none
ошибка При выполнении скрипта RollAlternateServiceAccountPassword.ps1 RRS feed

  • Общие обсуждения

  • При выполнении скрипта  RollAlternateServiceAccountPassword.ps1 на первом сервере в кластере  ошибка отказано в доступе
    Подскажите кому и куда отказано?

    ПРЕДУПРЕЖДЕНИЕ: Все учетные данные для всех альтернативных учетных записей службы, хранящиеся на сервере
    "serv-exch-cl2.constr.kbp", являются недопустимыми. Параметр -CleanUpInvalidAlternateServiceAccountCredentials д
    этого сервера пропускается. Чтобы удалить все учетные данные, используйте параметр
    -RemoveAlternateServiceAccountCredentials.
    Setting a new password on Alternate Serice Account in Active Directory

    Password change
    Do you want to change password for dconstr\kerb$ in Active Directory at this time?
    [Y] Да - Y  [N] Нет - N  [S] Приостановить - S  [?] Справка (значением по умолчанию является "Y"): y
    Preparing to update Active Directory with a new password for dconstr\kerb$ ...
    ПОДРОБНО: Looking up account kerb$ in domain dconstr
    Resetting a password in the Active Directory for dconstr\kerb$ ...
    RecordErrors : Исключение при вызове "SetPassword" с "1" аргументами: "Отказано в доступе. (Исключение из HRESUL
    070005 (E_ACCESSDENIED))"
    C:\Program Files\Microsoft\Exchange Server\V15\scripts\RollAlternateServiceAccountPassword.ps1:913 знак:15
    +         -and (RecordErrors -ReportOutcome -ExceptionsOnly {
    +               ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
        + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,RecordErrors

    Retrieving the current Alternate Service Account configuration from servers in scope
    ПОДРОБНО: Retrieving CAS server objects with credentials (passwords=False):
     SERV-EXCH-CL1, SERV-EXCH-CL2
    ПОДРОБНО: Looking up account kerb$ in domain dconstr
    Alternate Service Account properties:
    ПОДРОБНО: Looking up account kerb$ in domain dconstr

    StructuralObjectClass QualifiedUserName Last Pwd Update     SPNs
    --------------------- ----------------- ---------------     ----
    computer              dconstr\kerb$     05.01.2018 13:58:10 HTTP/autodiscover.constr.kbp
                                                                HTTP/serv-mail.constr.kbp



    Per-server Alternate Service Account configuration as of the time of script completion:


       Array: {serv-mail.constr.kbp, serv-mail.constr.kbp}

    Identity      AlternateServiceAccountConfiguration
    --------      ------------------------------------
    SERV-EXCH-CL1 Последний: 16.01.2018 10:38:21, dconstr\kerb$
                  Предыдущий: 12.01.2018 15:07:06, dconstr\kerb$
                  ...
    SERV-EXCH-CL2 Последний: 16.01.2018 10:38:23, dconstr\kerb$
                  Предыдущий: 12.01.2018 15:08:30, dconstr\kerb$
                  ...


    ========== Finished at 01/16/2018 10:39:17 ==========

            THE SCRIPT HAS FAILED
    [PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>
    16 января 2018 г. 9:55

Все ответы

  •  Здравствуйте,

     Проверьте сервер на котором наблюдаете инцидент использует ли сеть и подключение Active Directory ? Ошибка 0x8070005 E_ACCESSDENIED говорит, что причина  в сети или в правах (разрешений). Устранение неполадок сценария RollAlternateServiceAccountCredential.ps1


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.


    17 января 2018 г. 8:36
    Модератор
  • А можно про права поподробнее. Кому все-таки не хватает разрешений?
    17 января 2018 г. 12:56
  •  Здравствуйте,

     Когда воспроизводите инцидент, какие предупреждения и ошибки видите в журнале событий ? Сначала надо разобраться почему все учетные данные для всех альтернативных учетных записей службы, хранящиеся на сервере "serv-exch_cl2.constr.kbp", являются недопустимыми. 


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.


    18 января 2018 г. 6:17
    Модератор
  • Во время запуска скрипта регистрируются следующие ошибки (снизу вверх)


    MSExchange Management Application   14004

    Не удается найти описание для идентификатора события 14004 из источника MSExchange Management Application. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

    Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

    К событию были добавлены следующие сведения: 


     Critical errors: 
    ==================
    Удаленный сеанс для 68448b4b-559b-4ed1-b568-91790306ab5f недоступен.
    Исключение при вызове "SetPassword" с "1" аргументами: "Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED))"

     Configuration at the time of script completion: 
    =================================================

    StructuralObjectClass QualifiedUserName Last Pwd Update     SPNs                                                     
    --------------------- ----------------- ---------------     ----                                                     
    computer              dconstr\kerb$     05.01.2018 13:58:10 HTTP/autodiscover.constr.kbp                             
                                                                HTTP/serv-mail.constr.kbp                                
                                                                                                                         

       Array: {serv-mail.constr.kbp, serv-mail.constr.kbp}

    Identity      AlternateServiceAccountConfiguration                                                              
    --------      ------------------------------------                                                              
    SERV-EXCH-CL1 Последний: 18.01.2018 15:19:53, dconstr\kerb$                                                     
                  Предыдущий: 17.01.2018 15:53:16, dconstr\kerb$                                                    
                  ...                                                                                               
    SERV-EXCH-CL2 Последний: 18.01.2018 15:19:54, dconstr\kerb$                                                     
                  Предыдущий: 17.01.2018 15:53:17, dconstr\kerb$                                                    
                 ...                                                                                               

    ресурс сообщения существует, но сообщение не найдено в таблице строк и таблице сообщений



    MSExchange RPC Over HTTP Autoconfig  4000

    Узлу службы Microsoft Exchange не удалось обновить дату последнего входа для зарегистрированных альтернативных учетных записей служб. Ошибка входа в систему: LogonDenied. Виртуальная связь Kerberos с привязкой по IP может быть нарушена, учетные записи могут устареть. Убедитесь, что сохраненные пароли соответствуют паролям, заданным в Active Directory.


    MSExchange RPC Over HTTP Autoconfig   4003

    Учетные данные альтернативной учетной записи службы добавлены в сеансы входа в систему. Виртуальный трафик Kerberos с привязкой по IP теперь может проходить проверку подлинности на сервере.


    MSExchange RPC Over HTTP Autoconfig   4001

    Узлу службы Microsoft Exchange не удалось обновить учетные данные альтернативной учетной записи службы 12.01.2018 15:07:06, dconstr\kerb$. Kerberos сообщает об ошибке 87: Параметр задан неверно



    MSExchange RPC Over HTTP Autoconfig   4001

    Узлу службы Microsoft Exchange не удалось обновить учетные данные альтернативной учетной записи службы 12.01.2018 15:07:06, dconstr\kerb$. Kerberos сообщает об ошибке 87: Параметр задан неверно


    MSExchange RPC Over HTTP Autoconfig   4004
    Учетные данные альтернативной учетной записи службы удалены из сеансов входа в систему. Виртуальный трафик Kerberos с привязкой по IP теперь не может проходить проверку подлинности на сервере.
    18 января 2018 г. 12:43