Как исправить ошибку «Недостаточно прав» при установке обновления Exchange Server 2016 CU 23?

Question

[Barsilo]

Добрый день.
Стоит Exchange Server 2016. На виртуальной машине Hyper-V.
Надо установить на него обновление CU23.
При установке, после проверки всех предварительных требований, выдает ошибку:
Ошибка:
При выполнении "$error.Clear();
if ($RoleDatacenterFfoEnvironment -eq "True")
{
Install-CannedRbacRoleAssignments -InvocationMode $RoleInstallationMode -DomainController $RoleDomainController -IsFfo
}
else
{
Install-CannedRbacRoleAssignments -InvocationMode $RoleInstallationMode -DomainController $RoleDomainController
}
" произошла следующая ошибка: "Microsoft.Exchange.Data.Directory.ADOperationException: Операция Active Directory над DC-SERV-YAS2.encorefitness.ru не выполнена. Данная ошибка не допускает повторения попытки. Дополнительные сведения: Отказано в доступе.
Отклик Active Directory: 00000005: SecErr: DSID-031529BE, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
---> System.DirectoryServices.Protocols.DirectoryOperationException: У пользователя недостаточно прав.
в System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation, ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut)
в System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout)
в Microsoft.Exchange.Data.Directory.GuardedDirectoryExecution.Execute[T](String bucketName, Func`1 action, Int64& concurrency)
в Microsoft.Exchange.Data.Directory.PooledLdapConnection.GuardedSendRequest(String forestName, GuardedDirectoryExecution guardedDirectoryExecution, DirectoryRequest request, TimeSpan timeout, Func`3 sendRequestDelegate, Int64& concurrency)
в Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequest request, LdapOperation ldapOperation, Nullable`1 clientSideSearchTimeout, IADLogContext logContext, Boolean shouldLogLastFilter)
в Microsoft.Exchange.Data.Directory.ADDataSession.ExecuteModificationRequest(ADObject entry, DirectoryRequest request, ADObjectId originalId, Boolean emptyObjectSessionOnException, Boolean isSync)
--- Конец трассировки внутреннего стека исключений ---
в Microsoft.Exchange.Data.Directory.ADDataSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32 totalRetries, Int32 retriesOnServer, String callerFilePath, Int32 callerFileLine, String memberName)
в Microsoft.Exchange.Data.Directory.ADDataSession.ExecuteModificationRequest(ADObject entry, DirectoryRequest request, ADObjectId originalId, Boolean emptyObjectSessionOnException, Boolean isSync)
в Microsoft.Exchange.Data.Directory.ADDataSession.Delete(ADObject instanceToDelete, Boolean enableTreeDelete)
в Microsoft.Exchange.Data.Directory.SystemConfiguration.ADConfigurationSession.Microsoft.Exchange.Data.IConfigDataProvider.Delete(IConfigurable instance, String callerFilePath, Int32 callerFileLine, String memberName)
в Microsoft.Exchange.Management.Tasks.InstallCannedRbacRoleAssignments.RemoveRoleAssignment(ExchangeRoleAssignment roleAssignment)
в Microsoft.Exchange.Management.Tasks.InstallCannedRbacRoleAssignments.RemoveInvalidRoleAssignments()
в Microsoft.Exchange.Management.Tasks.InstallCannedRbacRoleAssignments.InternalProcessRecord()
в Microsoft.Exchange.Configuration.Tasks.Task.b__91_1()
в Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)".

Учетка, под которой все делаю, состоит во всех админских группах контроллера домена.
Контроллер домена один.
Пытался исправить ошибку по статьям:
www.admblog.ru/exchange-2010-%D0%BE%D1%88%D0%B8%D0...

https://support.microsoft.com/ru-ru/topic/%D0%BE%D...

https://learn.microsoft.com/ru-ru/exchange/trouble...

Не помогло.
Подскажите пожалуйста куда копать?

Comments

[Роман Безруков]

Учетка, под которой все делаю

какие права имеет в Exchange ?

[Barsilo]

Роман Безруков, Organization Management
Server Management

[Роман Безруков]

Barsilo, все нижеперечисленные условия соблюдены?
1. наличие .NET Framework 4.8
2. наличие IIS URL Rewrite Module
3. эти команды выполнялись перед установкой CU?

.\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareSchema
.\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAD /OrganizationName:"MYDomain"
.\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains

4. Установка выполняется в командной строке от админа?

.\setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

[oia]

пользователь должен быть в группе админ ентер домена и админы Exchange

[Barsilo]

Роман Безруков,
1 стоит только 4.5
2 если это Переопределение URL-адресов, то стоит
3 запускал только 2-ю команду
4 нет. в графике запускал.

вечером все сделаю еще раз и отпишусь завтра.

[Роман Безруков]

Barsilo, https://setup.cloud.microsoft/exchange/exchange-update - тут еще посмотрите по шагам...

[Barsilo]

Роман Безруков,
Не получилось.

C:\Windows\system32>d:\setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms_D
iagnosticDataOFF

Microsoft Exchange Server 2016 Cumulative Update 23 Unattended Setup

Копирование файлов...
Копирование файла завершено. Программа установки соберет дополнительные
сведения, необходимые для выполнения дальнейших действий.

Языки
Средства управления
Роль почтового ящика: служба передачи
Роль почтового ящика: служба клиентского доступа
Роль почтового ящика: единая система обмена сообщениями
Роль почтового ящика: служба почтового ящика
Роль почтовых ящиков: внешняя служба транспорта
Роль почтовых ящиков: внешняя служба клиентского доступа

Выполнение проверки готовности Microsoft Exchange Server

Настройка предварительных условий ЗАВЕРШЕНО
Анализ предварительных условий ЗАВЕРШЕНО

Настройка Microsoft Exchange Server

Подготовка организации ОШИБКА

При выполнении "$error.Clear();
if ($RoleDatacenterFfoEnvironment -eq
"True")
{
Install-CannedRbacRoleAssignments -InvocationMode
$RoleInstallationMode -DomainController $RoleDomainController -IsFfo
}
else

{
Install-CannedRbacRoleAssignments -InvocationMode $RoleInstallationMode
-DomainController $RoleDomainController
}
" произошла следующая ошибка:
"Microsoft.Exchange.Data.Directory.ADOperationException: Операция Active
Directory над DC-SERV-YAS2.encorefitness.ru не выполнена. Данная ошибка не
допускает повторения попытки. Дополнительные сведения: Отказано в доступе.

Отклик Active Directory: 00000005: SecErr: DSID-031529BE, problem 4003
(INSUFF_ACCESS_RIGHTS), data 0
--->
System.DirectoryServices.Protocols.DirectoryOperationException: У пользователя
недостаточно прав.
в
System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32
messageId, LdapOperation operation, ResultAll resultType, TimeSpan
requestTimeOut, Boolean exceptionOnTimeOut)
в
System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest
request, TimeSpan requestTimeout)
в
Microsoft.Exchange.Data.Directory.GuardedDirectoryExecution.Execute[T](String
bucketName, Func`1 action, Int64& concurrency)
в
Microsoft.Exchange.Data.Directory.PooledLdapConnection.GuardedSendRequest(String

forestName, GuardedDirectoryExecution guardedDirectoryExecution,
DirectoryRequest request, TimeSpan timeout, Func`3 sendRequestDelegate, Int64&
concurrency)
в
Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequ
est
request, LdapOperation ldapOperation, Nullable`1 clientSideSearchTimeout,
IADLogContext logContext, Boolean shouldLogLastFilter)
в
Microsoft.Exchange.Data.Directory.ADDataSession.ExecuteModificationRequest(ADObj
ect
entry, DirectoryRequest request, ADObjectId originalId, Boolean
emptyObjectSessionOnException, Boolean isSync)
--- Конец трассировки
внутреннего стека исключений ---
в
Microsoft.Exchange.Data.Directory.ADDataSession.AnalyzeDirectoryError(PooledLdap
Connection
connection, DirectoryRequest request, DirectoryException de, Int32
totalRetries, Int32 retriesOnServer, String callerFilePath, Int32
callerFileLine, String memberName)
в
Microsoft.Exchange.Data.Directory.ADDataSession.ExecuteModificationRequest(ADObj
ect
entry, DirectoryRequest request, ADObjectId originalId, Boolean
emptyObjectSessionOnException, Boolean isSync)
в
Microsoft.Exchange.Data.Directory.ADDataSession.Delete(ADObject
instanceToDelete, Boolean enableTreeDelete)
в
Microsoft.Exchange.Data.Directory.SystemConfiguration.ADConfigurationSession.Mic
rosoft.Exchange.Data.IConfigDataProvider.Delete(IConfigurable
instance, String callerFilePath, Int32 callerFileLine, String memberName)
в
Microsoft.Exchange.Management.Tasks.InstallCannedRbacRoleAssignments.RemoveRoleA
ssignment(ExchangeRoleAssignment
roleAssignment)
в
Microsoft.Exchange.Management.Tasks.InstallCannedRbacRoleAssignments.RemoveInval
idRoleAssignments()

в
Microsoft.Exchange.Management.Tasks.InstallCannedRbacRoleAssignments.InternalPro
cessRecord()

в Microsoft.Exchange.Configuration.Tasks.Task.b__91_1()
в
Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String
funcName, Action func, Boolean terminatePipelineIfFailed)".

Операция установки Exchange Server не завершена. Дополнительные сведения см. в
файле ExchangeSetup.log, расположенном в папке
":\ExchangeSetupLogs".

Это же происходит на этапе подготовки организации при выполнении команды:
.\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAD /OrganizationName:"MYDomain"

[Роман Безруков]

Barsilo, а схема AD расширяется без ошибок (/PrepareSchema)? КД на какой версии Windows Server? Уровень леса и уровень домена какие?
вот тут - HKLM\SYSTEM\CurrentControlSet\Control\SessionManager - удалить ключ PendingFileRenameOperations и обязательно перегрузить сервер

[Barsilo]

Роман Безруков,
Схема расширяется без ошибок.
КД на Win Server 2012 R2

Ключ надо удалить на КД или на Exchange?

[Роман Безруков]

Barsilo,

Ключ надо удалить на КД или на Exchange?

на Exchange

[Роман Безруков]

Barsilo,
проверить вот это - https://ayalaaii.wordpress.com/2012/12/20/exchange...
проверить наличие Exchange Trusted Subsystem (права full или modify) на OU с серверами Exchange и включенное наследование

[Barsilo]

Роман Безруков,
Ключа такого нет.

[Barsilo]

Роман Безруков,
У меня на контейнере с серверами и компьютерами очень много учеток Exchange Trusted Subsystem.
Изменить могу только одну, верхнюю. Остальные только на просмотр.
Что с этим надо сделать?

[Роман Безруков]

Barsilo,

контейнере с серверами и компьютерами

нужен только контейнер с сервером Exchange...надо отключить наследование, применить, потом снова включить

[Роман Безруков]

Barsilo,

Ключа такого нет

сервер все равно надо перезагрузить

[Barsilo]

Роман Безруков,
у меня все в одной куче.
Сейчас попробую отключить наследования и включить.
А подчищать лишние учетки не нужно?

[Роман Безруков]

Barsilo,

А подчищать лишние учетки не нужно?

нет - оставьте как есть

[Barsilo]

Роман Безруков,
не хочет.

[Barsilo]

Роман Безруков,
может этот вариант попробовать?

[Роман Безруков]

Barsilo,

может этот вариант попробовать

это для Exchange 2010...команды для 2016 я давал ранее...
попробуйте так: создайте нового пользователя, дайте ему Enterprise Admins, Domain Admins и Organization Management, затем от этого пользователя запустите все подготовительные шаги и установку

[Barsilo]

Barsilo,
И еще у меня вот здесь отключено наследование. Может включить?

[Роман Безруков]

Barsilo, да, на AdminSDHolder надо включить

[Barsilo]

Роман Безруков,
Не помогло.

[Роман Безруков]

Barsilo, нового пользователя создавали?

[Barsilo]

Роман Безруков,
Да. Все под ним делал.
Вчера проверил все что написано в статье https://learn.microsoft.com/en-us/exchange/plan-an...
Чего не было установил-переустановил.
Сейчас попробовал под своей учеткой. То же самое.
Схема подготавливается нормально.
Подготовка AD нет. Проверка проходит хорошо, затем запускается подготовка организации, доходит до 38% и выскакивает ошибка.
Вчера еще перезагружал оба сервера.

[Роман Безруков]

Barsilo, выложите куда-нибудь последний Exchange Setup Log
сейчас на Exchange какой билд? обновляетесь на оригинальный CU23, который выходил в апреле 2022, или на последние билды CU23 Apr24HU/CU23 Mar24SU (март-апрель 2024)?

[Роман Безруков]

Barsilo, еще выполните HealthChecker.ps1 и результат выложите рядом с Exchange Setup Log

[Barsilo]

Роман Безруков,
А куда HealthChecker выкладывает результат?

[Barsilo]

Роман Безруков,
Где посмотреть билд?
У меня стоит CU22. CU23 скачал из центра обновлений. Не знаю какой там.

[Роман Безруков]

Barsilo,

HealthChecker

в той же папке большой ТХТ-файл

[Роман Безруков]

Barsilo,

Где посмотреть билд?

HealthChecker его в отчете покажет или Get-ExchangeServer | fl AdminDisplayVersion

[Barsilo]

Роман Безруков,
Version 15.1 (Build 2375.7)

[Barsilo]

Роман Безруков,
Пишет что выложил файлы, но файлов нет.
Я результат скопировал в ТХТ файл.

[Barsilo]

Роман Безруков,
https://drive.google.com/file/d/1msW9ohGgTeHW_3BjO...

Вот.

[Barsilo]

Роман Безруков,
Приветствую.
Удалось посмотреть?

[Роман Безруков]

Barsilo, ничего интересного...

[Barsilo]

Роман Безруков,
остается только все перестанавливать?

[Роман Безруков]

Barsilo, это крайняя мера...есть два предположения: где-то в AD сломалось наследование или кривой дистр CU23

[Роман Безруков]

Barsilo, пользователь, который устанавливает, должен иметь Schema Admin и Enterprise Admin - есть такое?

[Роман Безруков]

Barsilo, после проверки прав перед собственно установкой Exchange выполните вручную

.\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAD

[Barsilo]

Роман Безруков,
Добрый день.
А можете кинуть ссылку на правильный дистрибутив?

[Barsilo]

Роман Безруков,

[Роман Безруков]

Barsilo, https://learn.microsoft.com/en-us/exchange/new-fea...

[Barsilo]

Роман Безруков,
Какой качать? 2022H1?
а что такое накопительное обновление 23 HU13?
Может его поставить?

[Роман Безруков]

Barsilo, сначала Exchange Server 2016 CU23 (2022H1) (билд 15.1.2507.6)...через пару-тройку дней - Exchange Server 2016 CU23 Apr24HU (билд 15.1.2507.39)

[Barsilo]

Роман Безруков,
Какой качать? 2022H1?
а что такое накопительное обновление 23 HU13?
Может его поставить?

[Роман Безруков]

Barsilo, я же написал что и в каком порядке ставить...

сначала Exchange Server 2016 CU23 (2022H1) (билд 15.1.2507.6)...через пару-тройку дней - Exchange Server 2016 CU23 Apr24HU (билд 15.1.2507.39)

[Barsilo]

Роман Безруков,
Не получается. (((

[Barsilo]

Роман Безруков,
Спасибо что заморочились.
Наверное придется переустанавливать.

[Роман Безруков]

Barsilo, я все-таки подозреваю, что разъехалось наследование прав в AD...

[Barsilo]

Роман Безруков,
Странно. Само собой?
А есть мысли как это проверить и поправить?

[Роман Безруков]

Barsilo, исходная ошибка говорит о том, что пользователю не хватает прав в AD на этапе подготовки домена...такое бывает, если сломалось наследование для, например, группы Domain Admins и/или пользователя Trusted Installer или Exchange Trusted Subsystem.
У меня что-то подобное было в давние времена - сейчас деталей не вспомню (тогда еще не записывал решения).
Я бы проверил права и наследование через ADSIEdit на разделах Configuration и Default Naming Context для Domain Admins, Enterprise Admins, Organization Management и Exchange Trusted Subsystem (на вкладке Security - Advanced - Effective Access). При этом не забывайте, что разрешения Deny (Запретить) имеют более высокий приоритет, чем Allow (Разрешить).
В помощь:
https://m365internals.com/2022/10/14/history-of-ex...
https://learn.microsoft.com/en-us/exchange/permiss...
https://learn.microsoft.com/en-us/exchange/permiss...

По поводу переустановки: лучше поднять рядом новый сервер, повторить на нем существующую конфигурацию, перенести почтовые базы и ящики, после этого старый сервер удалить

P.S. NET Framework обновили? вот тут HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full какое значение?

[Роман Безруков]

Barsilo, вот еще полезная ссылка (читайте внимательно) - https://m365internals.com/2022/10/10/how-to-implem..., после которой возникло подозрение - а не разворачивался ли Exchange у вас с применением Exchange Split Permissions? не уверен, что предыдущий админ вам про это говорил...

[Роман Безруков]

Barsilo, и еще - https://github.com/gdedrouas/Exchange-AD-Privesc/b...

[Barsilo]

Роман Безруков,
Удалось наконец прочитать и проверить все что вы прислали.
1 У меня а AD нет OU "Microsoft Exchange Protected Groups". Следовательно у меня нет разделения разрешений. Я правильно понимаю?

2 В ADSIEdit увидел только раздел Configuration. Как увидеть раздел Default Naming Context?

Вот разрешения на этот раздел

3 Вот значения в реестре для NET Framework

4 Если я правильно понимаю, то надо проверить WriteDACL для Exchange Trusted Subsystem? как это проверить?

[Barsilo]

Роман Безруков,
Спасибо большое что потратили свое время. Хоть и не получилось решить проблему.
Подожду пока выйдет Exchange 2025 (вроде через год обещают). Поставлю его.

[Роман Безруков]

Barsilo, да, идей пока нет - хорошо бы руками потыкать...
ну и несколько документов касательно обновления до 2025:
https://techcommunity.microsoft.com/t5/exchange-te...
https://techcommunity.microsoft.com/t5/exchange-te...
https://techcommunity.microsoft.com/t5/exchange-te...

[Barsilo]

Роман Безруков,
Потыкать руками можно, у меня больше выхода нет. Если не перезагружать, то в любое время.
По поводу обновления 2025.
Я так понимаю что на него перейти можно будет только с 2016 CU23 или 2019 CU15.
И это будет подписка? не просто ввод лицензионного ключа?