MS ISA Server (часть 1) - [65] :: В помощь системному администратору

ISA 2004 EE на контроллере домена Win2003.

Данные enterprise, как я понял, хранятся на Storage Configuration Server, который использует ADAM - Active Directory Application Mode, по функциям аналогичный Актив Директори. База данных, как я понимаю, у него собственная, и к Active Directory имеет весьма далекое отношение, за исключением того, что ADAM может использовать учетные записи Active Directory.

Так вот... Сначала вылезала критическая ошибка:

Event Type:Error
Event Source:ADAM [ISASTGCTRL] General
Event Category:Internal Processing
Event ID:2537
Date:3/18/2005
Time:10:55:19 AM
User:NT AUTHORITY\ANONYMOUS LOGON
Computer:EARTH
Description:
The directory server has failed to create the ADAM serviceConnectionPoint object in the Active Directory. This operation will be retried.

Additional Data
SCP object DN:
CN={86dd7d10-bd26-4ccf-9a4d-60e9ef29457a},CN=EARTH,OU=Domain Controllers,DC=mydomain,DC=lan
Error value:
5 Access is denied.
Server error:
00000005: SecErr: DSID-03151D54, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Internal ID:
3390387
ADAM service account:
MYDOMAIN\isastorageserver

После включения пользователя MYDOMAIN\isastorageserver в группу Administrators (что неправильно с точки зрения безопасности) эта ошибка пропала. Пока MYDOMAIN\isastorageserver не был членом этой группы, ошибка сохранялась, несмотря на то, что был запущен скрипт mydomain.lan.bat, как было сказано в документации про установку ИСЫ на контроллер домена....

Как я понимаю, речь идет о следующем:
In Active Directory environments, service publication refers to the ability of a service to publish information about itself in the directory and to the ability of clients to discover that information and locate the service. When a computer on which Active Directory Application Mode (ADAM) is running is joined to a Active Directory domain, ADAM attempts to create service connection point (SCP) objects in Active Directory.

То бишь, чтобы публиковать в Active Directory информацию о себе, MYDOMAIN\isastorageserver должен иметь достаточные привилегии. Какие? (Если я правильно все понял)

Хочется, чтобы все работало без ошибок и при непривилегированном аккаунте MYDOMAIN\isastorageserver.. где крутить?

Есть еще одно предупреждение в журнале:

Event Type:Warning
Event Source:ADAM [ISASTGCTRL] General
Event Category:Security
Event ID:2521
Date:3/18/2005
Time:10:55:11 AM
User:N/A
Computer:EARTH
Description:
Active Directory was unable to initialize auditing security system. It will run with auditing disabled. No security audits will be generated.

Additional Data:
Error value:
1314 A required privilege is not held by the client.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

С этим похуже.... хочу, чтобы журнал аудита безопасности велся... А это где крутить, вообще никак не пойму. То ли в базе ADAM [ISASTGCTRL] General, то ли в самом Active Directory. И вообще, пересекаются ли каким-то образом Active Directory и данный экземпляр ADAM? Ваши мысли?

PS: В документации по ADAM было сказано, что пользователь, под которым выполняется ADAM, должен иметь соответствующие привилегии:

To enable auditing for an ADAM instance for which the service account is something other than the Network Service account, you must assign the Generate security audits right to the ADAM service account.

В общем, никак не пойму, где ему права добавить?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105