{"id":328,"date":"2013-10-24T23:31:24","date_gmt":"2013-10-24T21:31:24","guid":{"rendered":"http:\/\/www.windows-infrastructure.de\/?p=328"},"modified":"2021-03-06T18:09:00","modified_gmt":"2021-03-06T16:09:00","slug":"constrainted-delegation","status":"publish","type":"post","link":"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/","title":{"rendered":"0x80070005, Constrainted Delegation"},"content":{"rendered":"

wenn man versucht eine neue VM zu erstellen oder Konfiguration zu \u00e4ndern kann es vorkommen das man eine Fehlermeldung bekommt, die sagt, das die Aktion fehlgeschlagen ist.<\/p>\n

 <\/p>\n

The operation failed. Failed to create external configuration store at ‚\\\\sofs\\SOFS-Share2\\VM3‘: General access denied error. (0x80070005)<\/address>\n
\u00a0<\/address>\n

 <\/p>\n

\"The<\/a><\/p>\n

 <\/p>\n

<\/p>\n

 <\/p>\n

 <\/p>\n

Berechtigung auf VHDX Files<\/h2>\n

Die erste Vermutung geht logischerweise in die Rechtevergabe. Schaut man sich diese genau an wird man erstaunt sein, wie Fehler-unanf\u00e4llig die Rechtevergabe vom System eingerichtet wurde. Folgendes Beispiel zeigt die Funktion innerhalb einer Dom\u00e4nenstruktur. Ein Betrieb ohne Dom\u00e4ne ist mit SMB3 oder auch CSV \/ Clusterbetrieb nicht unterst\u00fctzt.<\/p>\n

 <\/p>\n

\"NTFS<\/a><\/p>\n

Dies ist die Standard NTFS Berechtigung eines SOFS mit einer Freigabe auf einem CSV. Wir k\u00f6nnen f\u00fcr die Berechtigung weder Benutzer noch das System brauchen.<\/p>\n

Noch mal zur Erinnerung: Wer Zugriff auf das VHDX File hat, wenn auch nur lesend, hat virtuellen Zutritt zum RZ inkl. einem entsperrten Server!<\/strong><\/p>\n

 <\/p>\n

 <\/p>\n

Best Practice f\u00fcr NTFS und Share ist Vollzugriff f\u00fcr die Gruppe der Administratoren, die den Hyper-V bzw. Cluster verwalten, sowie das Hyper-V Computerobjekt. Auf dem Share gibt es Vollzugriff f\u00fcr Jeden.<\/p>\n

L\u00e4sst man wie im oberen Screenshot die lokale Gruppe der Administratoren (2012R2-SOFS1\\Administratoren) NTFS seitig stehen, wird man feststellen, das an gleicher Stelle auf \u00a0dem anderen SOFS Member im CSV die lokale Gruppe des anderen Servers eingetragen ist, also\u00a0(2012R2-SOFS2\\Administratoren).<\/p>\n

Eigentlich sehr gut umgesetzt, aber m\u00f6chte ich wirklich, dass ein lokaler Admin meines Memberservers Vollzugriff auf die virtuellen Festplatten hat? Dies l\u00e4sst sich nur bedingt einschr\u00e4nken. Lokal l\u00e4sst sich der Besitz immer \u00fcbernehmen, und somit Zugriff auf die VHDX Files. Geht man jetzt davon aus das die lokalen Admins aller Memberserver identische Passw\u00f6rter haben, hat man durch das auf C$ positionierte CSV auch Vollzugriff auf das File \u00fcber das Netz! Workaround ist also Zugriff f\u00fcr die lokalen Administratoren entfernen, oder den lokalen Administratoren der SMB3 Server andere Passw\u00f6rter zu geben, und diesen Zugriff h\u00f6her einzustufen!<\/p>\n

 <\/p>\n

Im folgenden Beispiel wurde die erste Variante umgesetzt. Die Vererbung wurde deaktiviert, und alles entfernt, die Gruppe der Dom\u00e4nen-Administratoren wurde mit Vollzugriff gesetzt.<\/p>\n

Sobald ich mit einem Mitglied der Dom\u00e4nen-Administratoren \u00fcber die Hyper-V bzw. Failover-Cluster Konsole etwas auf den Share ablege oder \u00e4ndere, tr\u00e4gt sich wie unten im Screenshot automatisch der Computeraccount \u00a0und der CREATOR OWNER ein.<\/p>\n

 <\/p>\n

\"NTFS<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

Weil OWNER auf die lokalen Administratoren zeigt, muss dieser noch auf die Dom\u00e4nen-Administratoren ge\u00e4ndert werden.<\/p>\n

\"effective<\/a>\u00a0Die lokalen Administratoren sind jetzt keine Owner mehr, und haben somit keinen effektiven Zugriff mehr auf die Daten.<\/p>\n

 <\/p>\n

Die Berechtigungen k\u00f6nnen nicht zu restriktiv sein. Sollte einmal ein Recht fehlen, z.B. wenn ein neuer Hyper-V Host hinzukommt, wird dieser automatisch mit eingetragen. Die oben genannte Fehlermeldung hat damit einen anderen Ursprung.<\/p>\n

 <\/p>\n

 <\/p>\n

Constrainted Delegation<\/h2>\n

Das Problem ist nicht die Berechtigung sondern ein fehlendes bzw. ein falsch ausgestelltes Kerberos Ticket.<\/p>\n

Die Ursache ist, das mein Server 2012R2-Cl1 seinen Membernode 2012R2-Cl2 \u00fcber den Failover-Cluster Manager konfigurieren m\u00f6chte, aber nicht in dessen Auftrag beim SOFS aggieren darf. Soll heissen, geht man mit RDP auf den Node 2012R2-Cl2 und konfiguriert diesen lokal, tritt der Fehler nicht auf.<\/span><\/p>\n

Auf Dauer ist das kein Zustand immer lokal den zu konfigurierenden Server aufzusuchen. Stuft man irgendwann den Server zum Core herunter oder setzt den Hyper-V Server ein, gibt es auch diese Notl\u00f6sung nicht mehr.<\/p>\n

Zur L\u00f6sung dieses Verhaltens gibt es die Delegation, seit einiger Zeit auch die eingeschr\u00e4nkte Delegation.<\/p>\n

 <\/p>\n

 <\/p>\n

Active Directory Users and Computer, Account des Computers der eine Delegierung erhalten soll<\/p>\n

\"Active<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

Das Ziel der Delegierung ausw\u00e4hlen, in meinem Fall das virtuelle Computerobjekt des SOFS Clusters, bei einem normalen SMB3 Share w\u00e4re das das Computerobjekt des Servers. Service Type f\u00fcr SMB ist CIFS<\/p>\n

\"Active<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

Das Speichern funktioniert jetzt auf Anhieb, Fehler sollte nicht mehr auftreten<\/p>\n

\"Hyper-V<\/a><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

wenn man versucht eine neue VM zu erstellen oder Konfiguration zu \u00e4ndern kann es vorkommen das man eine Fehlermeldung bekommt, die sagt, das die Aktion fehlgeschlagen ist.   The operation failed. Failed to create external configuration store at ‚\\\\sofs\\SOFS-Share2\\VM3‘: General… Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":331,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[53,40],"tags":[42,44,43,148],"yoast_head":"\n0x80070005, Constrainted Delegation - windows-infrastructure.de<\/title>\n<meta name=\"description\" content=\"The operation failed. Failed to create external configuration store at '\\sofsSOFS-Share2VM3': General access denied error. (0x80070005)Das Problem...\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"0x80070005, Constrainted Delegation - windows-infrastructure.de\" \/>\n<meta property=\"og:description\" content=\"The operation failed. Failed to create external configuration store at '\\\\sofs\\SOFS-Share2\\VM3': General access denied error. (0x80070005)Das Problem...\" \/>\n<meta property=\"og:url\" content=\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/\" \/>\n<meta property=\"og:site_name\" content=\"windows-infrastructure.de\" \/>\n<meta property=\"article:published_time\" content=\"2013-10-24T21:31:24+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-03-06T16:09:00+00:00\" \/>\n<meta property=\"og:image\" content=\"http:\/\/www.windows-infrastructure.de\/wp-content\/uploads\/2013\/10\/Capture1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"715\" \/>\n\t<meta property=\"og:image:height\" content=\"537\" \/>\n<meta name=\"twitter:label1\" content=\"Gesch\u00e4tzte Lesezeit\">\n\t<meta name=\"twitter:data1\" content=\"3 Minuten\">\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebSite\",\"@id\":\"http:\/\/www.windows-infrastructure.de\/#website\",\"url\":\"http:\/\/www.windows-infrastructure.de\/\",\"name\":\"windows-infrastructure.de\",\"description\":\"Windows Server Blog\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":\"http:\/\/www.windows-infrastructure.de\/?s={search_term_string}\",\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de-DE\"},{\"@type\":\"ImageObject\",\"@id\":\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/#primaryimage\",\"inLanguage\":\"de-DE\",\"url\":\"http:\/\/www.windows-infrastructure.de\/wp-content\/uploads\/2013\/10\/Capture1.png\",\"width\":715,\"height\":537},{\"@type\":\"WebPage\",\"@id\":\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/#webpage\",\"url\":\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/\",\"name\":\"0x80070005, Constrainted Delegation - windows-infrastructure.de\",\"isPartOf\":{\"@id\":\"http:\/\/www.windows-infrastructure.de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/#primaryimage\"},\"datePublished\":\"2013-10-24T21:31:24+00:00\",\"dateModified\":\"2021-03-06T16:09:00+00:00\",\"author\":{\"@id\":\"http:\/\/www.windows-infrastructure.de\/#\/schema\/person\/60ba29b74ac5d95d2d152448d563e4a8\"},\"description\":\"The operation failed. Failed to create external configuration store at '\\\\\\\\sofs\\\\SOFS-Share2\\\\VM3': General access denied error. (0x80070005)Das Problem...\",\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/www.windows-infrastructure.de\/constrainted-delegation\/\"]}]},{\"@type\":\"Person\",\"@id\":\"http:\/\/www.windows-infrastructure.de\/#\/schema\/person\/60ba29b74ac5d95d2d152448d563e4a8\",\"name\":\"Holger Wache\",\"image\":{\"@type\":\"ImageObject\",\"@id\":\"http:\/\/www.windows-infrastructure.de\/#personlogo\",\"inLanguage\":\"de-DE\",\"url\":\"http:\/\/www.windows-infrastructure.de\/wp-content\/uploads\/Holger1.png\",\"caption\":\"Holger Wache\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","_links":{"self":[{"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/posts\/328"}],"collection":[{"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/comments?post=328"}],"version-history":[{"count":36,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/posts\/328\/revisions"}],"predecessor-version":[{"id":1579,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/posts\/328\/revisions\/1579"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/media\/331"}],"wp:attachment":[{"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/media?parent=328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/categories?post=328"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.windows-infrastructure.de\/wp-json\/wp\/v2\/tags?post=328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}