Ellie's blog

2023-05-11

Permission to Create CNO VNO

若要自動建立 CNO,建立容錯移轉叢集的使用者必須擁有組織單位 (OU) 或是將構成叢集的伺服器所在容器的 Create Computer objects/建立電腦物件 權限。

 

https://docs.microsoft.com/zh-tw/windows-server/failover-clustering/prestage-cluster-adds#step-1-prestage-the-cno-in-ad-ds

建立cluster的帳號若具備充分的權限,叢集建立程序會自動在 AD DS 建立符合叢集名稱的電腦物件:「叢集名稱物件」或 CNO。  透過 CNO,當設定使用用戶端存取點的叢集角色時,便會自動建立虛擬電腦物件 (VCO)。

若要自動建立 CNO,建立容錯移轉叢集的使用者必須擁有組織單位 (OU) 或是將構成叢集的伺服器所在容器的 Create Computer objects/建立電腦物件 權限。

建立cluster的帳號若非doaminadmin,可參考下列步驟授予所需的的最小權限:

CreateCluster

Domain user 帳號
(非domain admin)

此帳號在cluster node (SQL3, SQL4) 需授予 local administator權限

使用此帳號登入SQL3,建立window failover cluster

Cluster1

window failover cluster 名稱

 

SQL1002 

SQL AG listener名稱

 


Step1:在 AD DS 中預先建立CNO (例如Cluster1)
*建議為叢集物件建立一個 OU : 如要使用的 OU 已存在,至少需要 Account Operators 群組的成員資格才能完成。如要建立新 OU,至少需要 Domain Admins 群組的成員資格或同等權限才能完成。

1. OU(Cluster)按右鍵 -> New -> Computer -> Cluster1 -> 屬性->物件 : 勾選Protect object from accidental deletion    

A screenshot of a computer Description automatically generated with medium confidence

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.2停用帳戶

A screenshot of a computer Description automatically generated

     

 

 

 

 

 

 

Step2:Grant the user permissions to create the cluster (step2需要 Account Operators 群組的成員資格)

2.1 CNO (例如Cluster1)-> Properties -> Security -> Add - > Select user (例如 CreateCluster) -> Full control         

A screenshot of a computer Description automatically generated

         

 

 

 

 

 

 

 

 

 

 

--若在Step 3之前建立SQL listener會有下列錯誤

 

Step3:Grant the CNO permissions to the OU or prestage VCOs for clustered roles (可使用選項1 或選項2)
選項 1 - 將 CNO 權限授與 OU - 叢集可以在 AD DS 自動建立 VCO (將建立電腦物件權限授與 CNO)
3.1.1 OU -> Properties -> Security -> Advanced -> Add -> Principal (Cluster1) -> 
   Permission Entry (Type:Allow, Applies to:This object and all descendant objects) ->  Permission: Create Computer objects  

 

       

 

 

 

 

 

 

– 此時已可成功建立AG listener

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

選項 2 - 預先設置叢集角色的 VCO (例如 SQL Listener)
  3.2.1 OU ->  New  -> Computer -> 輸入AG Listener名稱

   

 

   

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 3.2.2 右鍵 -> Properties 

    * Object 頁籤-> Protect object from accidental deletion 
    * Security 頁籤 -> Add -> VCO ->  Enter the object names to select, enter the name of the CNO (cluster1$)-> grant full control to the CNO

 

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3.2.3 disable Account

A screenshot of a computer Description automatically generated with medium confidence