在某些环境中,计算机帐户的创建受到限制或计算机帐户是在非默认计算机容器中创建的,则会预留群集名称对象 (CNO),然后通过为其分配权限来设置 CNO。此外,使用运行 Windows Server 2012 的邮箱服务器来部署数据库可用性组 (DAG) 时,必须预留和设置 CNO。由于 Windows Server 2012 计算机对象的权限更改,因此,Windows Server 2012 DAG 成员需要预留 CNO。您可为 CNO 创建和禁用计算机帐户,然后执行以下操作之一:
- 向您要添加到 DAG 的第一个邮箱服务器的计算机帐户分配对该计算机帐户的完全控制权限。
- 向 Exchange 受信任子系统通用安全组 (USG) 分配对该计算机帐户的完全控制权限。
完成以下步骤后,请等待 Active Directory 复制发生。对象复制后,就可向 DAG 添加第一个成员。
- 打开 Active Directory 用户和计算机。
- 展开林节点。
- 右键单击想在其中创建新帐户的组织单位 (OU),选择“新建”,然后选择“计算机”。
- 在“新建对象 - 计算机”中的“计算机名称”框中键入 CNO 的计算机帐户名称。这是您将用于 DAG 本身的名称。单击“确定”创建帐户。
- 右键单击新的计算机帐户,然后单击“禁用帐户”。单击“是”以确认禁用操作,然后单击“确定”。
- 打开 Active Directory 用户和计算机。
- 如果未启用高级功能,请单击“视图”,然后单击“高级功能”,启用这些高级功能。
- 右键单击新的计算机帐户,然后单击“属性”。
- 在“<计算机名称> 属性”中的“安全”选项卡上单击“添加”,为要添加到 DAG 的第一个节点添加计算机帐户,或者添加 Exchange 受信任子系统 USG:
- 若要添加 Exchange 受信任子系统,请在“输入对象名称来选择”字段中键入 Exchange Trusted Subsystem。单击“确定”添加 USG。然后选择 Exchange 受信任子系统 USG,并在“Exchange 受信任子系统的权限”字段的“允许”列中选择“完全控制”。单击“确定”以保存权限设置。
- 若要为要添加到 DAG 的第一个节点添加计算机帐户,请单击“对象类型”。在“对象类型”对话框中,清除“内置安全主体”、“组”和“用户”复选框。选中“计算机”复选框。单击“确定”。在“输入对象名称来选择”字段中,键入要添加到 DAG 的第一个邮箱服务器的名称,然后单击“确定”。再选择第一个节点的计算机帐户,并在“<节点名称 > 的权限”字段中的“允许”列中选择“完全控制”。单击“确定”以保存权限设置。
From:http://technet.microsoft.com/zh-CN/library/ff367878(v=exchg.141).aspx