Access Denied (-2147024891) during Remote Management of Exchange 2007 SP1 installed on Windows Server 2008

Olá comunidade,

não é meu hábito fazer posts sobre issues, ainda assim num espírito de partilha e quando a informação sobre um problema é algo escassa, não fica mal relatar essa experiência.

No decorrer desta semana deparei-me com um problema de gestão remota na Exchange Management Console provocado por uma falha na API Administrative Base Object (ABO) do Windows Server 2008. Básicamente o cenário é este:

Site A:
Mailbox – 4 node Cluster Windows 2003 x64 (A-A-A-P)/Exchange 2007 SP1
CAS/HUB/UM – 2 Windows 2003 x64/Exchange 2007 SP1

Site B:
Mailbox – 5 node Cluster Windows 2008 x64 (A-A-A-P-P)/Exchange 2007 SP1
CAS/HUB/UM – 2 Windows 2008 x64/Exchange 2007 SP1

A partir da Exchange Management Console dos CAS/HUB/UM Servers do Site A, ao tentar aceder à informação da configuração OWA e ActiveSync dos CAS/HUB/UM Servers do Site B, a consola retornava um erro de Access Denied (-2147024891) e não mostrava a informação. Em baixo podem consultar a cópia integral do erro:

——————————————————–
Microsoft Exchange Error
——————————————————–
The following error(s) were reported while loading topology information:

Get-ActiveSyncVirtualDirectory
Failed
Error:
Unable to create Internet Information Services (IIS) directory entry. Error message is: Access is denied.
. HResult = -2147024891.

Access is denied.
.
Directory Path: IIS://<exchange.server.fqdn>/W3SVC/1/ROOT/Microsoft-Server-ActiveSync
Detail:
server name: <exchange.server.fqdn>
local machine name: <exchange.server.netbios.name>
local machine fqdn: <exchange.server.fqdn>

Access is denied.

Get-OabVirtualDirectory
Failed
Error:
Unable to create Internet Information Services (IIS) directory entry. Error message is: Access is denied.
. HResult = -2147024891.

Access is denied.
.
Directory Path: IIS://<exchange.server.fqdn>/W3SVC/1/ROOT/OAB
Detail:
server name: <exchange.server.fqdn>
local machine name: <exchange.server.netbios.name>
local machine fqdn: <exchange.server.fqdn>

Access is denied.

Get-OWAVirtualDirectory
Failed
Error:
Unable to create Internet Information Services (IIS) directory entry. Error message is: Access is denied.
. HResult = -2147024891.

Access is denied.
.
Directory Path: IIS://<exchange.server.fqdn>/W3SVC/1/ROOT/Exchange
Detail:
server name: <exchange.server.fqdn>
local machine name: <exchange.server.netbios.name>
local machine fqdn: <exchange.server.fqdn>

Access is denied.

——————————————————–
OK
——————————————————–

Depois de apurar o erro que era retornado, deu para percepcionar que a falha não residía ao nível de Exchange mas sim porque a API de Administrative Base Object (ABO) faz uma chamada de impersonate level ao sistema operativo de forma errada. A API do IIS Active Directory Services Interface (ADSI) usa o ABO e com tal este problema verifica-se nas ferramentas que o integram, tal como se verificou na Exchange Management Consola quando fazia uma chamada via IIS para obter a informação das VDirs OWA e Microsoft-Server-Activesync.

Para resolver este issue existe um hotfix o qual deve ser aplicado nos CAS/HUB/UM Servers que estejam instalados em Windows Servers 2008 x64. Atenção que ao fazerem download do Hotfix vai aparecer-vos a indicação de que se trata de um fix para Vista, ignorem isso porque o mesmo aplica-se a Windows Server 2008 x64.

Aqui vai o link para o download do hotfix:

FIX: Error message when you try to administer a remote IIS 7.0 server and the impersonation level of the calling thread is set to Identify: "Exception Details: System.Runtime.InteropServices.COMException: Access is denied"

http://support.microsoft.com/kb/956301/en-us

 

R-Tape Loading error,
Luís Rato

Anúncios

~ por Luis Rato em 28 de Junho de 2009.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

 
%d bloggers like this: