Event ID 4105


 

Проблема: в логах домен-контроллера есть ошибки Event ID 4105

A warning event occurred. EventID: 0xC9001009

Time Generated: 03/15/2012 06:43:56

Event String:

The Remote Desktop license server cannot update the license attributes for user «<login>»

in the Active Directory Domain «rums.bis». Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain «rums.bis».

If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group.

If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs.

Win32 error code: 0x80070005

Анализ:

Все указанное в событии было проверено. Но причина не была найдена.

Поиск в Интернете показал, что проблема может быть вызвана тем, что у сервиса не хватает прав, а именно надо проверить, какие права даны группе Terminal Server License Servers на объекты типа users.

Оказалось, что у нормальных учеток в списке ACL группа Terminal Server License Servers появляется два раза, а у проблемных только один:

>$a=dsacls <имя нормальной учетки>

>$a -like «*Terminal Server License Servers*»

Allow BUILTIN\Terminal Server License Servers

Allow BUILTIN\Terminal Server License Servers

>$a=dsacls <имя проблемной учетки>

>$a -like «*Terminal Server License Servers*»

Allow BUILTIN\Terminal Server License Servers

Осталось оценить масштабы бедствия. Помог такой скрипт на Powershell:

$AllUsers=Get-ADUser -Filter ‘*’

$WrongUsers=$AllUsers | ? { ((dsacls $_) -like «*Terminal Server License Servers*»).Count -lt 2}

$AllUsers.count

$WrongUsers.Count

Скрипт работает долго, но нужную информацию выдал: число проблемных записей было велико. Это означало, что права нарушены где-то «высоко».

Решение:

Решение нашлось на известном сайте:

Make sure, the domain group «Terminal Server License Servers» has the following permissions to the active directories users:

— Open Active Directory Users And Computers

— Tick View -> Advanced

— Right click on the root of your domain and select properties.

— Select the Security tab.

— Check if «Terminal Server License Servers» is listed with special permissions. If not, click on «Advanced» and add the domain group «Terminal Server License Servers», select «Applies onto» «User objects», then tick the permissions «Read Terminal Server License Servers» and «Write Terminal Server License Servers».

clip_image001

После чего нужные права появились на всех учетках в домене.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: