none
Доступ к консоле управления RRS feed

  • Общие обсуждения

  • Периодически пропадает доступ к консоле упарвления с ошибкой:

    (Процесс w3wp.exe, идентификатор процесса 5960) "Авторизация RBAC возвращает сообщение "Доступ запрещен" для пользователя admin@domain.ru. Причина: на контроллере домена DC.domain02.local отсутствуют назначения ролей, связанные с определенным пользователем".

    С чем это может быть связано и как лечить? В лесу 4 домена.

    • Изменен тип Yuriy Lenchenkov 29 ноября 2010 г. 8:53 пользователь покинул тему
    11 октября 2010 г. 14:02

Все ответы

  • а с репликацией все хорошо?


    http://alexxhost.ru
    12 октября 2010 г. 4:58
  • Да, repadmin /showrepl говорит, что всё без ошибок.

    Все DcDiag без ошибок

    14 октября 2010 г. 7:21
  • Посмотрите, у вас на DC.domain02.local  в OU Microsoft Exchange Security в группе Organization Management есть пользователь Admin? И вообще это именно тот DC, который нужен?


    http://alexxhost.ru
    14 октября 2010 г. 9:17
  • Единственный Exchange со всеми ролями стоит на DC.domain01.local. Перед его установкой было сделано /PrepareAllDomains.

    Сначала была такая же проблемма с DC.domain04.local, но там были проблемы с репликацией. После их устранения всё заработало. А теперь, получается всё повторяется, но все репликации во всеми доменами работают - вот что не понятно.

    На DC.domain02.local таких объектов нет.
    14 октября 2010 г. 9:29
  • Непонятно почему ваш Exchange пытается общаться не с тем DC... мне кажется вам сначала нужно решить эту проблему.


    http://alexxhost.ru
    14 октября 2010 г. 9:39
  • Мне кажется, что он опрашивает ВСЕ КД в лесу (их 5 в 4х доменах) и именно на этом что-то ему не нравится...

    14 октября 2010 г. 9:52
  • Я перегрузил сервер Exchange (он заодно и КД и хозяин всех ролей FSMO), теперь он ругается так же, но на DC.Domain03.local. Я просто в расстеренности!

    14 октября 2010 г. 10:44
  • Установил SP1, после перезагрузки консоль открывается, но там ничего нет! "Недостаточно прав для просмотра этих данных". Так понимаю, что где-то косяк в RBAC'е, моя учётка входит в Exchange Organization Administrators.

    18 октября 2010 г. 13:40
  • А самое интересное, что и Exchange PowerShell не работает: на любую команду "Имя "" не распознано как имя командлета, функции, файла скрипта или выполняемой программы. Проверьте правильность написания имени, а также наличие и правильность пути, после чего повторите попытку."

    Анализатор соответствия (проверка разрешений) говорит:

    1. Необходимо назначить роль управления "Управление ролями" (с делегированием назначения ролей) одной группе безопасности, включающей в себя членов. В настоящее время члены группы безопасности, которые могут делегировать роль управления ролями другому пользователю или группе, отсутствуют.

    2. Необходимо назначить роль управления "Управление ролями" (с назначением обычной роли) одной группе безопасности, включающей в себя членов. В настоящее время члены группы безопасности, которые имеют доступ к командлетам управления ролями для назначения ролей другому пользователю или группе, отсутствуют.

    3.Для политики назначения ролей 'Default Role Assignment Policy' не назначены параметры "MyBaseOptions". Можно отключить панель управления Exchange и другие задачи самостоятельного администрирования для пользователей, назначенных этой политике.

    19 октября 2010 г. 8:36
  • Я так понимаю, что бы получить доступ хотя бы к управлению RBAC, мне нужно поправить какой-то атрибут в ADSI для моей учётки или группы безопасности в которой я состою, но какой? вот в чём вопрос.

    19 октября 2010 г. 12:59
  • Не совсем так, достаточно разместить свою учетку в OU Microsoft Security Group в группе Organization Management. Сдается мне, что она скорее всего у вас там и лежит, так что проблема не в этом, а в том, что Exchange не может найти "правильный" контроллер домена и соответственно прочитать нужную информацию из AD.
    http://alexxhost.ru
    20 октября 2010 г. 4:58
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    9 ноября 2010 г. 13:50
    Модератор