计算机删除网络对象,恢复故障转移群集中已删除的计算机对象 - Windows Server

如何恢复在故障转移群集中支持网络名称资源的已删除计算机对象

09/14/2020

本文内容

本文介绍如何恢复在故障转移群集中支持网络名称资源的已删除计算机对象。

适用于： Windows Server 2012R2

原始 KB 编号： 950805

摘要

默认情况下，Windows Server 2008 或 Windows Server 2008 R2 故障转移群集中的新安全模型包括 Kerberos 身份验证。为了创建此安全模型，在 Windows Server 2008 或 Windows Server 2008 R2 故障转移群集中创建的每个客户端访问点 (CAP) 都包含网络名称资源。网络名称资源具有相应的计算机帐户，该帐户在资源第一次联机时在 Active Directory 目录服务中创建。

默认情况下，计算机帐户是在计算机容器中创建的。但是，计算机帐户可以重新定位到 OU (组织) 。创建 CAP 之前，还可以在 OU 中预先存储计算机帐户。如果从 Active Directory 中删除这些计算机帐户，则网络名称资源的可用性将降低。

在 Active Directory 中创建的计算机帐户表示故障转移群集中的网络名称资源。这些帐户具有以下不同类型的帐户：

表示群集名称的计算机帐户称为"群集名称对象" (CNO) 。此帐户是群集的主要安全上下文。

属于同一群集中的网络名称资源的其他计算机帐户称为虚拟计算机对象 (VCOs) 。这些帐户由 CNO 创建。如果从 Active Directory 中删除其中任一帐户，则网络名称下次尝试联机时，网络名称将失败，系统日志中会记录以下错误消息：事件 ID： 1207

事件级别：错误

事件源：FailoverClustering

事件 ID：1207

说明：群集网络名称资源 ResourceName 无法联机。由于以下原因，无法更新域 DomainName 中与资源关联的计算机对象：

关联的错误代码的文本为：服务器上没有此类对象。

群集标识 CNO$Name 可能缺少更新对象所需的权限。与域管理员合作，确保群集标识可以更新域中的计算机对象。

群集日志中记录了以下消息：

WARN [RES] Network Name ： Trying to remove credentials for LocalSystem returned status C0000225， STATUS_NOT_FOUND is a non-critical failure for a remove operation INFO [RES] Network Name ： Initiating the Network Name operation： 'Verifying computer object associated with network name resource FSCAP01' INFO [RES] 网络名称：尝试在任何可用的域控制器上查找计算机帐户 FSCAP01 对象 GUID (d66e09dd8857e84da1f3a26fb1903e38) 。

警告 [RES] 网络名称：搜索现有计算机帐户失败。 status 80072030 WARN [RES] Network Name ： Search for existing computer account failed. status 80072030 INFO [RES] Network Name ： Trying to find object d66e09dd8857e84da1f3a26fb1903e38 on a PDC.

警告 [RES] 网络名称：搜索现有计算机帐户失败。 status 80072030 INFO [RES] Network Name ： Unable to find object d66e09dd8857e84da1f3a26fb1903e38 on a PDC.

INFO [RES] 网络名称：GetComputerObjectViaGUIDEx () 失败，状态 80072030。

WARN [RES] Network Name ： Trying to remove credentials for LocalSystem returned status C0000225， STATUS_NOT_FOUND is a non-critical failure for a remove operation WARN [RHS] Resource FSCAP01 has indicated that it cannot come online on this node.

WARN [RCM] HandleMonitorReply： ONLINERESOURCE for 'FSCAP01'， gen (8) result 5015.

注意：状态 80072030 = 服务器上没有此类对象

但是，即使在网络名称资源脱机和联机循环之前，也会出现问题。例如，无法获取表示 Active Directory 中的群集计算机对象的安全令牌时，用户或高度可用的应用程序可能无法访问资源。

从删除与群集网络名称资源关联的计算机对象中恢复对于 CNO 来说与从删除 VCO 的计算机对象中恢复不同。

若要恢复与 CNO 对应的已删除计算机对象，请按照以下步骤操作：

与域管理员协调，以首先从 Active Directory 中的"已删除对象"容器中恢复已删除的计算机对象。

验证计算机对象已还原到正确的位置，然后启用该帐户。

强制进行域复制，或等待配置的复制间隔。

在故障转移群集管理 Microsoft 管理控制台 (MMC) 管理单元中，右键单击与群集名称对应的故障网络名称，指向"更多操作"，然后单击"修复 Active Directory 对象"。

备注

执行故障转移群集管理 MMC 管理单元中的这些步骤的用户还必须在域中拥有"重置密码"权限。

若要恢复与 VCO 对应的已删除计算机对象，请按照以下步骤操作：