Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2013 CU2 Update bringt insuff access rights

Frage Microsoft Exchange Server

Mitglied: Monto1

Monto1 (Level 1) - Jetzt verbinden

05.09.2013 um 09:02 Uhr, 5420 Aufrufe, 17 Kommentare, 2 Danke

Ich versuche auf einem Windows 2008 R2 Server, der gleichzeitig der Domain Controller ist, und Exchange 2013 darauf installiert ist, ein Update des Exchange Servers zu machen.

Der Befehl:
setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms.
läuft ohne Probleme durch.

Der Befehl:
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
Endet jedoch mit der Fehlermeldung "insuff_access_rights"

Auch ein direktes anklicken der setup.exe oder mit dem Schalter /m:upgrade endet mit diesem Fehler.

Ich bin als lokaler Administrator angemeldet und habe dadurch bereits voreingestellt die Gruppe Domain-Admins und Shema-Admins. Auch das CMD Fenster wirde als Administrator gestartet.

Was fehlt denn noch?

Im ExchangeSetup.log ist zu sehen: (Domain ist für diese Thread geändert)



[09.05.2013 06:52:09.0926] [2] Die Active Directory-Sitzungseinstellungen für 'Install-RootOrganizationContainer' lauten: Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'mail.mydomain.eu', Bevorzugter globaler Katalog: 'mail.mydomain.eu', Bevorzugte Domänencontroller: '{ mail.mydomain.eu }'
[09.05.2013 06:52:09.0926] [2] User specified parameters: -DomainController:'mail.mydomain.eu'
[09.05.2013 06:52:09.0926] [2] Beginning processing install-RootOrganizationContainer
[09.05.2013 06:52:09.0972] [2] Ending processing install-RootOrganizationContainer
[09.05.2013 06:52:09.0972] [1] Executing:
Install-Container "ServiceEndpoints"


[09.05.2013 06:52:09.0972] [2] Die Active Directory-Sitzungseinstellungen für 'install-Container' lauten: Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'mail.mydomain.eu', Bevorzugter globaler Katalog: 'mail.mydomain.eu', Bevorzugte Domänencontroller: '{ mail.mydomain.eu }'
[09.05.2013 06:52:09.0972] [2] User specified parameters: -Name:'ServiceEndpoints'
[09.05.2013 06:52:09.0972] [2] Beginning processing Install-Container
[09.05.2013 06:52:10.0003] [2] Processing object "ServiceEndpoints".
[09.05.2013 06:52:10.0049] [2] The properties changed on the object '' (CN=ServiceEndpoints,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=eu) are: "{ Id[distinguishedName]='ServiceEndpoints', OrganizationId[msExchOURoot, msExchCU]='' }".
[09.05.2013 06:52:10.0064] [2] Saving object "ServiceEndpoints" of type "Container" and state "New".
[09.05.2013 06:52:10.0187] [2] Previous operation run on domain controller 'mail.mydomain.eu'.
[09.05.2013 06:52:10.0264] [2] [ERROR] Active Directory operation failed on mail.mydomain.eu. This error is not retriable. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

[09.05.2013 06:52:10.0264] [2] [ERROR] The user has insufficient access rights.
[09.05.2013 06:52:10.0279] [2] Ending processing Install-Container
[09.05.2013 06:52:10.0279] [1] The following 1 error(s) occurred during task execution:
[09.05.2013 06:52:10.0279] [1] 0. ErrorRecord: Fehler bei Active Directory-Vorgang mit mail.mydomain.eu. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

[09.05.2013 06:52:10.0279] [1] 0. ErrorRecord: Microsoft.Exchange.Data.Directory.ADOperationException: Fehler bei Active Directory-Vorgang mit mail.mydomain.eu. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Mitglied: ollioe
05.09.2013 um 09:46 Uhr
Moin Monto,
als lokaler Admin ist schlecht, führe die Setup.exe (runas) als Dom Admin aus
Einfach Shift Taste und Rechtsklick...
Bitte warten ..
Mitglied: Monto1
05.09.2013 um 10:43 Uhr
Aha, danke schon mal...

Ich wusste gar nicht, dass es da unterschiede gibt. Wieder was dazu gelernt :c)

Ich habe nun ein CMD mit "runas user:mydomain\administrator cmd.exe" geöffnet. Leider kam die gleiche Fehlermeldung beim Update.

Ich habe auch mal einen user angelegt, und ihm Domänen-Admins und Shema-Admins Gruppe zugewiesen. Auch er bekommt die gleiche Fehlermeldung.

Habe ich es so richtig gemacht? Weil als Gruppe "Domänen-Admins" kann man sich ja nicht wirklich anmelden, oder?
Bitte warten ..
Mitglied: ollioe
05.09.2013 um 10:49 Uhr
Richtig, als Gruppe ist kein Logon möglich, nur als Mitglied der Gruppe.

Öhm, mir fällt da gerade auf, wieso willst du denn ein Domain Prep durchführen wenn Exchange bereits installiert ist?
Dann ist klar das er den Fehler meldet, das Schema ist doch in der Domain schon vorhanden und der MX ist auch schon vorhanden.

Das führt man doch nur für einen neuen oder zusätzlichen Server aus.
Bitte warten ..
Mitglied: manuel1985
05.09.2013 um 10:57 Uhr
Hi,
meld dich doch mal als Domänen-Administrator an und führ das Setup dann aus.
By the way, Ex2013 auf einem DC ist "not supported"

Gruß Manuel
Bitte warten ..
Mitglied: Monto1
05.09.2013, aktualisiert um 11:00 Uhr
Den Gedanken hatte ich auch schon, ich bin dann irgendwann nach mehreren Fehlversuchen stur nach der Anleitung vorgegangen:

http://blogs.technet.com/b/exchange/archive/2013/07/09/released-exchang ...

Auch habe ich das Update testweise mit dem Schalter /m:upgrade oder auch direkt mit der setup.exe ohne Schalter gestartet, da kommt (auch als Domänen-Admin) der gleiche Fehler, gerade eben nochmal probiert nach dem oberen Tipp.
Bitte warten ..
Mitglied: kn0rki
05.09.2013 um 11:35 Uhr
Moin,

Muss der INstallationsbenutzer nicht noch in der Gruppe der Organisations-admins sein?
Bitte warten ..
Mitglied: goscho
05.09.2013 um 11:44 Uhr
Zitat von manuel1985:
Hi,
Moin
meld dich doch mal als Domänen-Administrator an und führ das Setup dann aus.
Es sind jetzt schon 2, die ihm dies empfehlen.
Ich wüsste jetzt auf Anhieb nicht, wie man sich an einem Dc als lokaler Admin anmelden sollte.
Vielleicht kann mir das jemand erklären.
By the way, Ex2013 auf einem DC ist "not supported"
Wo hast du das her, hörensagen?
Das stimmt so überhaupt nicht!
Wahr ist, das MS die Installation eines Exchange 2013 auf einem DC nicht empfiehlt.
Das ist aber trotzdem supported.

Guggst du hier

Dort steht auch folgendes:
Die Konfiguration von Exchange 2013 für geteilte Active Directory-Berechtigungen wird nicht unterstützt.
Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.

Gruß Goscho
Bitte warten ..
Mitglied: ollioe
05.09.2013, aktualisiert um 11:52 Uhr
> Zitat von goscho:
> ----
Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.

Gruß Goscho

Wir hier erklärt:
http://technet.microsoft.com/de-de/library/dd638106(v=exchg.150).aspx
Bitte warten ..
Mitglied: Monto1
05.09.2013, aktualisiert um 11:58 Uhr
Habs heraus bekommen. Als Domänen-Admin anzumelden, der Tipp war schon mal gut. Nur gab es noch eine zuätzliche Hürde: ich darf es nicht über eine Terminal Session machen. Kaum habe ich einen Monitor und eine Tastatur angeschossen, schon flutscht das Update...

Er ist zwar noch nicht fertig, aber das oben genannte Thema ist damit schon mal gelöst, danke Euch für die Geduld, und dass ich noch ein paar Geschichten über die Gruppenberechtigungen erlernen durfte :c)
Bitte warten ..
Mitglied: goscho
05.09.2013 um 12:00 Uhr
Zitat von ollioe:
> > Zitat von goscho:
> > ----
> Ohne zu wissen, was geteilte AD-Berechtigungen sind, könnte das ja eventuell hier zutreffend sein.
>
> Gruß Goscho

Wir hier erklärt:
http://technet.microsoft.com/de-de/library/dd638106(v=exchg.150).aspx

Danke.
Bitte warten ..
Mitglied: kn0rki
05.09.2013, aktualisiert um 12:08 Uhr
mhm.. ich mache die Exchange Updates nur über RDP und das gab bisher nie Probleme...

Sowas ist mir bisher nur von der DATEV Software bekannt.



EDITH: Aber wie schafft man es sich bei einem DC als lokalen Benutzer anzumelden? der existiert doch garnicht auf einem Domänencontroller, oder irre ich mich grad?
Bitte warten ..
Mitglied: goscho
05.09.2013 um 12:11 Uhr
Zitat von Monto1:
Habs heraus bekommen. Als Domänen-Admin anzumelden, der Tipp war schon mal gut. Nur gab es noch eine zuätzliche

Wie klappt das denn, dass man sich an einem DC als lokaler User anmeldet?
Das geht nicht.

Hürde: ich darf es nicht über eine Terminal Session machen. Kaum habe ich einen Monitor und eine Tastatur angeschossen,
Ich habe zwar keine E2K13-Erfahrungen, aber alle bisher gemachten ließen auch die Installationen per RDP an der Console zu (bei W2K8 /admin).
Hast du das so probiert?
Bitte warten ..
Mitglied: goscho
05.09.2013 um 12:15 Uhr
Zitat von kn0rki:
mhm.. ich mache die Exchange Updates nur über RDP und das gab bisher nie Probleme...

Sowas ist mir bisher nur von der DATEV Software bekannt.
Schon lange nicht mehr.
DATEV installiere ich auf Servern auch nur per RDP.
Die Clientinstallation kann auch remote vorgenommen werden (netzwerkweite Aktualisierung/Installation)

Die meisten Server, die ich betreue, haben keine Peripherie angeschlossen und man muss das Zeug "mühselig" zu den Servern schleppen (naja, die Displays sind heute schon ein bisschen leichter, als noch vor 10-15 Jahren).

EDITH: Aber wie schafft man es sich bei einem DC als lokalen Benutzer anzumelden? der existiert doch garnicht auf einem
Domänencontroller, oder irre ich mich grad?
Das habe ich hier auch schon in die Runde gerufen, aber es kommt dazu keine Antwort.
Bitte warten ..
Mitglied: Monto1
05.09.2013 um 12:57 Uhr
Ich habe zumindest einen unterschied entdeckt, wenn man CMD als Administrator ausmacht, oder mit dem oben genannten Tipp als anderer Benutzer. In der obersten Zeile des CMD fenster steht im ersten Fall: "cmd.exe administrator" und im zweiten Fall: "cmd.exe mydomain/administrator".

Auch liess sich das Urspüngliche Exchange 2013 ohne Probleme über eine Terminal Session als Administrator angemeldet installieren, nur CU1 oder CU2 scheint da etwas empfindlicher zu sein.
Bitte warten ..
Mitglied: goscho
05.09.2013, aktualisiert um 13:19 Uhr
Zitat von Monto1:
Ich habe zumindest einen unterschied entdeckt, wenn man CMD als Administrator ausmacht, oder mit dem oben genannten Tipp als
anderer Benutzer. In der obersten Zeile des CMD fenster steht im ersten Fall: "cmd.exe administrator" und im zweiten
Fall: "cmd.exe mydomain/administrator".
Wenn du das auf einem DC machst, gibt es keine Möglichkeit, sich als Server\administrator zu authentifizieren.
Dort geht nur domäne\administrator.
Hier scheinst du was zu verwechseln.
Wenn du auf einem Memberserver bist, geht das sehr wohl.
Kann es eventuell sein, dass der Exchange doch nicht auf einem DC installiert ist?
Auch liess sich das Urspüngliche Exchange 2013 ohne Probleme über eine Terminal Session als Administrator angemeldet
installieren, nur CU1 oder CU2 scheint da etwas empfindlicher zu sein.
Glaube ich nicht, bist du an der Console angemeldet?

Edit: Ich glaube, ich weiß, was dein Fehler war.

Du bist als Admin auf dem Server angemeldet, allerdings nicht als Benutzer "Administrator". Du bist zwar auch Domänenadmin, hast aber wohl trotzdem zu wenig Rechte, um die Installation durchzuführen.
Wenn du dann die Installation per "Als Administrator" ausführen startest, nutzt du nicht die Credentials des "Administrators", sondern stufst den Admin-User herauf.
Trotzdem wird der wohl bestimmte Rechte zur Installation nicht besitzen.
Bitte warten ..
Mitglied: manuel1985
05.09.2013 um 14:08 Uhr
Zitat von goscho:

> By the way, Ex2013 auf einem DC ist "not supported"
Wo hast du das her, hörensagen?
Das stimmt so überhaupt nicht!
Wahr ist, das MS die Installation eines Exchange 2013 auf einem DC nicht empfiehlt.
Das ist aber trotzdem supported.

Guggst du
[http://technet.microsoft.com/de-de/library/ms.exch.setupreadiness.warninginstallexchangerolesondomaincontroller%28v=exchg.150%29.aspx
hier]

Na dann mach mal mit einer solchen Konfiguration einen Support-Case bei MS auf. Das erste, was die dir sagen ist, "Installieren Sie bitte den Exchange auf einer eigenen Maschine, dann können wir Ihnen Support leisten."
Leider eigene schmerzhafte Erfahrung (bei Ex2010) vor ~1,5 Jahren...
Bitte warten ..
Mitglied: goscho
05.09.2013 um 14:18 Uhr
Zitat von manuel1985:
Na dann mach mal mit einer solchen Konfiguration einen Support-Case bei MS auf. Das erste, was die dir sagen ist,
"Installieren Sie bitte den Exchange auf einer eigenen Maschine, dann können wir Ihnen Support leisten."
Leider eigene schmerzhafte Erfahrung (bei Ex2010) vor ~1,5 Jahren...
Da müssen aber noch weitere Gründe eine Rolle gespielt haben oder einfach was anderes falsch gelaufen sein.
DCPromo ist bspw. nicht supported, sobald Exchange auf dem DC ist.

Prinzipiell versuchen die MS-Supporter nicht zuerst einen Fall zu kreieren, der vom Support ausgeschlossen ist.
Bitte warten ..
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...