我正在运行 SBS 2008 服务器。它被设置为网络的域控制器。
重新启动后,电话服务(以及所有依赖该服务的服务)拒绝在网络服务帐户下启动。给出的错误是:
错误 1297:服务正常运行所需的权限在服务帐户配置中不存在。您可以使用服务 Microsoft 管理控制台 (MMC) 管理单元 (services.msc) 和本地安全设置 MMC 管理单元 (secpol.msc) 查看服务配置和帐户配置。
这导致所有网络服务都无法访问,例如终端服务、VPN(RRAS)、SQL Server 实例。我在机器上运行的 SSH 守护程序将仅接受来自本地主机的连接,但不会在网络上做出响应。
经过一番搜索,我能找到的唯一建议是授予网络服务帐户以下权限:
- 调整进程的内存配额
- 替换进程级令牌
我在默认域策略和默认域控制器策略上设置了这些权限,但似乎没有效果。
如果我将大多数服务更改为在本地系统帐户下运行,它们将会启动,但这并不能使它们在网络上访问。
我甚至尝试删除路由和远程访问服务功能,重新启动并重新安装它,但问题仍然存在。
有任何想法吗?
答案1
我会看看这篇文章:http://support.microsoft.com/kb/946399
我还刚刚查看了运行 RRAS 的 Server 2008(抱歉不是 R2)框,网络服务帐户具有以下权限(部分权限包含在该文档中,但我将列出我拥有的所有权限,包括重复的权限):调整进程的内存配额、绕过遍历检查、创建全局对象、生成安全审核、在身份验证后模拟客户端、替换进程级令牌。
确保您的 GPO 不会将这些更改回去。检查并进行更改后,运行 gpupdate/force,然后返回并检查它们是否仍然存在。如果您添加这些权限,我几乎可以肯定您需要重新启动。
如果这不起作用,我也不会将搜索范围限制在电话服务上,因为网络服务帐户启动了许多服务。最后,如果这些都不起作用,那就花 260 美元购买 Microsoft 的电话服务,因为听起来你有很多服务不起作用。