Windows Server 2008 R2 MSFC のファイル サーバー リソースへの共有フォルダの追加について
こんにちは、プラットフォーム クリティカル レスポンス チームの姚 (ヨウ) です。
今日は少し前にお客様よりお問い合わせいただいた Windows Server 2008 R2 のクラスター環境で発生した事象を紹介いたします。
はじめにこの事象について説明いたします。
Windows Server2008 R2 のクラスターのファイル サーバー リソース グループにて、クラスターの共有ディスクにある既存のフォルダーをファイル サーバー リソースの共有フォルダーに追加する際に以下のエラーとなり、追加に失敗する事象です。
“共有フォルダーの準備ウィザードを完了できませんでした。具体的なエラーについては [エラー] タブを参照してください。”
"SMB 共有フォルダーのフラグは構成できません。この共有リソースは存在しません。"
また、該当のフォルダをエクスプローラーで共有しようとした場合も以下のエラーが発生し、共有できません。
"フォルダーを共有できません。"
さらにプロパティにて “詳細な共有” にて共有を設定しようとした場合でも以下のエラーが発生し、共有できません。
"COM Surrogate は動作を停止しました"
この事象は、該当のフォルダの NTFS のアクセス権限に SYSTEM アカウントのアクセス権限が付与されていないことが原因で発生いたします。
Windows Server 2008 および Windows Server 2008 R2 (Windows Server 2012 については今回は除外とさせていただきます) のクラスター環境では、クラスター サービスはクラスター ノードの SYSTEM アカウントの権限で起動/動作します。
ファイルサーバーリソースの共有フォルダーを共有させる場合、クラスター サービスが共有処理を実施しますが、SYSTEM アカウントが該当のフォルダーに対してアクセス権限がないために、正常にフォルダを共有できず、今回の事象が発生します。
この事象を解消するためには、SYSTEM アカウント、SYSTEM アカウントが所属する以下のグループまたはこれらのグループが所属するグループに対して読み取り以上の権限を付与することによって解消できます。
BUILTIN\Administrators
Everyone
NT AUTHORITY\Authenticated Users
また、別のパターンとして、すでに作成されたファイル共有リソースの共有フォルダーから SYSTEM アカウントのアクセス権限を削除し、再度ファイル共有リソースをオンラインにしようとした場合にも、以下のエラーが発生し、リソースが障害になります。
“操作は失敗しました。”
この場合、リソースを正常にオンラインにするためには同じように該当の共有フォルダーに対して SYSTEM アカウントへのアクセス権限を付与する必要があります。
お話させていただきました事象は Windows Server 2008 のクラスタ環境でも同様に発生することを検証環境にて確認しております。
Windows Server 2003 のクラスター環境では発生しません。
なお、Windows Server 2003 のクラスター環境にて、共有フォルダーの NTFS アクセス権限から SYSTEM アカウントを削除し、フォルダへのアクセスを細かく制限している環境を アクセス権限を含めて WindowsServer 2008 / R2 のクラスター環境に移行した場合、今回の事象が発生する可能性がありますので、ご注意いただければと思います。
- 参考情報
Description of the failover clustersecurity model in Windows Server 2008
https://support.microsoft.com/kb/947049/en-us
Understanding Requirements for Failover Clusters