスター コンピューター オブジェクトの OU を作成するには、ドメイン名または既存の OU を右クリックし、[ 新規] をポイントして、[ 組織単位] を選択します。 [ 名前 ] ボックスに OU の名前を入力し、[ OK] を選択します。
コンソール ツリーで、CNO を作成する OU を右クリックし、[ 新規] をポイントして、[コンピューター] を選択 します。
[ コンピューター名 ] ボックスに、フェールオーバー クラスターに使用する名前を入力し、[ OK] を選択します。
Note
これは、クラスターを作成するユーザーがクラスターの作成ウィザードの [クラスター管理用のアクセス ポイント] ページで指定するか、 –Name Windows PowerShell コマンドレットで New-Cluster パラメーターの値として指定するクラスター名です。
ベスト プラクティスとして、先ほど作成したコンピューター アカウントを右クリックし、[ プロパティ] を選択し、[ オブジェクト ] タブを選択します。[ オブジェクト ] タブで、[ 誤って削除されないようにオブジェクトを保護 する] チェック ボックスをオンにし、[ OK] を選択します。
先ほど作成したコンピューター アカウントを右クリックし、[ アカウントの無効化] を選択します。 [ はい ] を選択して確定し、[ OK] を選択します。
Note
クラスターの作成中は、ドメイン内の既存のコンピューターまたはクラスターによってアカウントが使用されていないことをクラスターの作成プロセスが確認できるように、アカウントを無効にする必要があります。
図 1. サンプル クラスター OU での無効化された CNO
手順 2: クラスターを作成する権限をユーザーに与える
フェールオーバー クラスターの作成に使用するユーザー アカウントが CNO に対してフル コントロールの権限を持つように、権限を構成する必要があります。
アカウント オペレーター グループのメンバーシップは、この手順を完了するために最低限必要です。
クラスターを作成する権限をユーザーに与える方法は次のとおりです。
[Active Directory ユーザーとコンピューター] の [ 表示 ] メニューで、[ 高度な機能] が選択されていることを確認します。
CNO を見つけて右クリックし、[ プロパティ] を選択します。
[Security (セキュリティ)] タブで [Add (追加)] を選択します。
[ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスで、権限を付与する対象のユーザー アカウントまたはグループを指定し、[OK] を選択します。
追加したユーザー アカウントまたはグループを選択し、[ フル コントロール] の横にある [ 許可 ] チェック ボックスをオンにします。
図 2. クラスターを作成するユーザーまたはグループへのフル コントロールの許可
[OK] を選択.
この手順を完了すると、権限を付与されたユーザーがフェールオーバー クラスターを作成できるようになります。 ただし、CNO が OU 内にある場合は、手順 3. が完了するまで、クライアント アクセス ポイントを必要とするクラスター化された役割をユーザーが作成することはできません。
Note
CNO が既定の Computers コンテナー内にある場合、クラスター管理者は追加の構成をしなくても、最大で 10 個の VCO を作成できます。 10 個以上の VCO を追加するには、Computers コンテナーの CNO に "コンピューター オブジェクトを作成する" 権限を明示的に付与する必要があります。
手順 3: CNO に OU へのアクセス許可を与えるか、クラスター化された役割のための VCO をプレステージする
クライアント アクセス ポイントを持つクラスター化された役割を作成する場合、クラスターは CNO と同じ OU 内に VCO を作成します。 この動作が自動的に行われるようにするために、CNO は OU にコンピューター オブジェクトを作成する権限を持っている必要があります。
AD DS で CNO をプレステージした場合、VCO を作成するには、次のいずれかの操作を行います。
- オプション 1: CNO に OU へのアクセス許可を与えます。 このオプションを使用すると、クラスターは自動的に AD DS 内に VCO を作成できます。 そのため、フェールオーバー クラスターの管理者は、AD DS 内で VCO がプレステージされていなくても、クラスター化された役割を作成できます。
Note
Domain Admins グループまたは同等のメンバーシップは、このオプションの手順を完了するために最低限必要です。
- オプション 2: クラスター化された役割のために VCO をプレステージします。 組織の要件によって、クラスター化された役割のためのアカウントをプレステージする必要がある場合は、このオプションを使用します。 たとえば、命名規則を制御したり、どのクラスター化された役割が作成されるかを制御したい場合があります。
Note
このオプションの手順を完了するには、[ アカウントオペレーター] グループのメンバーシップが最低限必要です。
CNO に OU へのアクセス許可を与える
[Active Directory ユーザーとコンピューター] の [ 表示 ] メニューで、[ 高度な機能] が選択されていることを確認します。
「手順 1: AD DS で CNO をプレステージする」で CNO を作成した OU を右クリックし、[プロパティ] を選択します。
[セキュリティ] タブで、[詳細設定] を選択します。
[セキュリティの詳細設定] ダイアログ ボックスで、[追加] を選択します。
プリンシパル の横にある プリンシパルの選択 をクリックします。
[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] を選択し、[コンピューター] チェック ボックスをオンにして [OK] を選択します。
[選択するオブジェクト名を入力してください] に CNO の名前を入力し、[名前の確認] を選択して [OK] を選択します。 無効なオブジェクトを追加しようとしていることを示す警告メッセージに応答して、[ OK] を選択します。
[ 権限エントリ ] ダイアログ ボックスで、[ 種類 ] リストが [許可] に設定され、[ 適用 対象] リストが [このオブジェクトとすべての子孫オブジェクト] に設定されていることを確認します。
[ アクセス許可] で、[ コンピューター オブジェクトの作成 ] チェック ボックスをオンにします。
図 3. CNO へのコンピューター オブジェクトを作成する権限の付与
Active Directory ユーザーとコンピューター スナップインに戻るまで、[ OK] を選択します 。
フェールオーバー クラスターの管理者は、クライアント アクセス ポイントを持つクラスター化された役割を作成し、リソースをオンラインにできるようになりました。
クラスター化された役割のために VCO をプレステージする
操作を始める前に、クラスターの名前と、クラスター化された役割に使用する名前を確認します。
[Active Directory ユーザーとコンピューター] の [ 表示 ] メニューで、[ 高度な機能] が選択されていることを確認します。
Active Directory ユーザーとコンピューターで、クラスターの CNO が存在する OU を右クリックし、[ 新規] をポイントして、[コンピューター] を選択 します。
[ コンピューター名 ] ボックスに、クラスター化された役割に使用する名前を入力し、[ OK] を選択します。
ベスト プラクティスとして、先ほど作成したコンピューター アカウントを右クリックし、[ プロパティ] を選択し、[ オブジェクト ] タブを選択します。[ オブジェクト ] タブで、[ 誤って削除されないようにオブジェクトを保護 する] チェック ボックスをオンにし、[ OK] を選択します。
先ほど作成したコンピューター アカウントを右クリックし、[ プロパティ] を選択します。
[Security (セキュリティ)] タブで [Add (追加)] を選択します。
[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] を選択し、[コンピューター] チェック ボックスをオンにして [OK] を選択します。
[選択するオブジェクト名を入力してください] に CNO の名前を入力し、[名前の確認] を選択して [OK] を選択します。 無効なオブジェクトを追加しようとしていることを示す警告メッセージが表示された場合は、[ OK] を選択します。
CNO が選択されていることを確認し、[ フル コントロール] の横にある [ 許可 ] チェック ボックスをオンにします。
[OK] を選択.
フェールオーバー クラスターの管理者は、プレステージされた VCO 名と一致するクライアント アクセス ポイントを持つクラスター化された役割を作成し、リソースをオンラインにできるようになりました。