none
W2k8R2 und Task Schedulererror RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich versuche auf einem W2k8R2 verschiedene Batches (ICACLS, Datensicherung,..) auszuführen, erhalte aber im Scheduler für alle immer den Fehler 0x41306.

    Die Batches laufen einwandfrei wenn ich sie mit meinem Account oder mit dem ServiceAccount direkt starte. (Damit dürfte es nicht an den Fileberechtigungen liegen, zumal beide Accounts mittlerweile Admin auf dem Server sind)
    Der ServiceAccount hat die Rechte Logon as a BatchJob (über die Admingruppe (ich habe ihn auch schon direkt berechtigt))
    Run with highest priviliegs bringt auch nichts.

    Hat jemand eine Idee woran es liegen kann?

    Danke!

     

    Montag, 14. November 2011 08:30
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden
    > icacls.exe D:\Work\Programme\* /save ACLProgramme /t /c
    > icacls.exe D:\Work\SIS\* /save ACLSis /t /c
     
    Du hast bei den Save-Dateien keinen Pfad angegeben. Die werden also im
    aktuellen Verzeichnis gespeichert. Was ist da bei Deinen Tasks
    angegeben? Wenn bei "Starten in" nichts eingetragen ist, dann würden die
    Files in %windir%\system32 gespeichert werden sollen.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Dienstag, 15. November 2011 12:32
    |
  • Question
    Anmelden
    1
    Anmelden

    Ah, ok habe ich übersehen.

    Das war also:

    >processed file: D:\Work\Programme\Brennroboter
    >processed file: D:\Work\Programme\cwork
    >processed file: D:\Work\Programme\command
    >processed file: D:\Work\Programme\Fahr
    >processed file: D:\Work\Programme\HoSS

    Hier erscheint aber erstmal kein Fehler.

    Geb bitte mal einen Pfad an, wo das File gespeichert werden soll.

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    • Als Antwort vorgeschlagen Matthias Wolf Dienstag, 15. November 2011 15:05
    • Als Antwort markiert Paulchen Panther Dienstag, 15. November 2011 15:07
    Dienstag, 15. November 2011 12:33
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    >ich versuche auf einem W2k8R2 verschiedene Batches (ICACLS, Datensicherung,..) auszuführen

    hat der Account auch die Berechtigung "SeBackupPrivilege"?

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Montag, 14. November 2011 09:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Matthias,

    wo kann ich das kontrollieren und wie wird es gesetzt?

    In der local policy unter  "Backup local Files and directories" ist die Admingruppe ja standardmäßig enthalten.

     

    Danke!

    Montag, 14. November 2011 09:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Das von mir genannte Batch "Datensicherung" sichert keine Daten auf diesem Server sondern entfernt nur Backupdateien vom Client aus auf dem Backupserver. Das dürfte mit SeBackupPrivilege nichts zu tun haben.

     

    Montag, 14. November 2011 10:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Poste doch bitte einmal den Inhalt dieser Batchdatei.

    Verwendest du in deinem Batch Netzlaufwerke?

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Montag, 14. November 2011 11:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn ich die Batches manuell ausführe, dann funktionieren diese!

    icacls.exe D:\Work\Programme\* /save ACLProgramme /t /c
    icacls.exe D:\Work\SIS\* /save ACLSis /t /c

    oder

    dsmc delete backup "F:\Work\Bauset\Projekte_Bauset\*" -deltype=inactive -subdir=yes

    Montag, 14. November 2011 12:11
    |
  • Question
    Anmelden
    1
    Anmelden

    Leite doch bitte einmal den Batch in eine Datei um, damit du siehst welcher Fehlercode innerhalb der Datei
    angezeigt wird.

    Zusätzlich füge am Anfang folgendes ein:

    set

    whoami /all

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Montag, 14. November 2011 13:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    anbei die Datei. SeBackupPrivilege ist disabled!
    So wie es aussieht läuft das Batch beim Umleiten in eine Datei, da es keinen Erroreintrag erzeugt und da es am Ende dieser Datei mit den Verzeichnissen anfängt:

    USER INFORMATION
    ---------------
    User Name             SID                                          
    ===================== ==============================================
    domäne\service.scheduler S-1-5-21-....
    GROUP INFORMATION
    -----------------
    Group Name                           Type             SID                                            Attributes                                                    
    ==================================== ================ ============================================== ===============================================================
    Domäne\ORG-MG-AditoManager              Group            S-1-5-21-3912130617-2724493177 Mandatory group, Enabled by default, Enabled group            
    Everyone                             Well-known group S-1-1-0                                        Mandatory group, Enabled by default, Enabled group            
    BUILTIN\Administrators               Alias            S-1-5-32-544                                   Mandatory group, Enabled by default, Enabled group, Group owner
    BUILTIN\Users                        Alias            S-1-5-32-545                                   Mandatory group, Enabled by default, Enabled group            
    NT AUTHORITY\BATCH                   Well-known group S-1-5-3                                        Mandatory group, Enabled by default, Enabled group            
    CONSOLE LOGON                        Well-known group S-1-2-1                                        Mandatory group, Enabled by default, Enabled group            
    NT AUTHORITY\Authenticated Users     Well-known group S-1-5-11                                       Mandatory group, Enabled by default, Enabled group            
    NT AUTHORITY\This Organization       Well-known group S-1-5-15                                       Mandatory group, Enabled by default, Enabled group            
    LOCAL                                Well-known group S-1-2-0                                        Mandatory group, Enabled by default, Enabled group            
    Domäne\FH-MG-IntranetManager           Group            S-1-5-21-3912130617-2724493177-1682538523-1726 Mandatory group, Enabled by default, Enabled group            
    Domäne\ORG-MG-FILManager                Group            S-1-5-21-3912130617-2724493177-1682538523-4570 Mandatory group, Enabled by default, Enabled group            
    Mandatory Label\High Mandatory Level Label            S-1-16-12288                                   Mandatory group, Enabled by default, Enabled group            

    PRIVILEGES INFORMATION
    ----------------------
    Privilege Name                  Description                               State  
    =============================== ========================================= ========
    SeIncreaseQuotaPrivilege        Adjust memory quotas for a process        Disabled
    SeSecurityPrivilege             Manage auditing and security log          Disabled
    SeTakeOwnershipPrivilege        Take ownership of files or other objects  Disabled
    SeLoadDriverPrivilege           Load and unload device drivers            Disabled
    SeSystemProfilePrivilege        Profile system performance                Disabled
    SeSystemtimePrivilege           Change the system time                    Disabled
    SeProfileSingleProcessPrivilege Profile single process                    Disabled
    SeIncreaseBasePriorityPrivilege Increase scheduling priority              Disabled
    SeCreatePagefilePrivilege       Create a pagefile                         Disabled
    SeBackupPrivilege               Back up files and directories             Disabled
    SeRestorePrivilege              Restore files and directories             Disabled
    SeShutdownPrivilege             Shut down the system                      Disabled
    SeDebugPrivilege                Debug programs                            Disabled
    SeSystemEnvironmentPrivilege    Modify firmware environment values        Disabled
    SeChangeNotifyPrivilege         Bypass traverse checking                  Enabled
    SeRemoteShutdownPrivilege       Force shutdown from a remote system       Disabled
    SeUndockPrivilege               Remove computer from docking station      Disabled
    SeManageVolumePrivilege         Perform volume maintenance tasks          Disabled
    SeImpersonatePrivilege          Impersonate a client after authentication Enabled
    SeCreateGlobalPrivilege         Create global objects                     Enabled
    SeIncreaseWorkingSetPrivilege   Increase a process working set            Disabled
    SeTimeZonePrivilege             Change the time zone                      Disabled
    SeCreateSymbolicLinkPrivilege   Create symbolic links                     Disabled
    processed file: D:\Work\Programme\Brennroboter
    processed file: D:\Work\Programme\cwork
    processed file: D:\Work\Programme\command
    processed file: D:\Work\Programme\Fahr
    processed file: D:\Work\Programme\HoSS
    .....

    Montag, 14. November 2011 14:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Paulchen,

    ich gehe mal davon aus die Sicherungen werden auf einem Share abgelegt. Somit hast Du was Kerberos angeht nicht 2 sondern 3 Hops.

    Du musst dann in der AD dem zu sichernden Server unter "Delegierung" den Punkt "Computer bei Delegierung aller Dienste vertrauen (nur Kerberos)"

    setzen.

     

    Gruß

    Armin


    • Bearbeitet AucheinName Dienstag, 15. November 2011 07:11
    Dienstag, 15. November 2011 07:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ICACLS liest nur die ACLs auf dem lokalen Server aus und speichert dies auch lokal.

    Das andere Skript macht kein Backup sondern veranlasst den Server nur das er abgelaufene Sicherungen löscht.

    Es dürfte also nichts mit Kerberos zu tun haben!

    Dienstag, 15. November 2011 07:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Das das "SeBackupPrivilege" innerhalb der Eingabeaufforderung deaktiviert ist, ist erst einmal normal.

    Es werden nur die Privilegien aktiviert, die auch von dem jeweiligen Prozess benutzt werden.

    Aber du verfügst schon einmal über das Privileg.


    Mich hätte in deinem Batch vor allem der icacls Befehl interessiert.

    Um UAC Probleme auszuschließen, hast du den Batch bereits bei Deaktivierter UAC laufen lassen?
    (auch wenn du "Run with highest priviliegs" aktiviert hast)

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Dienstag, 15. November 2011 07:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    sind da wirklich keine netzlaufwerke im Spiel?

     

    Dienstag, 15. November 2011 07:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Matthias,

    ich habe den ICACLs Befehl doch gelistet. Größer ist das Batch nicht (aüßer ein paar REM Zeilen)

    icacls.exe D:\Work\Programme\* /save ACLProgramme /t /c
    icacls.exe D:\Work\SIS\* /save ACLSis /t /c

    UAC ist deaktiviert.

    Dienstag, 15. November 2011 08:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Keine Netzlaufwerke, alles lokal

     

    Dienstag, 15. November 2011 08:42
    |
  • Question
    Anmelden
    0
    Anmelden
    Wenn ich einen Task einrichte, bei dem nur eine Datei lokal vom Ordner a in b kopiert wird, läuft auch alles ohne Probleme!
    Dienstag, 15. November 2011 09:59
    |
  • Question
    Anmelden
    0
    Anmelden

    >ich habe den ICACLs Befehl doch gelistet. Größer ist das Batch nicht (aüßer ein paar REM Zeilen)

    Ja das schon.

    Aber ich meinte du solltes den umgeleiteten Batch (in eine Datei) posten, incl. der
    Zeilen, in denen icacls ausgeführt wird.

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Dienstag, 15. November 2011 10:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Sorry ich verstehe nicht was du meinst.

    Ich habe die Ausgabe der Batch inkl. ICACLS Aufrufe in eine Datei umgeleitet und weiter oben veröffentlicht.

    Nenn mal bitte ein Syntaxbeispiel,  damit auch ich das verstehe!

    Danke!

    Dienstag, 15. November 2011 11:31
    |
  • Question
    Anmelden
    2
    Anmelden
    > icacls.exe D:\Work\Programme\* /save ACLProgramme /t /c
    > icacls.exe D:\Work\SIS\* /save ACLSis /t /c
     
    Du hast bei den Save-Dateien keinen Pfad angegeben. Die werden also im
    aktuellen Verzeichnis gespeichert. Was ist da bei Deinen Tasks
    angegeben? Wenn bei "Starten in" nichts eingetragen ist, dann würden die
    Files in %windir%\system32 gespeichert werden sollen.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Dienstag, 15. November 2011 12:32
    |
  • Question
    Anmelden
    1
    Anmelden

    Ah, ok habe ich übersehen.

    Das war also:

    >processed file: D:\Work\Programme\Brennroboter
    >processed file: D:\Work\Programme\cwork
    >processed file: D:\Work\Programme\command
    >processed file: D:\Work\Programme\Fahr
    >processed file: D:\Work\Programme\HoSS

    Hier erscheint aber erstmal kein Fehler.

    Geb bitte mal einen Pfad an, wo das File gespeichert werden soll.

     

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    • Als Antwort vorgeschlagen Matthias Wolf Dienstag, 15. November 2011 15:05
    • Als Antwort markiert Paulchen Panther Dienstag, 15. November 2011 15:07
    Dienstag, 15. November 2011 12:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    auf manche Dinge könnte man auch selber kommen! Ich habe die Batches von einem W2k3 übernommen, bei dem war es sehr wahrscheinlich eingetragen, denn dort habe ich auch keine Pfade innerhalb der Batch. Das es dann unter System32 gespeichert wird wusste ich auch nicht.

    Vielen Dank für eure Unterstützung!

    Dienstag, 15. November 2011 13:00
    |
  • Question
    Anmelden
    0
    Anmelden

    @Martin:

    Das war eine Punktlandung :)

    Genau zur gleichen Zeit:

    >Geb bitte mal einen Pfad an, wo das File gespeichert werden soll.

    >Du hast bei den Save-Dateien keinen Pfad angegeben.

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Dienstag, 15. November 2011 15:05
    |
  • Question
    Anmelden
    0
    Anmelden
    > Das war eine Punktlandung :)
     
    Aber wahrlich, auf die Minute (:
     
    A bissle "Experience", a bissle GMV...
    Dienstag, 15. November 2011 16:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Ok, schön dass es jetzt geht. Kurzer Nachtrag:
     
    a) Unter W2K3 gibt es keine UAC, die Dich am Schreiben in System32
    hindern könnte, wenn Du Mitglied der lokalen Administratoren bist (:
     
    b) Unter W2K3 gibt es kein "icacls".
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Dienstag, 15. November 2011 16:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    zu a)  stimmt  Es wurde dort aber in das Verzeichnis geschrieben, aus dem ICACLS aufgerufen wurde, da ich einen eintrag unter "Start in" hatte

    zu b) stimmt nicht!
    Ich hatte es unter W2k3 lange Zeit erfolgreich laufen! Ab SP2 war es implementiert. Siehe auch: http://support.microsoft.com/kb/919240/en-us

    Danke!

    Mittwoch, 16. November 2011 08:25
    |
  • Question
    Anmelden
    0
    Anmelden
    > zu b) stimmt nicht!
    > Ich hatte es unter W2k3 lange Zeit erfolgreich laufen! Ab SP2 war es
     
    Danke für den Hinweis! Altes Admin-Leiden: Was mal vermeintlich schon
    kennt, schaut man nicht mehr neu an (:
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Mittwoch, 16. November 2011 15:09
    |