[EX2k3] Services draaien onder eigen account - Serversoftware en clouddiensten

woensdag 4 augustus 2004 12:33

Acties:

Een Vurig Vosje

Topicstarter

Standaard als je Exchange installeerd draaien de services onder het local system account.

Ter bevordering van je beveiliging kun je ervoor kiezen om services onder een eigen naam te laten draaien.

MSCE/MCSA 70-284 handboek van de Microsoft Press refereert aan deze functionaliteit en stelt dit expliciet ook voor om te doen.

Wanneer ik alle exchange services op een service account laat draaien (voor het voorbeeld te noemen: Exchange@test.local) gaat het echter mis. Ik krijg steevast de volgende foutmelding in de event log:

Event Type: Error
Event Source: MSExchangeSA
Event Category: General
Event ID: 1005
Date: 8/3/2004
Time: 5:05:17 PM
User: N/A
Computer: VONLS0005
Description:
Unexpected error The logon attempt failed ID no: 8009030c Microsoft Exchange System Attendant occurred.

For more information, click http://www.microsoft.com/contentredirect.asp.

Microsfot Support heeft geen referenties aan deze Description, de content redirect werkt in dit geval niet.

Als ik op Google zoek naar deze 8009030c krijg ik vrijwel geen links. De relevante link die naar een MSCE forum verwijst wordt ik ook niet veel wijzer, anders dat er meer zijn met dit probleem, en dus maar weer gewoon onder het Local System Account gaan draaien.

Ik heb gecontroleerd dat de user iig de volgende rechten heeft:
- Logon as service
- Restore files and directories
- Act as part of the OS

Iemand die de magic search formule weet om hier een oplossing voor te vinden?

Better to have loved and lost then never loved at all... yeah right.

woensdag 4 augustus 2004 13:00

Acties:

paulhekje

Dat useraccount moet natuurlijk wel rechten hebben binnen exchange. Even de wizard Delegate Control draaien op de Exchange Organization.

Verder moet de gebruiker lokaal kunnen inloggen op de server, dit kan je makkelijk testen.

[ Voor 27% gewijzigd door paulhekje op 04-08-2004 13:01 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

woensdag 4 augustus 2004 13:22

Acties:

Firefox

Een Vurig Vosje

Topicstarter

Exchange is onder deze username op de server geinstalleerd. (Dus gebruiker kan ook op de machine inloggen)
Bij de forrest-prep is deze gebruiker ook aangegeven als de initial Exchange administrator, wat effectief inhoudt dat deze de Exchange Full Administrator role heeft binnen de Exchange Organisation...

User is bovendien zoals in het MCSE boek aangegeven lid van Domain Admins, Enterprise Admins en Schema Admins.

Better to have loved and lost then never loved at all... yeah right.

woensdag 4 augustus 2004 15:48

Acties:

leon1e

Heeft de gebruiker rechten om als service te starten?

edit:
Ik bedoelde eigenlijk, kun je dit ook even testen met een andere service..

[ Voor 47% gewijzigd door leon1e op 04-08-2004 16:20 ]

woensdag 4 augustus 2004 15:58

Acties:

collin

Who da man !!

leon1e schreef op 04 augustus 2004 @ 15:48:
Heeft de gebruiker rechten om als service te starten?

Yep, zie openingsport onderdaan.

Kan je wel een andere service laten starten onder dat account? (Backup services als test even bijv.) Kan je achterhalen of het Exchange specifieke problemen zijn of niet.

Mijn iRacing profiel

woensdag 4 augustus 2004 19:05

Acties:

mutsje

Certified Prutser

Firefox schreef op 04 augustus 2004 @ 13:22:
Exchange is onder deze username op de server geinstalleerd. (Dus gebruiker kan ook op de machine inloggen)
Bij de forrest-prep is deze gebruiker ook aangegeven als de initial Exchange administrator, wat effectief inhoudt dat deze de Exchange Full Administrator role heeft binnen de Exchange Organisation...

User is bovendien zoals in het MCSE boek aangegeven lid van Domain Admins, Enterprise Admins en Schema Admins.

Haal die user in ieder geval rap uit Schema admins. Zelfs enterprise admins wil je daar geen lid van zijn en maak je lid als er wat veranderd moet worden. Daarna verwijder je ze weer.

Als je de service probeert te starten onder dat account laat Filemon en Regmon mee lopen (tools te downloaden bij www.sysinternals.com zijn freeware) en kijk waar het mis gaat.

woensdag 4 augustus 2004 19:13

Acties:

Zwelgje

zit dat serviceaccount ook in de Exchange Domain Servers group?

die group heeft namelijk ook nog rechten binnen exchange, zit je niet in die groep dan werkt het niet goed

http://support.microsoft....aspx?scid=kb;EN-US;239762

overigens raadt ms het helemaal niet aan om exchange onder een domainaccount te gaan draaien (althans niet op de support.microsoft.com site)

Exchange services are started under the LocalSystem security context rather than associating a specific user account (and password) to start these services. This way, no password changes or user account deletions will cause a problem or prevent Exchange from functioning properly. When an Exchange service that is running as "LocalSystem" accesses a remote server, Microsoft Windows 2000 authenticates it using the "credential" of the machine account of the server.

een stukje security en een stukje probleemvoorkoming als het domainaccount per abuis zou worden gedelete

vroeger met exchange 5.5 had je idd wel een domainaccount waaronder het draaide, dat hebben ze niet voor niks bij installatie verwijderd...

[ Voor 65% gewijzigd door Zwelgje op 04-08-2004 19:15 ]

A wise man's life is based around fuck you

woensdag 4 augustus 2004 19:17

Acties:

Brahiewahiewa

boelkloedig

Je kunt proberen de account in kwestie lid te maken van de Exchange Domain Servers group, maar ik verwacht niet dat 't gaat werken. Zo zul je ook op een of andere manier voor elkaar moeten krijgen dat voor jouw service account een Kerberos record wordt aangemaakt zodat er TGT's kunnen worden uitgegeven

QnJhaGlld2FoaWV3YQ==

woensdag 4 augustus 2004 21:15

Acties:

Verwijderd

Misschien heb je iets aan Q325674.

CAUSE
This issue may occur if the server account does not have the correct permissions on both the Exchange Organization container and the server container in Active Directory.

1. Start ADSI Edit.
2. Click Start, point to Programs, and then click Windows 2000 Support Tools.
3. Click Tools, and then click ADSI Edit.
4. Expand Configuration, expand Configuration (CN=Configuration,DC=domain,DC=com), expand Services, and then expand Microsoft Exchange.
5. Right-click YourOrganization, and then click Properties.
6. Click the Security tab, verify that the server object is in the list of accounts with rights, and then verify that the Allow check box for Create all child objects and Delete all child objects is selected. If these permissions are not selected, click to select the Allow check box for Create all child objects and Delete all child objects, and then click OK.
7. Expand Administrative Groups, expand Site, and then expand Servers.
8. Right-click Server, and then click Properties.
9. Click the Security tab, verify that the server object is in the list of accounts with rights, and then verify that the Allow check box for Full Control is selected. If this permission is not selected, click to select the Allow check box for Full Control, and then click OK.
10. Quit ADSI Edit.
11. Wait for the change to replicate among the domain controllers.
12. Start System Attendant.