Erro habilitando usuários de subdomínios no Lync Server 2013 via Lync Server Control Painel

Um cliente relatou recentemente que eles estavam recebendo um erro ao tentar ativar um usuário em um sub- domínio e ao tentar importar um usuário via Painel de Controle do Lync Server ( LSCP ).


" Active Directory operation failed on " ", you cannot retry this operation: "Insufficient access rights to perform the operation 00002098: SecErr: DSID-03150A45, problem 4003 (INSUF_ACCESS_RIGHTS), Data 0
".You do not have the appropriate permissions to perform this operation in Active Directory. One Possible cause is that the Lync Server Control Panel and Remote Windows PowerShell cannot modify users who belong to protected security groups (for example, the Domain Admins group). To manage users in the Domain Admins group, use the Lync Server Management Shell and log on using a Domain Admins account. There are other possible causes. For Details, see lync Server 2010 help. 

Neste cenário , havia dois domínios :

treyresearch.net ( Fictício )
defense.treyresearch.net ( Fictício )

Sempre que tentava ativar um usuário no domínio defense.treyresearch.net eles recebiam o erro acima. 

Se tentássemos adicionar o usuário no sub- domínio via Power Shell tínhamos sucesso , por exemplo:

PS C:\> Enable-CsUser -Identity JaneDoe@TreyResearch.net -RegistarPool LyncPool.TreyResearch.net -SipAddressType UserPrincipalName

Comecei por verificar o estado da floresta:

PS C:\> Get-CsAdForest 
LC_FORESTSETTINGS_STATE_READY

E, então, verificar o estado do domínio pai:

PS C:\> Get-CsAdDomain 
LC_DOMAINSETTINGS_STATE_READY

Então , eu olhei para a problemático sub- domínio:

PS C:\> Get-CsAdDomain -Domain Defense.TreyResearch.net
LC_DOMAINSETTINGS_STATE_DISCOVERED, LC_DOMAINSETTINGS_STATE_ACCOUNTS_READY
WARNING: “get-csaddomain” processing has completed with warnings. "10" warnings were recorded during this run.
WARNING: Detailed results can be found at ‘C:\Users\Akshat\AppData\Local\Temp\2\get—csaddomain—1ab612e0—d6lf—4672—a4f4—fea5555l5b6c .html”.

O log de ​​erro mencionado relatou várias advertências sobre ACEs no sub- domínio


Para corrigir isso, basta executar o seguinte comando no Lync Power- Shell
( http://technet.microsoft.com/en-us/library/gg412764.aspx ) :

Enable-CsAdDomain -Domain Defense.TreyResearch.net

A etapa de preparação do domínio adiciona as entradas de controle de acesso necessários ( ACEs) para grupos universais que concedem permissões para hospedar e gerenciar usuários no domínio.
A Preparação de domínio cria ACEs na raiz do domínio e três built-in containers : Usuário , computadores e controladores de domínio.

Fonte:

Links adicionais:
http://technet.microsoft.com/en-us/library/gg429696.aspx
http://technet.microsoft.com/en-us/library/gg398721.aspx

Wellington Agápto é Sócio Diretor da Edefense Segurança Digital, empresa com foco em Teste de Invasão e Análise de vulnerabilidades, Engenheiro Microsoft especializado em Unified Communications, Active Directory e Microsoft Lync Server, Certificado Cisco, ITIL, MCSO, Security+, ISO 27002, Cobit, MCSE Security, Autor de artigos em sites especializados sobre tecnologia Microsoft, e segurança da informação.

CONVERSATION

0 comentários:

Postar um comentário

Inscreva-se