none
доступ к серверу-свидетелю DAG RRS feed

  • Вопрос

  • Два сервера Exchange 2013 с ролями CAS+Mailbox объединены в DAG.
    Кластер собрался. В web-консоли Exchange ошибок нет.
    В качестве сервера-свидетеля выступает контроллер домена.
    Вывод команды Get-DatabaseAvailabilityGroup показывает и сервер и назначенную директорию.

    Но в диспетчере кластеров висит ошибка сервера-свиделеля:

    Произошла ошибка при попытке подключить ресурс "File Share Witness \\......"
    Код ошибки 0x80070533
    Вход этого пользователя в систему невозможен, т.к. эта учетная запись сейчас отключена.


    И соответственно на Exchange в логах тоже ошибки:

    Файловому ресурсу-свидетелю "File Share Witness (\\........)" не удалось выбрать общий файловый ресурс "". Убедитесь, что настроенный общий файловый ресурс "" существует и доступен для кластера.


    Событие 1069 Сбой ресурса кластера.....




    И при попытке создать копию БД выдает ошибку

    Операция Active Directory над serv-kbp.constr.kbp не выполнена. Данная ошибка не допускает повторения попытки. Дополнительные сведения: Отказано в доступе.
    Отклик Active Directory: 00000005: SecErr: DSID-03151E07, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    Как-будто не хватает прав для доступа к серверу-свидетелю. Это связанно с тем, что это контроллер домена или что-то еще?

    Exchange Trusted Subsystem добавлен в локальные администраторы на всех серверах Exchange и в AD/Builting.


    12 июля 2017 г. 7:15

Ответы

  • Код ошибки 0x80070533
    Вход этого пользователя в систему невозможен, т.к. эта учетная запись сейчас отключена.


    А CNO случаем не в состоянии disable?
    Когда объект создаете да, выключаете. А когда dag собираете или копию добавляете (точно сейчас не скажу), служба кластера должна его включить, но  у вас этого не происходит. Попробуйте включить вручную. Ну или дать правда залогиненой учетке права фулл аксесс на CNO.
    12 июля 2017 г. 10:10
  • Поменяли сервер-свидетель на обычный сервер и все прошло. Правда все равно пришлось расшаривать  и проставлять права вручную. Спасибо за консультацию
    Ну норм решение, в любом случае не рекомендуется использовать dc под witness в продакшене из соображений безопасности. Не забудьте Exchange Trusted Subsystem убрать из группы built-in administrators группы.
    12 июля 2017 г. 13:59

Все ответы

  • Проверьте, есть ли путь на вашем контроллере домена:

    C:\DAGFileShareWitnesses\DAG_FQDN

    если нет, то создайте ее вручную. 

    Так же дайте права "Exchange Trusted Subsystem" на эти папки вручную. Так же добавьте доступ FullAccess на шару для членов DAG и CNO. В документации так описано:

    Manually create the witness directory and share on the witness server, and assign the CNO for the DAG full control for the directory and share.

    12 июля 2017 г. 7:50
  • Т.е. создаем папку на диске С: контроллера, выделяем ее в общий доступ.

    Доступ ExchangeTrusted Subsystem - полный, Все - чтение


    Безопасность - добавляем Excjange Trusted.. - полный

    Так же добавьте доступ FullAccess на шару для членов DAG и CNO....  Члены DAG - сервера Exchange- и так ведь входят в группу Exchange Trusted Subsystem. Надо в доступ добавить сам объект DAG?

    12 июля 2017 г. 9:04
  • Да, все верно. CNO DAG (в оснастке "Computers" который с именем DAG кластера). 
    12 июля 2017 г. 9:09
  • Код ошибки 0x80070533
    Вход этого пользователя в систему невозможен, т.к. эта учетная запись сейчас отключена.


    А CNO случаем не в состоянии disable?
    12 июля 2017 г. 9:32
  • Так ведь он и должен быть отключен, разве не так?
    12 июля 2017 г. 9:39
  • проставили доступ вручную.

    по сети папка доступна.

    Сам объект DAG-2 пингуется.  И все равно ошибка...

    Set-DatabaseAvailabilityGroup -Identity dag-2 -WitnessServer xxxxx
    Выполняется создание нового сеанса для неявного удаленного взаимодействия команды "Set-DatabaseAvailabilityGroup"...
    ПРЕДУПРЕЖДЕНИЕ: Не удается найти CNO "DAG-2".
    Сбой серверной административной операции группы доступности базы данных. Ошибка Не удалось подключить файловый ресурс-с
    видетель '\\xxxx\DAG-2.xxxxx'. Текущее состояние: 'Failed'..
        + CategoryInfo          : InvalidArgument: (:) [Set-DatabaseAvailabilityGroup], DagTaskFileShar...OnlineException
        + FullyQualifiedErrorId : [Server=SERV-EXCHANGE-1,RequestId=35f3490e-1329-4b29-a769-6df53362a0e5,TimeStamp=12.07.2
       017 10:26:33] [FailureCategory=Cmdlet-DagTaskFileShareWitnessResourceIsStillNotOnlineException] 347095A6,Microsoft
      .Exchange.Management.SystemConfigurationTasks.SetDatabaseAvailabilityGroup
        + PSComputerName        : serv-exchange-1.constr.kbp

    12 июля 2017 г. 9:47
  • Нет, CNO должен быть отключен только на этапе создания кластера. Если DAG уже создан, включите его. 

    Так же проверьте, что на CNO есть права для ExchangeTrusted Subsystem. Для этого перейдите в оснастку "AD Users And Computers", активируйте "View/advanced features". Далее ПКМ по CNO -> Security. Если права не выставлены, установите Full control.


    12 июля 2017 г. 10:03
  • Код ошибки 0x80070533
    Вход этого пользователя в систему невозможен, т.к. эта учетная запись сейчас отключена.


    А CNO случаем не в состоянии disable?
    Когда объект создаете да, выключаете. А когда dag собираете или копию добавляете (точно сейчас не скажу), служба кластера должна его включить, но  у вас этого не происходит. Попробуйте включить вручную. Ну или дать правда залогиненой учетке права фулл аксесс на CNO.
    12 июля 2017 г. 10:10
  • Объект включили.

    Права есть.

    Все равно не находит объект, но теперь пишет, что возможно виноват брандмауэр.

    Брандмауэры и антивирусы везде отключены.

    12 июля 2017 г. 11:13
  • Поменяли сервер-свидетель на обычный сервер и все прошло. Правда все равно пришлось расшаривать  и проставлять права вручную. Спасибо за консультацию
    12 июля 2017 г. 13:37
  • Поменяли сервер-свидетель на обычный сервер и все прошло. Правда все равно пришлось расшаривать  и проставлять права вручную. Спасибо за консультацию
    Ну норм решение, в любом случае не рекомендуется использовать dc под witness в продакшене из соображений безопасности. Не забудьте Exchange Trusted Subsystem убрать из группы built-in administrators группы.
    12 июля 2017 г. 13:59