1. 程式人生 > >WSFC CNO與VCO誤刪恢復

WSFC CNO與VCO誤刪恢復

kerberos wsfc cno誤刪恢復 vco誤刪恢復


在前面的文章中老王反復的和大家強調過CNO,VCO起到的作用


基本上,CNO和VCO,主要負責提供群集的Kerberos驗證,作為管理訪問點的一部分,提供用戶訪問


CNO VCO每次啟動聯機時需要聯系到域控制器,CNO會與AD同步自己的計算機密碼,也會幫助VCO同步密碼,CNO負責維護與VCO的關聯關系


可以說,如果我們的群集模型部署為傳統AD架構,那麽CNO和VCO將是非常重要的,一旦我們不小心刪除了CNO或VCO對象,就會導致群集無法正常聯機,應用無法和群集進行Kerberos驗證。


在2008R2之後,AD域推出了回收站的功能,開啟回收站功能後,允許AD對象在墓碑時間之內,可以被恢復回來,但恢復回來後的計算機對象,大多情況需要重新同步密碼


本文老王將為大家介紹,一旦誤刪了CNO對象應該如何進行恢復


實驗環境


DC&iscsi

lan:10.0.0.2 255.0.0.0

iscsi:30.0.0.2 255.0.0.0


HV03

MGMET:10.0.0.11 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.11 255.0.0.0

CLUS:18.0.0.11 255.0.0.0


HV04

MGMET:10.0.0.12 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.12 255.0.0.0

CLUS:18.0.0.12 255.0.0.0


當前域控制器為2008R2,已開啟回收站功能,2012之後可通過GUI界面啟動回收站功能

技術分享

群集名稱當前為BJcluster,上面跑了一個DTC,名稱為hello

技術分享

AD中CNO/VCO信息如下

技術分享

在2008之後的AD中,默認情況下,當我們創建AD對象時,可以選擇是否要使用防止意外刪除功能

默認情況下,當我們創建OU時,該功能被默認啟用,除非我們手動修改它,勾選了防止意外刪除選項後,該OU將不能被隨便刪除,除非取消放置意外刪除選項

技術分享

但是對於用戶對象和計算機對象,默認情況下並未啟動該功能,即是說,只要對於AD有權限的管理員,就可以刪除我們的計算機對象


要規避誤刪計算機對象,有兩種方案可以選擇


  1. 針對於CNO,VCO計算機對象,勾選防止被意外刪除

技術分享

2. 統一設定群集計算機OU層面,拒絕Everyone刪除計算機對象

技術分享


兩者區別在於,一個是OU級,一個是對象級別,一旦設置了該功能之後,那麽普通管理員將不能隨便刪除計算機對象


這是預防措施,那麽我們就來看下,如果沒有做這些預防措施,就是某個管理員不小心刪除了CNO的情況,應該如何處理


刪除CNO對象

技術分享

這時如果群集當前名稱在線,則並不會立即提示報錯,但是當下一次群集故障轉移或冷啟動時,就會出現報錯,打開事件查看器,可以看到1685錯誤

技術分享


查看Cluster Log可以看到,群集名稱,CNO當前無法進行驗證


技術分享


技術分享

使用ADRecycleBin工具恢復誤刪除對象(2012開始可通過自帶AD管理中心恢復)

技術分享

技術分享

恢復完成後可以在AD中看到被恢復的CNO對象

技術分享

恢復完成計算機對象後,通常我們需要重置計算機對象的密碼,讓CNO計算機對象可以重新正常工作


WSFC2008時代開始,群集幫我們內置了重置計算機密碼的修復機制,我們可以在群集中,通過修復來對CNO,或VCO執行重置計算機密碼操作


針對CNO執行修復,需要對於CNO具備管理權限的賬戶,因為我們需要連接到AD中,重置該計算機賬戶的密碼

針對於VCO執行修復,需要對於VCO賬戶具備權限CNO賬戶來執行,因此需要確保CNO賬戶對VCO賬戶具備重置密碼權限


打開故障轉移群集管理工具->群集核心資源->群集名稱->更多操作->修復

技術分享

點擊修復之後,可以看到群集正在處理,處理完成後,群集計算機對象會變成正常聯機狀態

技術分享

查看日誌中可以看到,修復過程群集使用我們的賬戶,連接到AD,重新幫我們設置CNO的密碼及身份

現在群集CNO已經被恢復,可以正常工作,正常接受Kerberos驗證

技術分享

對於VCO的誤刪恢復操作,其實和CNO差不多,假設我們不小心誤刪除了VCO對象,如果事先VCO名稱是聯機的,那麽可能短時間內,不會在事件管理器中看到報錯,但是如果對VCO對象進行Kerberos驗證,則會立刻發現無法驗證,所以VCO對象的誤刪除,通常會是應用開發人員報告身份驗證無法進行才會被發現,或者管理員查看Cluster Log也能夠看到VCO計算機對象無法找到,無法執行身份驗證的報錯


針對於VCO對象的恢復過程,誤刪之後,首先使用恢復工具,恢復VCO計算機對象

技術分享


技術分享


恢復完成後,在故障轉移群集管理工具中,首先對於VCO名稱脫機

技術分享

右鍵點擊服務器名稱->更多操作->修復

技術分享

註意,這裏的修復,實際上是拿著CNO計算機賬號,去幫助我們重置同步VCO的計算機密碼,因此需要確保CNO對象對於VCO計算機對象具備重置密碼權限,默認創建VCO之後是有的

技術分享

修復完成後,群集角色正常聯機

技術分享

查看Cluster Log可以看到 hello VCO對象已經被CNO重置計算機密碼,現在可以正常進行Kerberos身份驗證了

技術分享

如上,為誤刪除CNO,VCO對象後的修復方式,希望大家看到後可以有所收獲,雖然WSFC 2008之後有了很好的修復機制,但還是建議大家做好防止誤刪的操作,可以做在計算機級別或OU級別。

本文出自 “老王的微軟技術研究樂園” 博客,請務必保留此出處http://wzde2012.blog.51cto.com/6474289/1969115

WSFC CNO與VCO誤刪恢復