none
Exchange 2013创建DAG后新增成员服务器报错“用户'NT AUTHORITY\SYSTEM'无法验证计算机账户‘DAG’”,“目前没有可用的登录服务器,无法处理登陆请求。” RRS feed

  • 问题

  • 我的步骤主要是:

    1、新建计算机“DAG”并禁用,添加两台成员服务器完全控制权限,并添加“Exchange Trusted Subsystem”完全控制权限,DNSHOSTNAME也已修改完成;

    2、把Exchange Trusted Subsystem加入到administrators组

    3、DNS上添加DAG的A记录,并分配和成员服务器同网段的IP;

    4、新建DAG成功,但添加成员服务器时报错。

    在想会不会是因为DAG所用IP与见证服务器网络权限上某些端口未开放,我采用的是域控服务器作为见证服务器,DAG和域控间开通了端口53、135、389、636、3268、3269、88、445、1688、1024-10000(除3389)、49152-65535。请问是不是还漏了什么端口没开?或者是因为其他原因无法新增DAG成员?

    2021年1月20日 8:20

全部回复

  • 您好,

    请问您在新建DAG时是否在ADUC中已经重新启用了该DAG?


    >请问是不是还漏了什么端口没开?

    对于DAGDC之间,也就是Exchange服务器和DC之间的网络通信,您需要打开所有端口:

    根据我的研究,报错“用户'NT AUTHORITY\SYSTEM'无法验证计算机账户‘DAG’”,是由于该DAG缺少相应的权限。请您再次检查权限是否有问题。


    而报错“目前没有可用的登录服务器,无法处理登陆请求。”

    请您检查以下几点:

    1. 客户端本地连接的DNS是否指向域里的DNS服务器
    2.  DNS服务管理里面是否出现了两个客户端指向一个IP
    3. 域控强制Kerberos验证使用TCP协议,以防止丢包
    4. 设置[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "MaxPacketSize"=dword:00000001
    5. 用命令“PING 域控IP -t ”查看是否有ping不通丢数据包情况

    如果仍然无法添加成员,请您检查 %系统盘%:\ExchangeSetupLogs\DagTasks文件夹下的add-databaseavailabiltygroupserver日志,其中会有报错的详细记录。

    您也可以将包含错误的记录分享出来,以便更好的排查错误。请注意将日志中包含的私人信息进行打码处理。

    并且您也可以按照此文章的指引创建一个新的DAG进行测试:创建数据库可用性组

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 ZhengqiLou 2021年1月25日 6:34
    • 取消建议作为答案 ZhengqiLou 2021年1月29日 1:12
    2021年1月21日 5:25
  • 您好,感谢回复!

    1、新建DAG时未在ADUC中重新启用该DAG;

    2、邮箱服务器、DAG地址与域控服务器之间的网络端口确实未全开通,因一些网络安全原因可能不考虑全开放,所以还请帮忙判断下是不是因为部分端口未开放导致?如果是,可否提供具体的端口列表?

    3、DAG的安全权限配置均已按照操作文档配置好,可以确定排除权限问题,而且新建DAG是成功的,只是添加成员时报错了;

    4、新建DAG成功,日志无参考意义,附件是新增成员时的相关日志截图,烦请帮忙分析,谢谢~

    2021年1月26日 3:34
  • 您好,

    感谢您的回复!但是十分抱歉,我这边看不到您上传的截图,如果可以的话请您重新上传一下或者复制报错的文字(请注意一定要遮盖私人信息)。

    我在我的环境中做了测试,也复现了相同的错误:


    错误信息具体为:A server-side database availability group administrative operation failed. Error The operation failed. CreateCluster errors may result from incorrectly configured static addresses. Error: Computer account 'DAG1' couldn't be validated by user 'NT AUTHORITY\SYSTEM'. Error: An attempt to use the specified cluster name failed because an enabled computer object with the given name already exists in the domain. [Server: Exchange2016-1.contoso.com]

    之后我在ADUC里为Exchange Trusted Subsystem添加了完全控制权,并DisableDAG1账户,然后创建成功。

    我的具体测试步骤:

    1. ADUC里创建新的Computer,不做任何更改。
    2. EAC中创建同名DAG,创建时出现警告,创建成功。


    1. 添加成员服务器,失败报错。
    2. ADUC中为Exchange Trusted Subsystem添加完全控制权限然后Disable DAG的账户,然后添加成员成功。

    在此之前没有对DNShostname进行修改,因为该属性会在添加成员时自动设置。也没有为添加DAGA记录。

    关于端口问题,Exchange服务器与服务器间的端口您需要开放4432580587,其他的您可以参考这个官方文档:Exchange 中的客户端和邮件流的网络端口

    而对于域控制器和Exchange服务器之间的端口,如果您需要使用Kerberos验证,您也可能需要打开464端口以适用于密码更改。如何为 Active Directory 域和信任配置防火墙

    还有这篇英文官方文章:Active Directory and Active Directory Domain Services Port Requirements也有关于AD和域控制器之间需要开放的端口。

    另外关于第二个错误,应该是由于AD账户和服务器没有按照正确的方式相互通讯。您可以尝试登录本地管理员账户,脱离该域再重新加入。

    如果该问题继续发生,请您说明一下时什么操作引起了这个错误,还有错误的详细信息。

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 ZhengqiLou 2021年1月29日 1:12
    2021年1月27日 9:12
  • 您好,

    请问以上建议对您有帮助吗?如果您对此问题有任何疑问或需要进一步的帮助,随时可以告诉我。 如果问题已解决,请将有用的答复标记为答案,以便其他有相同问题的人能够更快速的找到答案。

    感谢您的理解!

    祝您工作愉快!

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年2月3日 2:37
  • 1、首先,我觉得可以排除是操作问题,因为同样操作在另一个环境是没问题的,而且你复现的报错很明显是因为DAG计算机账户未禁用导致报错重复计算机,跟我的问题现象是不一样的。我新建的DAG计算机对象是确定已经禁用的。

    2、我认为问题大概率出现在见证服务器(即域控)与DAG计算机对象之间的网络端口不通导致,因为通过跟另一个环境作对比(见证服务器域控和邮件服务器及dag均是同一个网段),而出现问题的环境是见证服务器域控和邮件及DAG是不同网段的,目前仅开了以上回复中提及的端口。

    3、可否帮忙测试环境中按照以上端口开放见证服务器域控和邮件服务器及DAG的网络端口,看能否复现该问题?

    2021年2月4日 7:31
  • 截图发不了,报错主要是“尝试群集操作时出错。错误:群集API失败“opencluster因0x6d9而失败。错误:终结点映射器中没有更多的终结点可用””

    后面就是和ECP一样的报错了

    “用户'NT AUTHORITY\SYSTEM'无法验证计算机账户‘DAG’”,“目前没有可用的登录服务器,无法处理登陆请求。”

    2021年2月4日 7:43
  • 而且,在邮件服务器上手工创建DAG群集,有个可能比较有用的报错是:正在检查。。。的“useraccountcontrol”标志中计算机对象的账户信息。在DAG上设置密码。目前没有可用的登录服务器,无法处理登陆请求。

    会不会就是因为域控的464端口未开放导致?从邮件服务器Telnet见证服务器的464端口不通。

    2021年2月4日 7:58
  • 您好,

    感谢您的回复,关于端口的话,464端口适用与Kerberos验证的密码修改,您需要打开这个端口才能修改密码。

    您可以参考我之前提供的这篇文章:如何为 Active Directory 域和信任配置防火墙

    请问您是在Windows Firewall上设置了入站出站规则来限制端口么,可以的话请您提供下规则和端口号,以便我进行一个更详细的测试。

    关于您提供的报错信息: 群集API失败“opencluster因0x6d9而失败”,根据我的了解,的确可能与防火墙有关,但该错误也有不同的报错信息,比如以下截图。您能否重试一下添加成员,然后分享一下错误信息?(在提供信息时请您注意给私人信息打码,以防泄露)


    非常抱歉回复您的时间有点晚,希望您周末愉快。

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 ZhengqiLou 2021年2月11日 8:44
    2021年2月5日 9:37
  • 您好,

    请问以上建议对您有帮助吗? 如果您对此问题有任何疑问或需要进一步的帮助,随时可以告诉我。 如果问题已解决,请将有用的答复标记为答案,以便其他有相同问题的人能够更快速的找到答案。

    十分感谢您的理解。

    祝您新年快乐!!!

    此致,

    Lou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年2月11日 8:57