Cluster Name Object (CNO) erstellen, Verbindungsprobleme beheben


    Tags: , ,

    Server-ClusterFailover-Cluster spricht man normaler­weise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfi­guration ist oft Ursache für Ver­bindungs­probleme.

    Beim Erstellen eines Clusters gibt man dessen Namen im jeweiligen Tool an, sei es der Failovercluster-Manager, PowerShell oder das Windows Admin Center. Es erzeugt dann im AD auch das gleichnamige CNO und legt einen korres­pondierenden Host-Eintrag im DNS an.

    Prestaging des CNO

    Das CNO findet sich standardmäßig dann im Container Computer. Auch der Cluster-Wizard im Windows Admin Center bietet keine Alternative an. Sieht man dafür einen anderen Ort vor und soll der Cluster von einem Admin erstellt werden, dem die Rechte für das Anlegen von AD-Objekten fehlen, dann kann man das CNO schon vorab erzeugen ("Prestaging").

    Dazu klickt man in Active Directory-Benutzer und -Computer mit der rechten Taste auf die gewünschte OU und führt den Befehl Neu => Computer aus.

    Neues Computer-Objekt für den Cluster-Namen im Active Directory erstellen

    Im folgenden Dialog gibt man dann den gewünschten Namen an. Nach dem Bestätigen sollte man in den Eigenschaften des eben erzeugten CNO unter Objekt die Option Objekt vor zufälligem Löschen schützen aktivieren.

    Namen für das Cluster-Objekt vergeben

    Wichtig ist zudem, dass man aus dem Kontextmenü des Computer-Accounts den Befehl Konto deaktivieren ausführt, damit beim Anlegen des Clusters nicht der Fehler auftritt, wonach das Konto bereits verwendet werde.

    Rechte für Cluster-Admin vergeben

    Falls der Cluster von einem anderen Admin erstellt wird, dann sollte man gewährleisten, dass dieser ausreichende Rechte auf das CNO hat. Dazu öffnet man dessen Eigenschaften, wechselt zum Reiter Sicherheit, fügt die erforderlichen Benutzer bzw. Gruppen hinzu und erteilt ihnen Vollzugriff.

    Schließlich sollte man dem CNO Berechtigungen auf die OU erteilen, in der es enthalten ist, damit der Admin in der Lage ist, Cluster-Rollen hinzufügen. Dazu öffnet man die Eigenschaften der OU, wechselt zur Register­karte Sicherheit und klickt auf Erweitert und danach auf Hinzufügen.

    Über den Link Prinzipal auswählen öffnet man den Auswahldialog für die Konten, die berechtigt werden sollen, und ergänzt dort die Objekttypen um Computer. Anschließend gibt man das CNO ein und bestätigt den Dialog, wenn der Klick auf Namen überprüfen erfolgreich war.

    CNO als Prinzipal für Berechtigungen an der OU auswählen

    In der anschließend angezeigten Liste von Berechtigungen wählt man zusätzlich zu den bereits aktivierten noch Computer-Objekte erstellen aus.

    Das CNO benötigt die Berechtigung zum Erstellen neuer Computer-Objekte.

    Probleme mit fehlendem DNS-Eintrag

    Nun sollte sich ein Server-Verbund mit diesem Namen erzeugen lassen. Wenn man sich anschließend mit dem Cluster verbinden möchte, kann dies aus verschiedenen Gründen fehlschlagen.

    Das Admin Center kann bei ungünstiger DNS-Konfiguration keine Verbindung zum Cluster herstellen.

    Relativ offensichtlich ist die Ursache, wenn man das Windows Admin Center (WAC) verwendet hat. Dessen Cluster Creation Tool scheitert gerne am Erstellen des zugehörigen DNS-Eintrags.

    Im Log findet sich dann das Event 1196 mit folgender Meldung:

    Die Cluster-Netzwerknamensressource "Clustername" konnte mindestens einen dazugehörigen DNS-Namen nicht registrieren. Ursache: Ungültiger DNS-Schlüssel.

    Stellen Sie sicher, dass die Netzwerkadapter, die mit den abhängigen IP-Adressressourcen verknüpft sind, für den Zugriff auf mindestens einen verfügbaren DNS-Server konfiguriert wurden.

    Das Ereignis 1196, hier angezeigt im Failovercluster-Manager, verweist auf das gescheiterte Anlegen des DNS-Records.

    Die entsprechenden Einträge kann man auf einem Cluster-Knoten mit PowerShell so abfragen:

    Get-EventLog -LogName system -InstanceId 1196 -Newest 5

    DNS-Eintrag für CNO erstellen

    Mithin fehlt der DNS-Eintrag nach dem Abschluss der Cluster-Konfiguration, daher muss man ihn selbst erstellen. Im DNS-Manager führt man dazu den Befehl Neuer Host (A oder AAAA) aus, trägt den Cluster-Namen in den Dialog ein und gibt als IP-Adresse jene des Management-Interfaces des Owners ein, um sich unmittelbar verbinden zu können.

    Den Cluster-Owner erhält man, indem man auf einem der Nodes diesen Befehl ausführt:

    Get-ClusterResource| fl -Property *

    Owner-Knoten des Clusters mit PowerShell ermitteln

    Nun ist es wichtig, dass man den Cluster-Knoten und dem CNO den Vollzugriff auf den Eintrag erteilt. Dies ist notwendig, da die Cluster-Ownership zwischen den Nodes wechselt und diese daher in der Lage sein müssen, den DNS-Eintrag selbständig zu aktualisieren.

    Dazu öffnet man die Eigenschaften des neuen Eintrags, wechselt zum Reiter Sicherheit und klickt auf Hinzufügen. Anschließend muss man unter Objekttypen wieder Computer aktivieren, so dass man dann nach den Namen der Knoten und dem CNO suchen kann. Abschließend bestätigt man die geänderten Berechtigungen.

    Die Cluster-Knoten und das CNO müssen Vollzugriff auf den DNS-Eintrag des CNO erhalten.

    Ungeeignete DNS-Server entfernen

    Eine weitere Hürde bei der Verbindung zu einem Cluster kann darin bestehen, dass die Netzwerk­konfiguration der Cluster-Knoten einen DNS-Server enthält, für sie keine Berechtigungen haben. Dabei handelt es sich typischerweise um solche des Internet-Providers oder öffentliche DNS-Server wie jene von Google.

    In diesem Fall kann man, falls man für die Cluster-Konfiguration das WAC nutzt, sich dort direkt mit den einzelnen Knoten verbinden und über das Netzwerk-Tool etwa über einen statischen Eintrag nur die internen DNS-Server hinzufügen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links