89371
Sep 05, 2013
7670
17
0
Exchange 2013 CU2 Update bringt insuff access rights
Ich versuche auf einem Windows 2008 R2 Server, der gleichzeitig der Domain Controller ist, und Exchange 2013 darauf installiert ist, ein Update des Exchange Servers zu machen.
Der Befehl:
setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms.
läuft ohne Probleme durch.
Der Befehl:
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
Endet jedoch mit der Fehlermeldung "insuff_access_rights"
Auch ein direktes anklicken der setup.exe oder mit dem Schalter /m:upgrade endet mit diesem Fehler.
Ich bin als lokaler Administrator angemeldet und habe dadurch bereits voreingestellt die Gruppe Domain-Admins und Shema-Admins. Auch das CMD Fenster wirde als Administrator gestartet.
Was fehlt denn noch?
Im ExchangeSetup.log ist zu sehen: (Domain ist für diese Thread geändert)
[09.05.2013 06:52:09.0926] [2] Die Active Directory-Sitzungseinstellungen für 'Install-RootOrganizationContainer' lauten: Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'mail.mydomain.eu', Bevorzugter globaler Katalog: 'mail.mydomain.eu', Bevorzugte Domänencontroller: '{ mail.mydomain.eu }'
[09.05.2013 06:52:09.0926] [2] User specified parameters: -DomainController:'mail.mydomain.eu'
[09.05.2013 06:52:09.0926] [2] Beginning processing install-RootOrganizationContainer
[09.05.2013 06:52:09.0972] [2] Ending processing install-RootOrganizationContainer
[09.05.2013 06:52:09.0972] [1] Executing:
Install-Container "ServiceEndpoints"
[09.05.2013 06:52:09.0972] [2] Die Active Directory-Sitzungseinstellungen für 'install-Container' lauten: Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'mail.mydomain.eu', Bevorzugter globaler Katalog: 'mail.mydomain.eu', Bevorzugte Domänencontroller: '{ mail.mydomain.eu }'
[09.05.2013 06:52:09.0972] [2] User specified parameters: -Name:'ServiceEndpoints'
[09.05.2013 06:52:09.0972] [2] Beginning processing Install-Container
[09.05.2013 06:52:10.0003] [2] Processing object "ServiceEndpoints".
[09.05.2013 06:52:10.0049] [2] The properties changed on the object '' (CN=ServiceEndpoints,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=eu) are: "{ Id[distinguishedName]='ServiceEndpoints', OrganizationId[msExchOURoot, msExchCU]='' }".
[09.05.2013 06:52:10.0064] [2] Saving object "ServiceEndpoints" of type "Container" and state "New".
[09.05.2013 06:52:10.0187] [2] Previous operation run on domain controller 'mail.mydomain.eu'.
[09.05.2013 06:52:10.0264] [2] [ERROR] Active Directory operation failed on mail.mydomain.eu. This error is not retriable. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
[09.05.2013 06:52:10.0264] [2] [ERROR] The user has insufficient access rights.
[09.05.2013 06:52:10.0279] [2] Ending processing Install-Container
[09.05.2013 06:52:10.0279] [1] The following 1 error(s) occurred during task execution:
[09.05.2013 06:52:10.0279] [1] 0. ErrorRecord: Fehler bei Active Directory-Vorgang mit mail.mydomain.eu. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
[09.05.2013 06:52:10.0279] [1] 0. ErrorRecord: Microsoft.Exchange.Data.Directory.ADOperationException: Fehler bei Active Directory-Vorgang mit mail.mydomain.eu. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Der Befehl:
setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms.
läuft ohne Probleme durch.
Der Befehl:
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
Endet jedoch mit der Fehlermeldung "insuff_access_rights"
Auch ein direktes anklicken der setup.exe oder mit dem Schalter /m:upgrade endet mit diesem Fehler.
Ich bin als lokaler Administrator angemeldet und habe dadurch bereits voreingestellt die Gruppe Domain-Admins und Shema-Admins. Auch das CMD Fenster wirde als Administrator gestartet.
Was fehlt denn noch?
Im ExchangeSetup.log ist zu sehen: (Domain ist für diese Thread geändert)
[09.05.2013 06:52:09.0926] [2] Die Active Directory-Sitzungseinstellungen für 'Install-RootOrganizationContainer' lauten: Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'mail.mydomain.eu', Bevorzugter globaler Katalog: 'mail.mydomain.eu', Bevorzugte Domänencontroller: '{ mail.mydomain.eu }'
[09.05.2013 06:52:09.0926] [2] User specified parameters: -DomainController:'mail.mydomain.eu'
[09.05.2013 06:52:09.0926] [2] Beginning processing install-RootOrganizationContainer
[09.05.2013 06:52:09.0972] [2] Ending processing install-RootOrganizationContainer
[09.05.2013 06:52:09.0972] [1] Executing:
Install-Container "ServiceEndpoints"
[09.05.2013 06:52:09.0972] [2] Die Active Directory-Sitzungseinstellungen für 'install-Container' lauten: Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'mail.mydomain.eu', Bevorzugter globaler Katalog: 'mail.mydomain.eu', Bevorzugte Domänencontroller: '{ mail.mydomain.eu }'
[09.05.2013 06:52:09.0972] [2] User specified parameters: -Name:'ServiceEndpoints'
[09.05.2013 06:52:09.0972] [2] Beginning processing Install-Container
[09.05.2013 06:52:10.0003] [2] Processing object "ServiceEndpoints".
[09.05.2013 06:52:10.0049] [2] The properties changed on the object '' (CN=ServiceEndpoints,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=eu) are: "{ Id[distinguishedName]='ServiceEndpoints', OrganizationId[msExchOURoot, msExchCU]='' }".
[09.05.2013 06:52:10.0064] [2] Saving object "ServiceEndpoints" of type "Container" and state "New".
[09.05.2013 06:52:10.0187] [2] Previous operation run on domain controller 'mail.mydomain.eu'.
[09.05.2013 06:52:10.0264] [2] [ERROR] Active Directory operation failed on mail.mydomain.eu. This error is not retriable. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
[09.05.2013 06:52:10.0264] [2] [ERROR] The user has insufficient access rights.
[09.05.2013 06:52:10.0279] [2] Ending processing Install-Container
[09.05.2013 06:52:10.0279] [1] The following 1 error(s) occurred during task execution:
[09.05.2013 06:52:10.0279] [1] 0. ErrorRecord: Fehler bei Active Directory-Vorgang mit mail.mydomain.eu. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
[09.05.2013 06:52:10.0279] [1] 0. ErrorRecord: Microsoft.Exchange.Data.Directory.ADOperationException: Fehler bei Active Directory-Vorgang mit mail.mydomain.eu. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 216175
Url: https://administrator.de/contentid/216175
Printed on: April 16, 2024 at 11:04 o'clock
17 Comments
Latest comment
Moin Monto,
als lokaler Admin ist schlecht, führe die Setup.exe (runas) als Dom Admin aus
Einfach Shift Taste und Rechtsklick...
als lokaler Admin ist schlecht, führe die Setup.exe (runas) als Dom Admin aus
Einfach Shift Taste und Rechtsklick...
1
Aha, danke schon mal...
Ich wusste gar nicht, dass es da unterschiede gibt. Wieder was dazu gelernt :c)
Ich habe nun ein CMD mit "runas user:mydomain\administrator cmd.exe" geöffnet. Leider kam die gleiche Fehlermeldung beim Update.
Ich habe auch mal einen user angelegt, und ihm Domänen-Admins und Shema-Admins Gruppe zugewiesen. Auch er bekommt die gleiche Fehlermeldung.
Habe ich es so richtig gemacht? Weil als Gruppe "Domänen-Admins" kann man sich ja nicht wirklich anmelden, oder?
Ich wusste gar nicht, dass es da unterschiede gibt. Wieder was dazu gelernt :c)
Ich habe nun ein CMD mit "runas user:mydomain\administrator cmd.exe" geöffnet. Leider kam die gleiche Fehlermeldung beim Update.
Ich habe auch mal einen user angelegt, und ihm Domänen-Admins und Shema-Admins Gruppe zugewiesen. Auch er bekommt die gleiche Fehlermeldung.
Habe ich es so richtig gemacht? Weil als Gruppe "Domänen-Admins" kann man sich ja nicht wirklich anmelden, oder?
Richtig, als Gruppe ist kein Logon möglich, nur als Mitglied der Gruppe.
Öhm, mir fällt da gerade auf, wieso willst du denn ein Domain Prep durchführen wenn Exchange bereits installiert ist?
Dann ist klar das er den Fehler meldet, das Schema ist doch in der Domain schon vorhanden und der MX ist auch schon vorhanden.
Das führt man doch nur für einen neuen oder zusätzlichen Server aus.
Öhm, mir fällt da gerade auf, wieso willst du denn ein Domain Prep durchführen wenn Exchange bereits installiert ist?
Dann ist klar das er den Fehler meldet, das Schema ist doch in der Domain schon vorhanden und der MX ist auch schon vorhanden.
Das führt man doch nur für einen neuen oder zusätzlichen Server aus.
Hi,
meld dich doch mal als Domänen-Administrator an und führ das Setup dann aus.
By the way, Ex2013 auf einem DC ist "not supported"
Gruß Manuel
meld dich doch mal als Domänen-Administrator an und führ das Setup dann aus.
By the way, Ex2013 auf einem DC ist "not supported"
Gruß Manuel
1
Den Gedanken hatte ich auch schon, ich bin dann irgendwann nach mehreren Fehlversuchen stur nach der Anleitung vorgegangen:
http://blogs.technet.com/b/exchange/archive/2013/07/09/released-exchang ...
Auch habe ich das Update testweise mit dem Schalter /m:upgrade oder auch direkt mit der setup.exe ohne Schalter gestartet, da kommt (auch als Domänen-Admin) der gleiche Fehler, gerade eben nochmal probiert nach dem oberen Tipp.
http://blogs.technet.com/b/exchange/archive/2013/07/09/released-exchang ...
Auch habe ich das Update testweise mit dem Schalter /m:upgrade oder auch direkt mit der setup.exe ohne Schalter gestartet, da kommt (auch als Domänen-Admin) der gleiche Fehler, gerade eben nochmal probiert nach dem oberen Tipp.
Moin,
Muss der INstallationsbenutzer nicht noch in der Gruppe der Organisations-admins sein?
Muss der INstallationsbenutzer nicht noch in der Gruppe der Organisations-admins sein?
Moin
Ich wüsste jetzt auf Anhieb nicht, wie man sich an einem Dc als lokaler Admin anmelden sollte.
Vielleicht kann mir das jemand erklären.
Das stimmt so überhaupt nicht!
Wahr ist, das MS die Installation eines Exchange 2013 auf einem DC nicht empfiehlt.
Das ist aber trotzdem supported.
Guggst du hier
Dort steht auch folgendes:
Gruß Goscho
meld dich doch mal als Domänen-Administrator an und führ das Setup dann aus.
Es sind jetzt schon 2, die ihm dies empfehlen.Ich wüsste jetzt auf Anhieb nicht, wie man sich an einem Dc als lokaler Admin anmelden sollte.
Vielleicht kann mir das jemand erklären.
By the way, Ex2013 auf einem DC ist "not supported"
Wo hast du das her, hörensagen? Das stimmt so überhaupt nicht!
Wahr ist, das MS die Installation eines Exchange 2013 auf einem DC nicht empfiehlt.
Das ist aber trotzdem supported.
Guggst du hier
Dort steht auch folgendes:
Die Konfiguration von Exchange 2013 für geteilte Active Directory-Berechtigungen wird nicht unterstützt.
Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.Gruß Goscho
> Zitat von @goscho:
> ----
Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.
Gruß Goscho
> ----
Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.
Gruß Goscho
Wir hier erklärt:
http://technet.microsoft.com/de-de/library/dd638106(v=exchg.150).aspx
Habs heraus bekommen. Als Domänen-Admin anzumelden, der Tipp war schon mal gut. Nur gab es noch eine zuätzliche Hürde: ich darf es nicht über eine Terminal Session machen. Kaum habe ich einen Monitor und eine Tastatur angeschossen, schon flutscht das Update...
Er ist zwar noch nicht fertig, aber das oben genannte Thema ist damit schon mal gelöst, danke Euch für die Geduld, und dass ich noch ein paar Geschichten über die Gruppenberechtigungen erlernen durfte :c)
Er ist zwar noch nicht fertig, aber das oben genannte Thema ist damit schon mal gelöst, danke Euch für die Geduld, und dass ich noch ein paar Geschichten über die Gruppenberechtigungen erlernen durfte :c)
Zitat von @ollioe:
> > Zitat von @goscho:
> > ----
> Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.
>
> Gruß Goscho
Wir hier erklärt:
http://technet.microsoft.com/de-de/library/dd638106(v=exchg.150).aspx
> > Zitat von @goscho:
> > ----
> Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.
>
> Gruß Goscho
Wir hier erklärt:
http://technet.microsoft.com/de-de/library/dd638106(v=exchg.150).aspx
Danke.
mhm.. ich mache die Exchange Updates nur über RDP und das gab bisher nie Probleme...
Sowas ist mir bisher nur von der DATEV Software bekannt.
EDITH: Aber wie schafft man es sich bei einem DC als lokalen Benutzer anzumelden? der existiert doch garnicht auf einem Domänencontroller, oder irre ich mich grad?
Sowas ist mir bisher nur von der DATEV Software bekannt.
EDITH: Aber wie schafft man es sich bei einem DC als lokalen Benutzer anzumelden? der existiert doch garnicht auf einem Domänencontroller, oder irre ich mich grad?
Zitat von @89371:
Habs heraus bekommen. Als Domänen-Admin anzumelden, der Tipp war schon mal gut. Nur gab es noch eine zuätzliche
Habs heraus bekommen. Als Domänen-Admin anzumelden, der Tipp war schon mal gut. Nur gab es noch eine zuätzliche
Wie klappt das denn, dass man sich an einem DC als lokaler User anmeldet?
Das geht nicht.
Hürde: ich darf es nicht über eine Terminal Session machen. Kaum habe ich einen Monitor und eine Tastatur angeschossen,
Ich habe zwar keine E2K13-Erfahrungen, aber alle bisher gemachten ließen auch die Installationen per RDP an der Console zu (bei W2K8 /admin).Hast du das so probiert?
Zitat von @kn0rki:
mhm.. ich mache die Exchange Updates nur über RDP und das gab bisher nie Probleme...
Sowas ist mir bisher nur von der DATEV Software bekannt.
Schon lange nicht mehr.mhm.. ich mache die Exchange Updates nur über RDP und das gab bisher nie Probleme...
Sowas ist mir bisher nur von der DATEV Software bekannt.
DATEV installiere ich auf Servern auch nur per RDP.
Die Clientinstallation kann auch remote vorgenommen werden (netzwerkweite Aktualisierung/Installation)
Die meisten Server, die ich betreue, haben keine Peripherie angeschlossen und man muss das Zeug "mühselig" zu den Servern schleppen (naja, die Displays sind heute schon ein bisschen leichter, als noch vor 10-15 Jahren).
EDITH: Aber wie schafft man es sich bei einem DC als lokalen Benutzer anzumelden? der existiert doch garnicht auf einem
Domänencontroller, oder irre ich mich grad?
Das habe ich hier auch schon in die Runde gerufen, aber es kommt dazu keine Antwort.Domänencontroller, oder irre ich mich grad?
Ich habe zumindest einen unterschied entdeckt, wenn man CMD als Administrator ausmacht, oder mit dem oben genannten Tipp als anderer Benutzer. In der obersten Zeile des CMD fenster steht im ersten Fall: "cmd.exe administrator" und im zweiten Fall: "cmd.exe mydomain/administrator".
Auch liess sich das Urspüngliche Exchange 2013 ohne Probleme über eine Terminal Session als Administrator angemeldet installieren, nur CU1 oder CU2 scheint da etwas empfindlicher zu sein.
Auch liess sich das Urspüngliche Exchange 2013 ohne Probleme über eine Terminal Session als Administrator angemeldet installieren, nur CU1 oder CU2 scheint da etwas empfindlicher zu sein.
Zitat von @89371:
Ich habe zumindest einen unterschied entdeckt, wenn man CMD als Administrator ausmacht, oder mit dem oben genannten Tipp als
anderer Benutzer. In der obersten Zeile des CMD fenster steht im ersten Fall: "cmd.exe administrator" und im zweiten
Fall: "cmd.exe mydomain/administrator".
Wenn du das auf einem DC machst, gibt es keine Möglichkeit, sich als Server\administrator zu authentifizieren.Ich habe zumindest einen unterschied entdeckt, wenn man CMD als Administrator ausmacht, oder mit dem oben genannten Tipp als
anderer Benutzer. In der obersten Zeile des CMD fenster steht im ersten Fall: "cmd.exe administrator" und im zweiten
Fall: "cmd.exe mydomain/administrator".
Dort geht nur domäne\administrator.
Hier scheinst du was zu verwechseln.
Wenn du auf einem Memberserver bist, geht das sehr wohl.
Kann es eventuell sein, dass der Exchange doch nicht auf einem DC installiert ist?
Auch liess sich das Urspüngliche Exchange 2013 ohne Probleme über eine Terminal Session als Administrator angemeldet
installieren, nur CU1 oder CU2 scheint da etwas empfindlicher zu sein.
Glaube ich nicht, bist du an der Console angemeldet?installieren, nur CU1 oder CU2 scheint da etwas empfindlicher zu sein.
Edit: Ich glaube, ich weiß, was dein Fehler war.
Du bist als Admin auf dem Server angemeldet, allerdings nicht als Benutzer "Administrator". Du bist zwar auch Domänenadmin, hast aber wohl trotzdem zu wenig Rechte, um die Installation durchzuführen.
Wenn du dann die Installation per "Als Administrator" ausführen startest, nutzt du nicht die Credentials des "Administrators", sondern stufst den Admin-User herauf.
Trotzdem wird der wohl bestimmte Rechte zur Installation nicht besitzen.
> By the way, Ex2013 auf einem DC ist "not supported"
Wo hast du das her, hörensagen?
Das stimmt so überhaupt nicht!
Wahr ist, das MS die Installation eines Exchange 2013 auf einem DC nicht empfiehlt.
Das ist aber trotzdem supported.
Guggst du
[http://technet.microsoft.com/de-de/library/ms.exch.setupreadiness.warninginstallexchangerolesondomaincontroller%28v=exchg.150%29.aspx
hier]
Wo hast du das her, hörensagen?
Das stimmt so überhaupt nicht!
Wahr ist, das MS die Installation eines Exchange 2013 auf einem DC nicht empfiehlt.
Das ist aber trotzdem supported.
Guggst du
[http://technet.microsoft.com/de-de/library/ms.exch.setupreadiness.warninginstallexchangerolesondomaincontroller%28v=exchg.150%29.aspx
hier]
Na dann mach mal mit einer solchen Konfiguration einen Support-Case bei MS auf. Das erste, was die dir sagen ist, "Installieren Sie bitte den Exchange auf einer eigenen Maschine, dann können wir Ihnen Support leisten."
Leider eigene schmerzhafte Erfahrung (bei Ex2010) vor ~1,5 Jahren...
Zitat von @manuel1985:
Na dann mach mal mit einer solchen Konfiguration einen Support-Case bei MS auf. Das erste, was die dir sagen ist,
"Installieren Sie bitte den Exchange auf einer eigenen Maschine, dann können wir Ihnen Support leisten."
Leider eigene schmerzhafte Erfahrung (bei Ex2010) vor ~1,5 Jahren...
Da müssen aber noch weitere Gründe eine Rolle gespielt haben oder einfach was anderes falsch gelaufen sein.Na dann mach mal mit einer solchen Konfiguration einen Support-Case bei MS auf. Das erste, was die dir sagen ist,
"Installieren Sie bitte den Exchange auf einer eigenen Maschine, dann können wir Ihnen Support leisten."
Leider eigene schmerzhafte Erfahrung (bei Ex2010) vor ~1,5 Jahren...
DCPromo ist bspw. nicht supported, sobald Exchange auf dem DC ist.
Prinzipiell versuchen die MS-Supporter nicht zuerst einen Fall zu kreieren, der vom Support ausgeschlossen ist.