Tags: Cluster, DNS, Active Directory
Failover-Cluster spricht man normalerweise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfiguration ist oft Ursache für Verbindungsprobleme.
Beim Erstellen eines Clusters gibt man dessen Namen im jeweiligen Tool an, sei es der Failovercluster-Manager, PowerShell oder das Windows Admin Center. Es erzeugt dann im AD auch das gleichnamige CNO und legt einen korrespondierenden Host-Eintrag im DNS an.
Prestaging des CNO
Das CNO findet sich standardmäßig dann im Container Computer. Auch der Cluster-Wizard im Windows Admin Center bietet keine Alternative an. Sieht man dafür einen anderen Ort vor und soll der Cluster von einem Admin erstellt werden, dem die Rechte für das Anlegen von AD-Objekten fehlen, dann kann man das CNO schon vorab erzeugen ("Prestaging").
Dazu klickt man in Active Directory-Benutzer und -Computer mit der rechten Taste auf die gewünschte OU und führt den Befehl Neu => Computer aus.
Im folgenden Dialog gibt man dann den gewünschten Namen an. Nach dem Bestätigen sollte man in den Eigenschaften des eben erzeugten CNO unter Objekt die Option Objekt vor zufälligem Löschen schützen aktivieren.
Wichtig ist zudem, dass man aus dem Kontextmenü des Computer-Accounts den Befehl Konto deaktivieren ausführt, damit beim Anlegen des Clusters nicht der Fehler auftritt, wonach das Konto bereits verwendet werde.
Rechte für Cluster-Admin vergeben
Falls der Cluster von einem anderen Admin erstellt wird, dann sollte man gewährleisten, dass dieser ausreichende Rechte auf das CNO hat. Dazu öffnet man dessen Eigenschaften, wechselt zum Reiter Sicherheit, fügt die erforderlichen Benutzer bzw. Gruppen hinzu und erteilt ihnen Vollzugriff.
Schließlich sollte man dem CNO Berechtigungen auf die OU erteilen, in der es enthalten ist, damit der Admin in der Lage ist, Cluster-Rollen hinzufügen. Dazu öffnet man die Eigenschaften der OU, wechselt zur Registerkarte Sicherheit und klickt auf Erweitert und danach auf Hinzufügen.
Über den Link Prinzipal auswählen öffnet man den Auswahldialog für die Konten, die berechtigt werden sollen, und ergänzt dort die Objekttypen um Computer. Anschließend gibt man das CNO ein und bestätigt den Dialog, wenn der Klick auf Namen überprüfen erfolgreich war.
In der anschließend angezeigten Liste von Berechtigungen wählt man zusätzlich zu den bereits aktivierten noch Computer-Objekte erstellen aus.
Probleme mit fehlendem DNS-Eintrag
Nun sollte sich ein Server-Verbund mit diesem Namen erzeugen lassen. Wenn man sich anschließend mit dem Cluster verbinden möchte, kann dies aus verschiedenen Gründen fehlschlagen.
Relativ offensichtlich ist die Ursache, wenn man das Windows Admin Center (WAC) verwendet hat. Dessen Cluster Creation Tool scheitert gerne am Erstellen des zugehörigen DNS-Eintrags.
Im Log findet sich dann das Event 1196 mit folgender Meldung:
Die Cluster-Netzwerknamensressource "Clustername" konnte mindestens einen dazugehörigen DNS-Namen nicht registrieren. Ursache: Ungültiger DNS-Schlüssel.
Stellen Sie sicher, dass die Netzwerkadapter, die mit den abhängigen IP-Adressressourcen verknüpft sind, für den Zugriff auf mindestens einen verfügbaren DNS-Server konfiguriert wurden.
Die entsprechenden Einträge kann man auf einem Cluster-Knoten mit PowerShell so abfragen:
Get-EventLog -LogName system -InstanceId 1196 -Newest 5
DNS-Eintrag für CNO erstellen
Mithin fehlt der DNS-Eintrag nach dem Abschluss der Cluster-Konfiguration, daher muss man ihn selbst erstellen. Im DNS-Manager führt man dazu den Befehl Neuer Host (A oder AAAA) aus, trägt den Cluster-Namen in den Dialog ein und gibt als IP-Adresse jene des Management-Interfaces des Owners ein, um sich unmittelbar verbinden zu können.
Den Cluster-Owner erhält man, indem man auf einem der Nodes diesen Befehl ausführt:
Get-ClusterResource| fl -Property *
Nun ist es wichtig, dass man den Cluster-Knoten und dem CNO den Vollzugriff auf den Eintrag erteilt. Dies ist notwendig, da die Cluster-Ownership zwischen den Nodes wechselt und diese daher in der Lage sein müssen, den DNS-Eintrag selbständig zu aktualisieren.
Dazu öffnet man die Eigenschaften des neuen Eintrags, wechselt zum Reiter Sicherheit und klickt auf Hinzufügen. Anschließend muss man unter Objekttypen wieder Computer aktivieren, so dass man dann nach den Namen der Knoten und dem CNO suchen kann. Abschließend bestätigt man die geänderten Berechtigungen.
Ungeeignete DNS-Server entfernen
Eine weitere Hürde bei der Verbindung zu einem Cluster kann darin bestehen, dass die Netzwerkkonfiguration der Cluster-Knoten einen DNS-Server enthält, für sie keine Berechtigungen haben. Dabei handelt es sich typischerweise um solche des Internet-Providers oder öffentliche DNS-Server wie jene von Google.
In diesem Fall kann man, falls man für die Cluster-Konfiguration das WAC nutzt, sich dort direkt mit den einzelnen Knoten verbinden und über das Netzwerk-Tool etwa über einen statischen Eintrag nur die internen DNS-Server hinzufügen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Split-brain DNS in Active Directory einrichten
- Lösung für: Es kann keine Verbindung mit einer Domäne oder zum Domain Controller hergestellt werden
- Windows Admin Center 2007: GUI-Workflow für Cluster-Erstellung, Klonen von VMs
- Eigene Domäne auf einen neuen Microsoft-365-Mandanten migrieren
- Eigene Domäne in Microsoft Azure registrieren
Weitere Links