Exchange 2010 Upgrade schlägt fehl „AuthorizationManager check failed.“

Ein sehr seltenes aber durchaus fatales Verhalten im Exchange Server 2010 verhindert die Installation von Updates oder z.B. dem Service Pack 2 und hinterlässt den Server in einem nicht operativem Zustand. Nach fehlgeschlagenem Update bleiben die Dienste auf dem Server beendet und deaktiviert, ein erneuter Update-Versuch ist dann zwar möglich, jedoch ebenfalls erfolglos, solange die Ursache für dieses Fehlverhalten nicht gelöst ist. Da mir bisher kein deutscher Artikel über den Weg gelaufen ist, möchte ich hier kurz die Hintergründe erläutern.

Untergekommen ist mir das Problem beim Upgrade auf Exchange 2010 Service Pack 2 oder der Installation von Language Packs. Zunächst verläuft das Setup normal, bis es beim Wiederherstellen der Dienste zu einem Fehler kommt.

[ERROR] The following error was generated when „$error.Clear();
         & $RoleBinPath\ServiceControl.ps1 EnableServices $RoleRoles.Replace(‚Role‘,“).Split(‚,‘);
         & $RoleBinPath\ServiceControl.ps1 Start Critical       “ was run: „AuthorizationManager check failed.“.

Auch Update Rollups schlagen mit ähnlichem Ergebnis fehl, die Dienste bleiben beendet. Das Setup Log gibt auch hierbei genaueren Aufschluss über den Fehler.

msiexec.exe /update Exchange2010-KB2685289-x64-en.msp /lv C:\update.log

 

Schulig für dieses Verhalten ist die PowerShell Ausführungsrichtlinie, sofern diese auf „Restricted“ oder „RemoteSigned“ festgelegt und per Gruppenrichtlinie verteilt wurde. Wie die Richtlinie definiert ist kann über die Befehle „Get-ExecutionPolicy“ und „Get-ExecutionPolicy -List“ geprüft werden.

Sobald die MachinePolicy auf „RemoteSigned“ festgelegt oder LocalMachine z.B. auf „Restricted“ konfiguriert wurde, gräbt sich das Exchange Setup seine eigene Grube. Zum Upgrade der Komponenten werden alle Dienste beendet und zwischenzeitlich deaktiviert. Sofern nicht falsch, denn das PowerShell-Skript welches hier vom Setup geladen wird ist von Microsoft signiert und kann validiert werden. Allerdings wird bei einer via GPO aktivierten Execution Policy eine Überprüfung der Richtlinie vom WMI Verwaltungsdienst benötigt, welcher jedoch vorher vom Setup deaktiviert wurde. Somit kommt es zum besagten Fehler: „AuthorizationManager check failed“.

In diesem Fall sollte die GPO entfernt werden, mit einem „gpupdate /force“ und ggf. manuell angepasster lokalen Richtlinie „Set-ExecutionPolicy -ExecutionPolicy RemoteSigned“, so dass man folgende Rückgabe erhält:

Microsoft beschreibt dieses Verhalten in den Artikeln KB2467565 und KB2668686, schlägt hier jedoch vor die Richtlinie vollständig auf „Undefined“ zu konfigurieren. Somit ergibt sich jedoch der Status „Restricted“ und es kommt zu selbigem Problem.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schaltfläche "Zurück zum Anfang"