S Windows 2008 bude sranda. Léty ověřené postupy nefungují a administrátor je nucen řešit problémy i u jemu dobře známých a otestovaných postupů. Někdy je to novou vlastností produktu, jindy zapeklitým konkrétním nasazením, nejčastěji ale kombinací obojího. Dnes jsem se kupříkladu trápil se zprovozněním souborového cluster serveru.
V eventlogu byla tato hláška.
Cluster network name resource 'SERVER' failed to create its associated computer object in domain 'domain.local' for the following reason: Unable to create computer account.
The text for the associated error code is: Access is denied.
Please work with your domain administrator to ensure that:
- The cluster identity 'CLUSTER$' can create computer objects. By default all computer objects are created in the 'Computers' container; consult the domain administrator if this location has been changed.
- The quota for computer objects has not been reached.
- If there is an existing computer object, verify the Cluster Identity 'CLUSTER$' has 'Full Control' permission to that computer object using the Active Directory Users and Computers tool.
Na rozdíl od Windows Serveru 2003, kde Cluster Service běžel pod účtem uživatele, jenž byl použit při zakládání clusteru a byl většinou Domain Admin, je ve Windows Serveru 2008 Cluster Service spuštěna pod Local System. Registraci AD účtu nového virtuálního serveru pak provádí vůči AD identita samotného clusteru – ve výše uvedeném případě CLUSTER$.
A jelikož jsme před lety zabezpečili doménu, aby nám do ní řadoví zaměstnanci nevkládali nekontrolovaně své počítače, byl problém na světě (změnili jsme nastavení Add workstations to domain v Default Domain Policy, čím jsme odebrali skupině Authenticated Users právo přidávat počítače do domény). Řešením pro úspěšné dokončení nastavení W2008 clusteru je pak přidání účtu CLUSTER$ do vyjmenovaných skupin, které právem Add workstations to domain disponují.