none
Provisorische Bereitstellung des Clusternetzwerkobjekts (CNO) ist nicht erfolgt RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    Das Provisorische Bereitstellung des Clusternetzwerkobjekts (CNO) für die DAG ist nicht erfolgt. Die DAG konnte normal über die ECP angelegt werden. Leider gab es da keine Fehlermeldung.

    Kann man nachträglich die Berechtigungen für Exchange Trusted Subsystem setzen und müssen alle DAG Mitglieder als Computerobjekt auch hinzugefügt werden ?

    Ich hoffe ich muss nicht die ganze DAG nochmal auflösen und neu erstellen.
    Vielen Dank für alle Antworten.

    Hei_G

    Mittwoch, 20. Januar 2016 19:48
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Deine Antwort lässt mich nun ein wenig grübeln.

    Bisher ging ich davon aus, dass ein CNO nur dann vor angelegt werden muss, wenn der Admin, der die DAG einrichtet, keine Berechtigungen hat, das Computer-Konto zu erzeugen.

    Nun stolpere ich über diesen Satz im Technet: Pre-staging the CNO is also required for Windows Server 2012 and Windows Server 2012 R2 DAG members due to permissions changes in Windows for computer objects.

    Ich habe gefühlt schon ein dutzend Mal ohne Anlegen eines CNO eine DAG installiert, die danach problemlos funktioniert. Der Admin war dann halt immer Dom-Admin. Und das war sowohl 2012, als auch 2012 R2.

    Auch bei meinen eigenen Servern in der Testumgebung wurde kein CNO vorher angelegt.

    Beim Pre-Stage gibt man der Exchange Trusted Subsystem Gruppe und dem ersten DAG-Memeber Vollzugriff.

    In meinem Testsystem hat das CNO für diese beiden zwar keinen Vollzugriff, aber so, wie ich das sehe, wurde für beide Objekte recht weitreichende Änderungsberechtigungen eingefügt. Für Trusted Subsystem ist das via Vererbung erfolgt, für den erste DAG-Memeber allerdings mit expliziter Zuweisung. Und die haben bestimmt nicht ich vorgenommen, sondern Exchange beim Installieren der DAG.

    Jetzt gibt es zwei Möglichkeiten: Der Technet Artikel ist übertrieben sicher, so nach dem Motto "es reichen zwar die 20 Berechtigungen, aber bevor der Admin was kaputtmacht, lassen wir lieber gleich Vollzugriff eintragen". Oder es sind doch weitere Berechtigungen erforderlich (Vollzugriff erlaubt ja das Setzen von neuen Sicherheitsberechtigungen, was Schreiben/Ändern nicht erlaubt), die man aber im Normfall oder nur unter besonderen Umständen nicht merkt.

    Wie auch immer: Das nachträglich hinzufügen der Berechtigungen sehe ich als unkritisch an. Ob allerdings während des "falschen" Setups irgendwas nicht eingetragen werden konnte, was nun feht, kann ich nicht sagen.

    Ich probiere mal, mehr herauszufinden, kann aber nicht versprechen, dass das bald passiert. Wenn Du auf Nummer sicher gehen willst, löse die DAG auf und baue sie neu. Ich persönlich würde erstmal noch nichts tun und das ganze beobachten.

    Welche Fehlermeldung genau hast Du denn?

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert Hei_G Sonntag, 24. Januar 2016 20:36
    Donnerstag, 21. Januar 2016 08:02
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    bist Du sicher, dass das Computer-Objekt nicht angelegt wurde?

    Hast Du mal eine AD-Suche gemacht, ob das Ding eventuell nur in einer anderen OU liegt?

    Man muss ja nicht unbedingt selbst anlegen, Exchange macht das auch alleine, wenn der Admin, der die DAG einrichtet, die passenden Berechtigungen hat.

    Wenn das nicht geht und kein CNO vorher angelegt wurde, müsste das Hinzufügen des ersten Knotens zur DAG eigentlich fehlschlagen.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 20. Januar 2016 20:12
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Robert, das CNO ist schon da, aber wurde nicht vorher manuell angelegt. Beim erstellen der Dag wurde es sauber angelegt, zwar auch nicht in der OU Computers, sondern in der OU wo die Mitgliedserver liegen. Technet schreibt ja zwingend das manuelle anlegen vor. Im CNO hat Exchange Trusted Subsystem auch nur lesende Rechte. Die DAG funktioniert auch sauber, ich habe nur immer auf den aktiven Knoten der Datenbanken, ADTopologie Fehler. Hei_G
    Mittwoch, 20. Januar 2016 20:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Deine Antwort lässt mich nun ein wenig grübeln.

    Bisher ging ich davon aus, dass ein CNO nur dann vor angelegt werden muss, wenn der Admin, der die DAG einrichtet, keine Berechtigungen hat, das Computer-Konto zu erzeugen.

    Nun stolpere ich über diesen Satz im Technet: Pre-staging the CNO is also required for Windows Server 2012 and Windows Server 2012 R2 DAG members due to permissions changes in Windows for computer objects.

    Ich habe gefühlt schon ein dutzend Mal ohne Anlegen eines CNO eine DAG installiert, die danach problemlos funktioniert. Der Admin war dann halt immer Dom-Admin. Und das war sowohl 2012, als auch 2012 R2.

    Auch bei meinen eigenen Servern in der Testumgebung wurde kein CNO vorher angelegt.

    Beim Pre-Stage gibt man der Exchange Trusted Subsystem Gruppe und dem ersten DAG-Memeber Vollzugriff.

    In meinem Testsystem hat das CNO für diese beiden zwar keinen Vollzugriff, aber so, wie ich das sehe, wurde für beide Objekte recht weitreichende Änderungsberechtigungen eingefügt. Für Trusted Subsystem ist das via Vererbung erfolgt, für den erste DAG-Memeber allerdings mit expliziter Zuweisung. Und die haben bestimmt nicht ich vorgenommen, sondern Exchange beim Installieren der DAG.

    Jetzt gibt es zwei Möglichkeiten: Der Technet Artikel ist übertrieben sicher, so nach dem Motto "es reichen zwar die 20 Berechtigungen, aber bevor der Admin was kaputtmacht, lassen wir lieber gleich Vollzugriff eintragen". Oder es sind doch weitere Berechtigungen erforderlich (Vollzugriff erlaubt ja das Setzen von neuen Sicherheitsberechtigungen, was Schreiben/Ändern nicht erlaubt), die man aber im Normfall oder nur unter besonderen Umständen nicht merkt.

    Wie auch immer: Das nachträglich hinzufügen der Berechtigungen sehe ich als unkritisch an. Ob allerdings während des "falschen" Setups irgendwas nicht eingetragen werden konnte, was nun feht, kann ich nicht sagen.

    Ich probiere mal, mehr herauszufinden, kann aber nicht versprechen, dass das bald passiert. Wenn Du auf Nummer sicher gehen willst, löse die DAG auf und baue sie neu. Ich persönlich würde erstmal noch nichts tun und das ganze beobachten.

    Welche Fehlermeldung genau hast Du denn?

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert Hei_G Sonntag, 24. Januar 2016 20:36
    Donnerstag, 21. Januar 2016 08:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    danke dir für deine Ausführungen. Ich war so ähnlich verwirrt wie du. Die DAG läuft sauber und ich habe keine Fehlermeldungen dazu.

    Die ADTopologie Fehler hatten einen anderen Hintergrund anscheinend.

    Mfg Hei_G 

     
    Sonntag, 24. Januar 2016 20:36
    |