none
Install-ADServiceAccount Access Denied RRS feed

  • Frage

  • Die Installation eines SQL-Servers 2012 macht es erforderlich, die vorhandenen Dienste an die MSA zu knüpfen.

    Zuerst zur Umgebung, es sind zwei Domänencontroller vorhanden, die auf Windows Server 2012 laufen. Die Gesamtstruktur- / und Domänenfunktionsebene ist derzeit auf Windows Server 2008 R2 konfiguriert.

    Auf dem DC1 wurde mit Hilfe der Powershell zunächst ein Service erstellt: New-ADServiceAccount -Name SQLSvc

    Dieser MSA wurde dann dem entsprechenden Server zugewiesen: Add-AdComputerServiceAccount -Identity SQLSrv -ServiceAccount SQLSvc

    Und auf dem SQLSrv wurde die Powershell gestartet, Import-Module ActiveDirectory ausgeführt und der Befehl Install-ADServiceAccount -Identity SQLSvc abgesetzt. Doch leider erhalte ich folgende Fehlermeldung: Install-ADServiceAccount : Cannot install service account. Error Message: '{Access Denied}

    Durch ein wenig Recherche ist mir folgendes aufgefallen. Der Befehl: Get-ADServiceAccount -Identity SQL2012svc | Select HostComputers gibt mir folgendes aus: HostComputers ------------- {}

    Eigentlich musste das Feld aber doch mit dem Wert des SQLSrv befüllt sein oder nicht? Wenn ich den Befehl Add-ADComputerServiceAccount -Identity sqlsrv-ServiceAccount SQLSvc absetze wird dieser akzeptiert und es erscheint keine Fehlermeldung.

    Kann mir evtl. jemand einen Input geben, was ich übersehe oder ob ein Befehl evtl. Falsch ist?

    Freitag, 19. April 2013 19:55

Antworten

  • Wie vermutet war es ein Rechteproblem, allerdings etwas komplexer.

    Wie bereits mitgeteilt, befindet sich die Gesamtstruktur- / Domänenfunktionsebene auf 2008R2. Da aber beide DC`s Server 2012 sind, werden beim Anlegen der Managed Service Accounts direkt group managed service accounts angelegt.

    Der Befehl zum Anlegen ist Identisch mit den MSAs (New-ADServiceAccount). Allerdings müssen weitere Parameter übergeben werden, unter anderem eine Gruppe die über Berechtigungen auf die angelegten gMSAs verfügt.

    Der korrekte Befehl lautet: New-ADServiceAccount -name MSAName -DNSHostName Server.domain.local -PrincipalsAllowedToRetrieveManagedPassword Domänencomputer

    Domänencomputer würde alle Computer einbeziehen, daher sollte die Gruppe auf notwendige Server eingeschränkt werden. Wird die Angabe des Principals vergessen, erfolgt besagte Fehlermeldung "Error Message: '{Access Denied}"

    Weitere Informationen sind in Technet unter http://technet.microsoft.com/en-us/library/jj128431.aspx zu finden.

    • Als Antwort markiert RogerG781MVP Montag, 22. April 2013 18:59
    Montag, 22. April 2013 18:58

Alle Antworten

  • Hallo,

    Hast du die Powershell mit erweiterten Rechten ausgeführt?

    Was mir auffällt einmal hast du -Identity SQLSrv und einmal -Identity SQL2012svc

    Zur Vollständigkeit der Link zum Blog der Directory Services wo das Vorgehen beschrieben ist http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understanding-implementing-best-practices-and-troubleshooting.aspx

    Viele Grüße



    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Freitag, 19. April 2013 21:15
  • Hallo Phllipp,

    danke für deine Antwort. Powershell ist mit Adminrechten ausgeführt worden. Der Account selbst ist Lokaler und Domänenadmin.

    Das war nur ein Tippfehler, sorry ;-)

    Werde mir den Link gleich mal anschauen.
    Samstag, 20. April 2013 14:33
  • Habe mir den Link mal zur gemüte geführt, allerdings noch keine neuen Erkenntnisse daraus gewinnen können. Bin genau nach den Einträgen vorgegangen, leider ohne Erfolg.

    Nun habe ich im AD mit einem Domänenaccount einen neuen Service für einen anderen Computer angelegt und es dort versucht, erhalte leider die gleiche Fehlermeldung. Da es für mich nach einem Rechteproblem ausschaut

    (Ein Prozess hat einen Zugriff auf ein Objekt angefordert, aber ihm wurden nicht die Rechte für den Zugriff erteilt."),

    habe ich einem Account explizit für den Container Managed Service Accounts berechtigt und diesem die Berechtigung Full Control zugewiesen. Danach habe ich auf dem Testcomputer einen Neustart durchgeführt, mich mit dem besagten Account eingeloggt (verfügt über Lokale Adminrechte) und erneut versucht, dem Computer den neu angelegten Service zuzuweisen. Leider erhalte ich auch hier genau die gleiche Fehlermeldung.


    Samstag, 20. April 2013 15:45
  • Wie vermutet war es ein Rechteproblem, allerdings etwas komplexer.

    Wie bereits mitgeteilt, befindet sich die Gesamtstruktur- / Domänenfunktionsebene auf 2008R2. Da aber beide DC`s Server 2012 sind, werden beim Anlegen der Managed Service Accounts direkt group managed service accounts angelegt.

    Der Befehl zum Anlegen ist Identisch mit den MSAs (New-ADServiceAccount). Allerdings müssen weitere Parameter übergeben werden, unter anderem eine Gruppe die über Berechtigungen auf die angelegten gMSAs verfügt.

    Der korrekte Befehl lautet: New-ADServiceAccount -name MSAName -DNSHostName Server.domain.local -PrincipalsAllowedToRetrieveManagedPassword Domänencomputer

    Domänencomputer würde alle Computer einbeziehen, daher sollte die Gruppe auf notwendige Server eingeschränkt werden. Wird die Angabe des Principals vergessen, erfolgt besagte Fehlermeldung "Error Message: '{Access Denied}"

    Weitere Informationen sind in Technet unter http://technet.microsoft.com/en-us/library/jj128431.aspx zu finden.

    • Als Antwort markiert RogerG781MVP Montag, 22. April 2013 18:59
    Montag, 22. April 2013 18:58