runmqsc AMQ8157：Windows 7 x64 版本上的 MQ 版本 8.0.0.5 上的安全错误

Question

目前，我遇到了一个问题，即在尝试运行 mqsc（队列管理器名称）时，我遇到了 AMQ8157 错误：安全错误。有什么办法可以解决这个问题吗？

我在 Windows 7 x64 版本上运行 IBM MQ 版本 8.0.0.5。

AMQ8157 在命令提示符中显示为AMQ8157: Security error.

但是，这是错误日志中显示的错误。

错误日志消息：

AMQ8079: Access was denied when attempting to retrieve group membership
information for user 'userdecim@ddgroup.com'.

EXPLANATION:

WebSphere MQ, running with the authority of user 'admin@dd-pc-002',
was unable to retrieve group membership information for the specified user.
ACTION:
Ensure Active Directory access permissions allow user
'admin@dd-pc-002' to read group memberships for user
'userdecim@ddgroup'. To retrieve group membership information for a domain user,
MQ must run with the authority of a domain user and a domain controller must be
available. 

Answer 1

错误中的 ACTION 解释了问题。 IBM MQ 队列管理器作为 本地 用户 admin 在主机 dd-pc-002 上运行。队列管理器正在尝试检索 域 用户 userdecim@ddgroup.com 的组成员身份信息。由于队列管理器在 local 帐户下运行，因此它无权获取有关 域 用户的信息。

如果 IBM MQ 队列管理器将与 域 用户和组交互，则队列管理器进程在 Windows 上运行的帐户必须是具有 @ 的 域 帐户987654325@ 和 Read groupMembershipSAM 权限。

有关更多详细信息，请参阅 IBM MQ v8 知识中心页面“Creating and setting up domain accounts for IBM MQ”。

Answer 2

嗯，我在尝试连接到我的 MQ 服务器时遇到了类似的错误。

问题出在services.msc 中的MQ 服务名称（例如：MQ_Installation1）中。默认情况下，它使用了我的本地系统帐户，而不是我的当前/域用户帐户。

更改此设置后开始正常工作。

Answer 3

没有域帐户，您可以以本地用户身份运行 IBM MQ（安装 1）（具有作为服务启动的权限）。 然后您应该以相同的本地用户身份运行 MQExplorer。 例如本地用户mqservice：

runas /u:mqservice /savecred "C:\Program Files\IBM\MQ\bin64\MQExplorer.exe" 

Answer 4

在我的例子中，使用本地帐户启动 IBM MQ Windows 服务解决了这个问题。