“Log on as a service” Trouble bei der Migration

Veröffentlicht am von

Das Recht sich als Service an einem Domain Controller anmelden zu können, spielt eine wichtige Rolle bei der Migration auf den Windows Server 2012 R2 Small Business Essentials (SBE). Hier ist bei meiner letzten Migration irgendetwas schief gelaufen – die Berechtigung hier war nicht ausreichend gesetzt.

Zwar referenziert die Phase 1 der SBE Migration auf eine Löschunt der “Logon as a service” Einstellungen, aber explizit nur für eine Migration von Windows Server 2003!

image

Die Einstellung ist in der Default Domain Controller Policy unter Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Logon as a service zu finden und wird damit lediglich auf Domain Controller angewendet – was aber ein einer SBE Umgebung OK ist, wir haben in der Regel nur diesen einen Server. Auf Member-Servern in der Domain wird die Berechtigung in der lokalen Policy konfiguriert.

Ich habe diese Einstellung bei der letzten Migration nicht geändert … was zu folgenden Problem führte.

  1. Nach der Installation der Essentials Role muss ein Post-Deployment Task ausgeführt werden, welcher das Dashboard startet und damit den Wizard zur Einrichtung des SBE. Das ging erstmal schief und zu diesem Zeitpunkt dachte ich noch nicht an die fehlende Konfiguration der Logon as a service Richtlinie.
  2. Folgende Dienste (Services) wollten nach einem Reboot des Servers nicht mehr starten:
    1. Windows Server Essentials Media Streaming Service
      (Log on as: sbsland.local\MediaAdmin$)
    2. WSUS Service
    3. SQL Server (MSSQLSERVER)
      (Log on as: NT Service\MSSQLServer)

Fehler 1 – The Post-Deployment Configuration task may fail after you install the Windows Server Essentials Experience role on Windows Server 2012 R2

Fehler 1 ist inzwischen bei Microsoft in einem KB-Artikel KB2914651 dokumentiert. Hier fehlt den Accounts ServerAdmin$ und MediaAdmin$ das Recht sich als Service an zu melden (Logon as a service). Nachdem die beiden Accounts, wie im Artikel beschrieben in der Default Domain Controller Policy konfiguriert wurden und ein GPUPDATE das dem Server mitgeteilt hat, konnten der Post-Deployment Task zur Einrichtung des SBE ohne Fehlermeldung starten.

Fehler 2 – die oben genannten Services starten nicht (mehr)

Bis zum Zeitpunkt des Neustarts war der WSUS aktiv und hatte schon gute 2 Wochen lang die Clients mit Updates versorgt. Eine Kontrolle der Default Domain Controller Policy zeigte, dass der Service Account des SQL Servers (NT Service\MSSQLServer) ebenfalls nicht berechtigt war.

Der folgende Screenshot zeigt die korrekt berechtigten Service Accounts in der GPO:

image

Nach dem auch dieser Account eingetragen war, startete der SQL Server ohne Probleme und damit lief auch mein WSUS wieder, welcher diesen zur Ablage der SUSDB (WSUS Datenbank) verwendet.

Der Windows Server Essentials Media Streaming Service war zwar richtig berechtigt, stand aber, aus welchen Gründen auch immer, auf deaktiviert (disabled). Hier habe ich die Service Startart auf Automatisch (automatic) gestellt, danach lief auch dieser Service ohne Probleme.

Enjoy it, b!

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit deinem WordPress.com-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s