Ошибка запуска службы "error 1069 the service did not start" | Настройка серверов windows и linux

Содержание

Описание ошибки "error 1069 the service did not"
Как устранить ошибку error 1069?
Как обновить билет Kerberos и состав группы компьютера без перезагрузки
Дополнительно

error 1069 logo Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами рассматривали ситуацию, когда у нас не стартовала служба, выдавая ошибку "Ошибка 1053: служба не ответила на запрос запуска или управления своевременно", там мы все решили. Сегодня у меня появилась похожая ситуация, но уже с другим кодом, у службы 1С "1С:Агент КИП (x86-64)" - при попытке старта выдавалось предупреждение "error 1069 the service did not". После чего окно закрывалось и сервис не работал. Давайте я покажу, что я делал и как диагностировал это. Возможно вам поможет мой опыт.

Описание ошибки "error 1069 the service did not"

У меня есть виртуальная машина с Windows Server 2022. Обратился ко мне сотрудник с проблемой, что у него не получается запустить службу "1С:Агент КИП (x86-64)". Я решил проверить это. Первое, что я сделал это, запустил оснастку services.msc и попробовал стартануть службу. В результате я получил ошибку:

Windows could not start the 1С:Агент КИП (x86-64) service on Local Computer. Error 1069 the service did not start due to a logon failure (за минуту Windows не удалось запустить службу 1С:Агент КИП (x86-64) на локальном компьютере. Ошибка 1069 служба не запустилась из-за сбоя входа в систему)

Первым делом я вам советую проверить логи в системе. Нас будет интересовать журнал "Система", отфильтруйте там по ошибкам и предупреждениям. Я сразу обратил на ошибку с кодом ID 7038:

The 1C_AgentETP_x86-64 service was unable to log on as root\run-etp$ with the currently configured password due to the following error:
Access is denied.

To ensure that the service is configured properly, use the Services snap-in in Microsoft Management Console (MMC).

$The 1C_AgentETP_x86-64 service was unable to log on as root\run-etp$ with the currently configured password due to the following error: Access is denied.$

Далее шла ошибка ID 7034:

The 1С:Агент КИП (x86-64) service terminated unexpectedly. It has done this 18 time(s).

И ошибка ID 7000:

The 1С:Агент КИП (x86-64) service failed to start due to the following error:
The service did not start due to a logon failure.

Все эти ошибки мне сообщают, что служба не смогла запуститься из-за того, что учетная запись gMSA, от имени которой это действие пытаются провернуть не смогла пройти проверку, как результат "Error 1069 the service did not start due to a logon failure". Напомню:

gMSA (Group Managed Service Account) - это тип учетной записи службы, которая предназначена для использования в Windows Server. Она позволяет автоматически управлять учетными записями служб в доменной среде без необходимости вручную обновлять пароли или другую информацию. gMSA предоставляет следующие преимущества:

Автоматическое управление паролями: gMSA автоматически управляет паролями для учетных записей служб, обновляя их при необходимости без вмешательства администратора.
Упрощенное управление: gMSA упрощает управление учетными записями служб, так как администратору не нужно заботиться о паролях или синхронизации изменений с различными серверами.
Улучшенная безопасность: gMSA использует криптографические ключи для защиты паролей и обеспечения безопасного доступа к ресурсам.

gMSA является особенностью Windows Server и может быть использована для учетных записей служб, которые требуют доступа к ресурсам в доменной среде.

Так же интересно - Error 1063

Как устранить ошибку error 1069?

1️⃣Первый шаг, это проверить вашу сервисную учетную запись для данного компьютера, для этого локально на сервере нужно установить модуль RSAT-AD-PowerShell.

Add-WindowsFeature RSAT-AD-PowerShell

2️⃣Далее проводим тестирование gMSA учетной записи в разрезе запуска на данной системе, тут нас выручит команда:

Test-ADServiceAccount run-etp (run-etp - Это имя учетной записи)

Если все хорошо, то вы должны получить значение "True", если нет, то вы получите сообщение:

Test failed for Managed Service Account run-etp. If standalone Managed Service Account, the account is linked to another computer object in the Active Direc
tory. If group Managed Service Account, either this computer does not have permission to use the group MSA or this computer does not support all the Kerberos encryption t
ypes required for the gMSA. See the MSA operational log for more information.

3️⃣С высокой долей вероятности вашего сервера просто нет в нужной группе Active Directory для которой можно запускать данный сервер. Проверить текущий состав групп для данного сервера можно через командную строку, воспользовавшись командой:

gpresult /r /scope:computer

В результате я не вижу нужной группы.

4️⃣Далее открываем оснастку ADUC и добавляем данный сервер в нужную группу Active Directory. Если есть возможность, то перезагрузите сервер, это поможет решить проблему, если нельзя, то будим выкручиваться без перезагрузки.

Как обновить билет Kerberos и состав группы компьютера без перезагрузки

Билет Kerberos в Active Directory (AD) - это механизм аутентификации и авторизации, который используется в среде AD для обеспечения безопасности и контроля доступа к ресурсам.

Когда компьютер успешно аутентифицируется в AD, ему выдается билет Kerberos. Билет содержит информацию о компьютере, его правах доступа и сроке действия. Он шифруется с использованием ключей шифрования, чтобы обеспечить безопасность передачи данных.

Билет Kerberos может использоваться для авторизации компьютера при доступе к различным ресурсам в сети AD. Когда компьютер запрашивает доступ к определенному ресурсу, его билет Kerberos предоставляется серверу ресурсов для проверки и авторизации доступа.

Билеты Kerberos также позволяют реализовать функцию однократной аутентификации (Single Sign-On), что позволяет компьютеру войти в систему только один раз и получить доступ ко всем необходимым ресурсам без повторной аутентификации.

Раз я ранее добавил компьютер в новую группу, то его билет Kerberos еще не содержит данной информации. Значит его нужно принудительно обновить.

1️⃣Посмотрим текущие билеты Kerberos и дату их истечения. для этого в командной строке мы используем утилиту klist:

klist.exe -li 0x3e7

0x3e7 - это ключ говорящий команде посмотреть информацию для локальной сессии компьютера (Local System)

Тут вы увидите время истечения билета и его время обновления.

Ticket Flags 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 11/8/2023 15:20:59 (local)
End Time: 11/8/2023 21:12:29 (local)
Renew Time: 11/13/2023 20:29:38 (local)

2️⃣Ждать я не хочу, поэтому я хочу почистить текущие билеты Kerberos. Для этого в командной строке вводим команду:

klist –li 0x3e7 purge (Актуально для ОС Windows 8.1 и выше/Windows Server 2012 R2 и выше

klist -lh 0 -li 0x3e7 purge (В случае Windows 7/Windows Server 2008 R2

После этого выполним обновление групповой политики:

gpupdate /force

3️⃣хочу отметить, что бывает ситуация, что при выполнении gpresult /r /scope:computer после очистки кэшированных билетов, вы можете не увидеть визуально нужную группу в списке, но поверьте она будет в билете Kerberos.
4️⃣Проверьте теперь запуск службы, все должно быть хорошо и сервис у вас запуститься.

На этом у меня все, мы с вами успешно устранили ошибку "Error 1069 the service did not start due to a logon failure" и отремонтировали сервис. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Дополнительно

https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/klist
https://www.servicenow.com/community/itom-forum/starting-midserver-with-gmsa-account-gives-error-1069/td-p/2534577

Ошибка запуска службы «error 1069 the service did not start»

Описание ошибки "error 1069 the service did not"

Как устранить ошибку error 1069?

Как обновить билет Kerberos и состав группы компьютера без перезагрузки

Дополнительно

Популярные Похожие записи: