Dutch_OnE 39 Geschrieben 10. Oktober 2022 Melden Teilen Geschrieben 10. Oktober 2022 Moin, wir haben seit 2 Wochen das Problem, dass in der o.g. Umgebung das Computerkonto sein Kennwort nicht mehr automatisch ändern kann. Es wurde nichts bewusst geändert. Kenn jemand das Problem mit diesem Clustertyp? Fehlermeldung: 1207 The computer object associated with the cluster network name ressource XXX could not be update in the domain XXX during the Password change operation. The text for the associated error code is: Access is denied Hat jemand eine Idee? Vielleicht ein Microsoft Patch? Gruß DO Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 11. Oktober 2022 Autor Melden Teilen Geschrieben 11. Oktober 2022 in der cluster.log steht noch: <cluster_name>: AccountAD: Passowrd rotation failed with error 5 Zitieren Link zu diesem Kommentar
tesso 373 Geschrieben 11. Oktober 2022 Melden Teilen Geschrieben 11. Oktober 2022 Rechte am Account geändert? Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 11. Oktober 2022 Autor Melden Teilen Geschrieben 11. Oktober 2022 Nein, da wurde nichts geändert. Auch keine GPO Veränderungen. Es scheinen auch nur die SQL Hochverfügbarkeitscluster zu betreffen. 464 TCP ist an den DCs erreichbar. Die Berechtigungen der Konten sehen auch soweit gut aus. Das Cluster Objekt hat auf den beiden Knoten sogar Vollzugriff. Der UserAccountControl steht auf 0x1000. Das ist eigentlich auch soweit in Ordnung. Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 11. Oktober 2022 Melden Teilen Geschrieben 11. Oktober 2022 vor 18 Minuten schrieb Dutch_OnE: Das Cluster Objekt hat auf den beiden Knoten sogar Vollzugriff. Das muss aber genau andersherum sein??? Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 12. Oktober 2022 Autor Melden Teilen Geschrieben 12. Oktober 2022 (bearbeitet) Fehler ist seit dem 17.9 aufgetreten. Der Cluster wurde im Januar nach Vorgabe von Microsoft aufgesetzt. Windows Updates wurden am 30.8 und am Ende September eingespielt. Meiner Meinung nach, kann das nicht der Grund sein. Die beiden virtuellen Server (Node1 und Node2) können ihr Computerkonto updaten. Die beiden virtuellen Cluster dagegen nicht. Am 14.9 hat der eine Cluster sein Computerkonto noch updaten können. Der andere hat das am 17.9 dagegen erfolglos versucht. Gruß DO bearbeitet 12. Oktober 2022 von Dutch_OnE Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 12. Oktober 2022 Melden Teilen Geschrieben 12. Oktober 2022 Haben die Computerkonten der Clusterknoten denn Vollzugriff auf das Clusterkonto? Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 12. Oktober 2022 Autor Melden Teilen Geschrieben 12. Oktober 2022 Tatsächlich haben wir zum Testen sogar "jeder" Vollzugriff gegeben. The cluster identity 'cluster-ident-01$' may lack permission required to update the object ... Bei server01 und server02, den Cluster Nodes funktioniert es. Nur bei den Cluster Objekten cluster-ident-01 und cluster-ident-02 geht es nicht mehr. In den beiden Cluster Objekten hat zum Test, jeder Vollzugriff. Außerdem das oben genannte Konto cluster-ident-01$. 1 Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 13. Oktober 2022 Autor Melden Teilen Geschrieben 13. Oktober 2022 Um das nochmal genauer darzustellen. cluster-ident-01 ist das CNO und ein VCO. cluster-ident-02 ist ein weiterer VCO. beide können ihr Kennwort im AD nicht mehr aktualisieren. Das CNO Konto ist cluster-ident-01$ Das, sowie auch Jeder haben Vollzugriff auf den beiden Computerkonten cluster-ident-01 und cluster-ident-02. Die Windows Notes funktionieren und können unberücksichtigt bleiben. Das Problem tritt auch bei einem anderer HA SQL Cluster auf. Einmal auf Windows 2019 und einmal auf Windows 2022 Basis. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 14. Oktober 2022 Autor Melden Teilen Geschrieben 14. Oktober 2022 Nun haben wir folgendes gemacht: 1) Cluster abgerissen 2) Computeraccount (CNO / VCO) und Zweites Computeraccount (VCO) gelöscht 3) Cluster neu erstellt 4) CNO Computerkonto wurde automatisch auch angelegt 5) Zweiten VCO noch nicht erstellt, da der SQL HA Cluster noch nicht einrichtet war 6) Cluster-ident-01$ auf dem CNO/VCO Computerkonto Cluster-ident-01 temporär Vollzugriff gegeben- 7) Im Failover Cluster Manager geprüft, ob man den Cluster offline und wieder online schalten kann. Hat funktioniert 8) Dann den Cluster nochmal offline geschaltet und die Reparatur Funktion ausgewählt. 9) Ergebnis: There was an error repairing the active directory object for 'Cluster Name' 10) The specified directory service attribute or vaue does not exists Frage 1: Kennt jemand diese Fehlermeldung? Frage 2: Was genau macht die Repair Funktion? Leider wird die ja nicht mit einem Powershell Script aufgerufen werden Also zur Zeit vorhandene Computerkonten: Cluster-ident-01 (CNO/VCO) Node-01 VM mit Win2022 Node-02 VM mit Win2022 Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 19. Oktober 2022 Autor Melden Teilen Geschrieben 19. Oktober 2022 (bearbeitet) Wir haben ein Ticket bei Microsoft eröffnet. Laut denen soll das gepatched werden. Zur Zeit ist nur ein Workaround möglich. Zu 95% muss ein lokale Sicherheitsrichtlinie angepasst werden. Wir sind natürlich die anderen 5%. Auch mit Wireshark ist nichts zu erkennen. Aktuelle Fehlermeldung beim manuellen Repair des Clusters: The specified directory service attribute or value does not exist bearbeitet 19. Oktober 2022 von Dutch_OnE Zitieren Link zu diesem Kommentar
Fireblade88 0 Geschrieben 9. November 2022 Melden Teilen Geschrieben 9. November 2022 Hallo, können Sie bitte sagen welche und wie die lokale Sicherheitsrichtlinie angepasst werden muss? Zitieren Link zu diesem Kommentar
MurdocX 933 Geschrieben 3. Dezember 2022 Melden Teilen Geschrieben 3. Dezember 2022 Am 10.10.2022 um 14:54 schrieb Dutch_OnE: Hat jemand eine Idee? Vielleicht ein Microsoft Patch? Möglicherweise dieses hier: November 22, 2022—KB5020032 (OS Build 20348.1311) Preview - Microsoft Support Zitat It addresses an issue that affects cluster name objects (CNO) or virtual computer objects (VCO). Password reset fails. The error message is, " There was an error resetting the AD password... // 0x80070005”. 1 Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 16. Dezember 2022 Autor Melden Teilen Geschrieben 16. Dezember 2022 Microsoft hat das Verhalten bestätigt und wird es rauspatchen. ich kann aber nicht sagen, wann. 1 Zitieren Link zu diesem Kommentar
AvoB 1 Geschrieben 11. Januar 2023 Melden Teilen Geschrieben 11. Januar 2023 Hey Dutch_One, ich hatte 1 zu 1 das gleiche Problem. Mit dem Patch von gestern scheinen die Probleme nun behoben zu sein. Mein 2019er Cluster funktioniert nun so wie er soll ;) January 10, 2023—KB5022286 (OS Build 17763.3887) - Microsoft Support Noch einen schönen Tag. Gruss 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.