如何解决当Secondary DPM对被保护的服务器做备份时出现的0x80070005权限错误

【本文作者为APGC System Center 支持组 工程师  Yingting Huang】

当Secondary DPM对被保护的服务器做备份，如何解决0x80070005权限错误

当Secondary DPM对服务器做备份的时候，我们可能会遇到报出如下的错误

DPM cannot browse <computer>.<domain> because access is denied.

ID: 32

Details: Access is denied (0x80070005)

这个错误只出现在Secondary DPM对被保护的服务器做备份时，而Primary DPM没有类似的问题。

 

从DPM Errlog中，我们可以发现如下的错误

36304 2011-09-13 10:56:18.185.544100 5260 3388 ServerName: <computer>.<domain>, SPN: HOST/<computer>.<domain>@<domain>

36305 2011-09-13 10:56:18.185.544100 5260 3388 Auth Identity: <computer>$

36306 2011-09-13 10:56:18.185.544100 5260 3388 Failed: F: lVal : CreateInstance( strCmdTarget, clsidTarget, hrDLS, (IUnknown **)&pAgentCommand, (pCommand->GetSenderToken() == 0) ): 0x80070005

 

DPM使用的是机器账号做的远程DCOM调用，因此在远端服务器和DPM服务器上，我们要确保相应的组和DCOM权限都添加正确

例如， 假设Secondary DPM的名称是DPM02，被保护机器时是Server01，我们可以通过以下的步骤来解决。

1.       在DPM02上运行

net localgroup "Distributed COM Users" <domain>\server01$ /add

net localgroup "Distributed COM Users" <domain>\dpm02$ /add

 

2.       在server01上运行

net localgroup "Distributed COM Users" <domain>\dpm02$ /add

3. 在server01上运行DCOMCNFG。展开到Component Services->Computers->DCOM Config->DPMRA服务。选择属性，然后在Security Tab页，并单击Edit按钮（Launch and Activation Permissions）中把dpm02的机器账号填加上。

 

4. 在Server01上，把DPM02的机器帐号<domain>\DPM02$加入到如下的组

 

DPMRADCOMTrustedMachines

DPMRADmTrustedMachines

 

关于DCOM的一些信息，可以参考以下知识库文章

安装 Windows Server 2003 Service Pack 1 后 DCOM 安全设置的变更说明

  [本博文仅供参考，微软公司对其内容不作任何责任担保或权利赋予]