WSFC CNO與VCO誤刪恢復

在前面的文章中老王反復的和大家強調過CNO，VCO起到的作用

基本上，CNO和VCO，主要負責提供群集的Kerberos驗證，作為管理訪問點的一部分，提供用戶訪問

CNO VCO每次啟動聯(lián)機時需要聯(lián)系到域控制器，CNO會與AD同步自己的計算機密碼，也會幫助VCO同步密碼，CNO負責維護與VCO的關聯(lián)關系

可以說，如果我們的群集模型部署為傳統(tǒng)AD架構，那么CNO和VCO將是非常重要的，一旦我們不小心刪除了CNO或VCO對象，就會導致群集無法正常聯(lián)機，應用無法和群集進行Kerberos驗證。

在2008R2之后，AD域推出了回收站的功能，開啟回收站功能后，允許AD對象在墓碑時間之內，可以被恢復回來，但恢復回來后的計算機對象，大多情況需要重新同步密碼

本文老王將為大家介紹，一旦誤刪了CNO對象應該如何進行恢復

實驗環(huán)境

DC&iscsi

lan：10.0.0.2 255.0.0.0

iscsi：30.0.0.2 255.0.0.0

HV03

MGMET:10.0.0.11 255.0.0.0 DNS 10.0.0.2

ISCSI：30.0.0.11 255.0.0.0

CLUS：18.0.0.11 255.0.0.0

HV04

MGMET:10.0.0.12 255.0.0.0 DNS 10.0.0.2

ISCSI：30.0.0.12 255.0.0.0

CLUS：18.0.0.12 255.0.0.0

當前域控制器為2008R2，已開啟回收站功能，2012之后可通過GUI界面啟動回收站功能

群集名稱當前為BJcluster，上面跑了一個DTC，名稱為hello

AD中CNO/VCO信息如下

在2008之后的AD中，默認情況下，當我們創(chuàng)建AD對象時，可以選擇是否要使用防止意外刪除功能

默認情況下，當我們創(chuàng)建OU時，該功能被默認啟用，除非我們手動修改它，勾選了防止意外刪除選項后，該OU將不能被隨便刪除，除非取消放置意外刪除選項

但是對于用戶對象和計算機對象，默認情況下并未啟動該功能，即是說，只要對于AD有權限的管理員，就可以刪除我們的計算機對象

要規(guī)避誤刪計算機對象，有兩種方案可以選擇

1. 針對于CNO,VCO計算機對象，勾選防止被意外刪除

2. 統(tǒng)一設定群集計算機OU層面，拒絕Everyone刪除計算機對象

兩者區(qū)別在于，一個是OU級，一個是對象級別，一旦設置了該功能之后，那么普通管理員將不能隨便刪除計算機對象

這是預防措施，那么我們就來看下，如果沒有做這些預防措施，就是某個管理員不小心刪除了CNO的情況，應該如何處理

刪除CNO對象

這時如果群集當前名稱在線，則并不會立即提示報錯，但是當下一次群集故障轉移或冷啟動時，就會出現(xiàn)報錯，打開事件查看器，可以看到1685錯誤

查看Cluster Log可以看到，群集名稱，CNO當前無法進行驗證

使用ADRecycleBin工具恢復誤刪除對象(2012開始可通過自帶AD管理中心恢復)

恢復完成后可以在AD中看到被恢復的CNO對象

恢復完成計算機對象后，通常我們需要重置計算機對象的密碼，讓CNO計算機對象可以重新正常工作

WSFC2008時×××始，群集幫我們內置了重置計算機密碼的修復機制，我們可以在群集中，通過修復來對CNO，或VCO執(zhí)行重置計算機密碼操作

針對CNO執(zhí)行修復，需要對于CNO具備管理權限的賬戶，因為我們需要連接到AD中，重置該計算機賬戶的密碼

針對于VCO執(zhí)行修復，需要對于VCO賬戶具備權限CNO賬戶來執(zhí)行，因此需要確保CNO賬戶對VCO賬戶具備重置密碼權限

打開故障轉移群集管理工具->群集核心資源->群集名稱->更多操作->修復

點擊修復之后，可以看到群集正在處理，處理完成后，群集計算機對象會變成正常聯(lián)機狀態(tài)

查看日志中可以看到，修復過程群集使用我們的賬戶，連接到AD，重新幫我們設置CNO的密碼及身份

現(xiàn)在群集CNO已經被恢復，可以正常工作，正常接受Kerberos驗證

對于VCO的誤刪恢復操作，其實和CNO差不多，假設我們不小心誤刪除了VCO對象，如果事先VCO名稱是聯(lián)機的，那么可能短時間內，不會在事件管理器中看到報錯，但是如果對VCO對象進行Kerberos驗證，則會立刻發(fā)現(xiàn)無法驗證，所以VCO對象的誤刪除，通常會是應用開發(fā)人員報告身份驗證無法進行才會被發(fā)現(xiàn)，或者管理員查看Cluster Log也能夠看到VCO計算機對象無法找到，無法執(zhí)行身份驗證的報錯

針對于VCO對象的恢復過程，誤刪之后，首先使用恢復工具，恢復VCO計算機對象

恢復完成后，在故障轉移群集管理工具中，首先對于VCO名稱脫機

右鍵點擊服務器名稱->更多操作->修復

注意，這里的修復，實際上是拿著CNO計算機賬號，去幫助我們重置同步VCO的計算機密碼，因此需要確保CNO對象對于VCO計算機對象具備重置密碼權限，默認創(chuàng)建VCO之后是有的

修復完成后，群集角色正常聯(lián)機

查看Cluster Log可以看到 hello VCO對象已經被CNO重置計算機密碼，現(xiàn)在可以正常進行Kerberos身份驗證了

如上，為誤刪除CNO,VCO對象后的修復方式，希望大家看到后可以有所收獲，雖然WSFC 2008之后有了很好的修復機制，但還是建議大家做好防止誤刪的操作，可以做在計算機級別或OU級別。