Jump to content

Microsoft SQL Hochverfügbarkeitscluster kann Computerkonto Kennwort nicht mehr ändern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

wir haben seit 2 Wochen das Problem, dass in der o.g. Umgebung das Computerkonto sein Kennwort nicht mehr automatisch ändern kann.

Es wurde nichts bewusst geändert.

 

Kenn jemand das Problem mit diesem Clustertyp?

 

Fehlermeldung: 1207

The computer object associated with the cluster network name ressource XXX could not be update in the domain XXX during the Password change operation. 

The text for the associated error code is: Access is denied

 

Hat jemand eine Idee? Vielleicht ein Microsoft Patch?

 

Gruß DO

Link zu diesem Kommentar

Nein, da wurde nichts geändert. Auch keine GPO Veränderungen.

Es scheinen auch nur die SQL Hochverfügbarkeitscluster zu betreffen.

 

464 TCP ist an den DCs erreichbar. Die Berechtigungen der Konten sehen auch soweit gut aus. 

Das Cluster Objekt hat auf den beiden Knoten sogar Vollzugriff.

 

Der UserAccountControl steht auf 0x1000. Das ist eigentlich auch soweit in Ordnung.

Link zu diesem Kommentar

Fehler ist seit dem 17.9 aufgetreten. Der Cluster wurde im Januar nach Vorgabe von Microsoft aufgesetzt. 

Windows Updates wurden am 30.8 und am Ende September eingespielt. Meiner Meinung nach, kann das nicht der Grund sein.

 

Die beiden virtuellen Server (Node1 und Node2) können ihr Computerkonto updaten. Die beiden virtuellen Cluster dagegen nicht.

Am 14.9 hat der eine Cluster sein Computerkonto noch updaten können. Der andere hat das am 17.9 dagegen erfolglos versucht.

 

Gruß DO

bearbeitet von Dutch_OnE
Link zu diesem Kommentar

Tatsächlich haben wir zum Testen sogar "jeder" Vollzugriff gegeben.

 

 

The cluster identity 'cluster-ident-01$' may lack permission required to update the object ...

 

Bei server01 und server02, den Cluster Nodes funktioniert es. Nur bei den Cluster Objekten cluster-ident-01 und cluster-ident-02 geht es nicht mehr.

 

In den beiden Cluster Objekten hat zum Test, jeder Vollzugriff. Außerdem das oben genannte Konto cluster-ident-01$.

Link zu diesem Kommentar

Um das nochmal genauer darzustellen.

 

cluster-ident-01 ist das CNO und ein VCO. 

cluster-ident-02 ist ein weiterer VCO.

 

beide können ihr Kennwort im AD nicht mehr aktualisieren.

Das CNO Konto ist cluster-ident-01$

 

Das, sowie auch Jeder haben Vollzugriff auf den beiden Computerkonten cluster-ident-01 und cluster-ident-02.

 

Die Windows Notes funktionieren und können unberücksichtigt bleiben. Das Problem tritt auch bei einem anderer HA SQL Cluster auf. Einmal auf Windows 2019 und einmal auf Windows 2022 Basis.

Link zu diesem Kommentar

Nun haben wir folgendes gemacht:

 

1) Cluster abgerissen

2) Computeraccount (CNO / VCO) und Zweites Computeraccount (VCO) gelöscht

3) Cluster neu erstellt

4) CNO Computerkonto wurde automatisch auch angelegt

5) Zweiten VCO noch nicht erstellt, da der SQL HA Cluster noch nicht einrichtet war

6) Cluster-ident-01$ auf dem CNO/VCO Computerkonto Cluster-ident-01 temporär Vollzugriff gegeben-

7) Im Failover Cluster Manager geprüft, ob man den Cluster offline und wieder online schalten kann. Hat funktioniert

8) Dann den Cluster nochmal offline geschaltet und die Reparatur Funktion ausgewählt.

9) Ergebnis: There was an error repairing the active directory object for 'Cluster Name'

10) The specified directory service attribute or vaue does not exists

 

Frage 1: Kennt jemand diese Fehlermeldung?

Frage 2: Was genau macht die Repair Funktion? Leider wird die ja nicht mit einem Powershell Script aufgerufen werden

 

Also zur Zeit vorhandene Computerkonten:

Cluster-ident-01 (CNO/VCO)

Node-01 VM mit Win2022

Node-02 VM mit Win2022

 

Link zu diesem Kommentar

Wir haben ein Ticket bei Microsoft eröffnet. Laut denen soll das gepatched werden. Zur Zeit ist nur ein Workaround möglich. 

Zu 95% muss ein lokale Sicherheitsrichtlinie angepasst werden. Wir sind natürlich die anderen 5%.

 

Auch mit Wireshark ist nichts zu erkennen.

 

Aktuelle Fehlermeldung beim manuellen Repair des Clusters:

The specified directory service attribute or value does not exist

bearbeitet von Dutch_OnE
Link zu diesem Kommentar
  • 3 Wochen später...
  • 4 Wochen später...
Am 10.10.2022 um 14:54 schrieb Dutch_OnE:

Hat jemand eine Idee? Vielleicht ein Microsoft Patch?

 

Möglicherweise dieses hier: November 22, 2022—KB5020032 (OS Build 20348.1311) Preview - Microsoft Support

Zitat

It addresses an issue that affects cluster name objects (CNO) or virtual computer objects (VCO). Password reset fails. The error message is, " There was an error resetting the AD password... // 0x80070005”.

 

Link zu diesem Kommentar
  • 2 Wochen später...
  • 4 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...