|
<br>
症状<br>
您可能无法装入 Exchange 2000 信息存储数据库。在“应用程序”事件日志中,还可能会记录以下一条或多条错误信息: <br>
<br>
Event Type: Error<br>
Event Source: MSExchangeDSAccess<br>
Event Category: (3)<br>
Event ID: 2102<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:Process MAD.EXE (PID=1088).All Domain Controller Servers in use are not responding:<br>
dc1.company.com<br>
dc2.company.com<br>
dc3.company.com <br>
<br>
<br>
Event Type: Error<br>
Event Source: MSExchangeSA<br>
Event Category: (1)<br>
Event ID: 9004<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:The Metabase Update service failed to start, error '80040a01'. <br>
<br>
<br>
Event Type: Error<br>
Event Source: MSExchangeSA<br>
Event Category: (1)<br>
Event ID: 1005<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:Unexpected error An unknown error has occurred.ID no:80040a01 Microsoft Exchange System Attendant occurred. <br>
<br>
<br>
Event Type: Error<br>
Event Source: MSExchangeMU<br>
Event Category: (1)<br>
Event ID: 1002<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:Metabase Update agent failed to start.Error code is 80040a01. <br>
<br>
<br>
Event Type:Error<br>
Event Source:MSExchangeIS<br>
Event Category: (6)<br>
Event ID: 9519<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:Error 0x80004005 starting database "First Storage<br>
Group\Mailbox Store(EXCHANGE1)" on the Microsoft Exchange Information Store.Failed to configure MDB.The Microsoft Exchange Information Store service could not find the specified object.ID no:c1041722 <br>
<br>
<br>
Event Type: Error <br>
Event Source: MSExchangeMU<br>
Event Category: General<br>
Event ID: 1029<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer:EXCHANGE1<br>
Description:Failed to replicate the security descriptor to the metabase.Users may not be able to read or write data to the metabase.Error code is 8000500d. <br>
<br>
<br>
Event Type: Error<br>
Event Source: MSExchangeSA<br>
Event Category: RFR Interface<br>
Event ID: 9074<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:The Directory Service Referral interface failed to service a client request.RFRI is returning the error code:[0x3f0]. <br>
<br>
<br>
Event Type: Error<br>
Event Source: MSExchangeIS<br>
Event Category: General<br>
Event ID: 1121<br>
Date: 1/1/2002<br>
Time: 12:00:00 AM<br>
User: N/A<br>
Computer: EXCHANGE1<br>
Description:Error 0x80004005 connecting to the Microsoft Active Directory. <br>
<br>
<br>
Event Type:Error<br>
Event Source:MSExchangeMTA<br>
Event Category:Configuration<br>
Event ID: 125<br>
Date: 1/1/2002<br>
Time:12:00:00 AM<br>
User:N/A<br>
Computer:EXCHANGE1<br>
Description:A fatal error occurred reading a value from the directory.No MTA name was found.Contact Microsoft Technical Support.[MTA MAIN BASE 1 12] (16) <br>
原因<br>
如果为某些或全部域控制器上的“Exchange 企业服务器”域本地组删除了“管理审核和安全日志”权限 (SeSecurityPrivilege),则可能会发生此问题。<br>
<br>
在域中安装第一台 Exchange 计算机时,或者当使用 /domainprep 开关运行 Exchange 安装程序时,会授予“Exchange 企业服务器”组 SeSecurityPrivilege 权限。<br>
<br>
如果随后删除了 SeSecurityPrivilege 权限,则该域中使用域控制器的 Exchange 计算机会停止工作(但不是立即停止)。当 Kerberos 安全刷新间隔到期或者在特定服务器上重新启动 Exchange 服务时,这些问题就会变得很明显。 <br>
解决方案<br>
要解决这个问题,请使用 Policytest.exe 实用工具检查一个域中所有域控制器上的 SeSecurityPrivilege 权限的状态。Policytest.exe 实用工具随附在 Exchange 2000 安装 CD-ROM 中。<br>
<br>
确定 Exchange 2000 企业服务器是否对域控制器拥有 SeSecurityPrivilege 权限: <br>
以域管理员身份登录到域控制器,然后启动“域控制器安全策略”控制台。(默认情况下,“域控制器安全策略”控制台位于开始菜单的管理工具组中。)<br>
展开安全设置,然后展开本地策略。展开用户权限分配,然后打开“管理审核和安全日志”的属性。<br>
您可以将 SeSecurityPrivilege 权限直接授予 Exchange 2000 企业服务器,也可以使用 /domainprep 开关再次运行 Exchange 2000 安装程序,以自动授予 SeSecurityPrivilege 权限。<br>
<br>
如果您使用 /domainprep 开关运行 Setup.exe,则不会中断现有 Exchange 计算机上的服务。此方法的另一好处在于,它会检查和重置也可能已经发生更改的其他默认权限和组成员资格。<br>
<br>
如果“Exchange 企业服务器”组最近被授予了 SeSecurityPrivilege 权限,则在域控制器上刷新安全策略之前,该更改不会生效。刷新安全策略所用的时间取决于域拓扑和配置。默认情况下,向其他域控制器进行的策略复制在五分钟内发生,而策略更改将在随后的另一个五分钟内应用。<br>
<br>
即使某个特定域不包含 Exchange 计算机,其他域中的 Exchange 计算机也可以使用该域的域控制器。如果您希望 Exchange 2000 能够执行全局编录查找,并在 Exchange 使用这些域控制器时更改“配置”容器,请针对该域执行以下步骤: <br>
从 Exchange 2000 安装 CD-ROM 中,使用 /domainprep 开关运行安装程序 (Setup.exe /domainprep)。这将为跨域的 Exchange 通讯配置适当的组和权限。<br>
在 Exchange 系统管理器中,为域创建“收件人更新服务”。每个域的“收件人更新服务”负责用其他域中的“Exchange 域服务器”全局组填充“Exchange 企业服务器”域本地组。“收件人更新服务”还负责其他任务。<br>
更多信息<br>
“Exchange 企业服务器”组是域本地组。这个组支持 Exchange 计算机之间以及 Exchange 和 Active Directory 之间必要的跨域通讯。“Exchange 企业服务器”组的成员必须包括 Exchange 计算机所在的每个域中的“Exchange 域服务器”全局组。<br>
<br>
SeSecurityPrivilege 权限对于支持各种 Exchange 安全功能(包括报告正在使用哪个 Windows 帐户访问邮箱的能力)是必需的。<br>
<br>
默认情况下,在安装域以后,只有具有 SeSecurityPrivilege 权限的帐户才是各个域的内置“管理员”组。如果您将 Security.inf 模板重新应用到域,则会将 SeSecurityPrivilege 权限重置为它的默认值。这并不是“Exchange 企业服务器”组删除它自已的权限的唯一方法。其他安全审核和配置工具可以重置策略。接受常规安全建议的 Active Directory 管理员也可以删除“Exchange 企业服务器”组。<br>
<br>
如果 SeSecurityPrivilege 权限被反复重置,并且您无法确定为什么会发生这种情况,则可以审核对域控制器安全策略所做的更改: <br>
在每个域控制器上,根据支持增加的日志信息数量的需要,更改“安全”日志的大小和滚动设置。<br>
<br>
警告:如果您在默认域控制器的策略的安全选项部分启用了“Shut down system immediately if unable to log security audits”(如果无法记录安全审核则立即关闭系统)选项,则当“安全”日志填写满时,域控制器会立即关闭。<br>
启动“域控制器安全策略”控制台。<br>
展开本地策略,展开审核策略,然后为目录访问和策略更改打开成功审核。<br>
完成前面的步骤后,当对域控制器进行策略更改时,会记录事件 ID 608(帐户被添加)消息和事件 ID 609(帐户被删除)消息。这些事件 ID 608 和事件 ID 609 消息的类别是“策略”。这些消息的源是“安全”。事件 ID 608 消息类似于: <br>
<br>
Event Type: Success Audit<br>
Event Source: Security<br>
Event Category: Policy Change<br>
Event ID: 608<br>
Date: 12/12/2001<br>
Time: 4:32:20 PM <br>
User: NT AUTHORITY\SYSTEM<br>
Computer: DC1<br>
Description:User Right Assigned:<br>
User Right: SeSecurityPrivilege<br>
Assigned To: DOMAIN\USER<br>
Assigned By:<br>
User Name: DC1$<br>
Domain: DOMAIN<br>
Logon ID: (0x0,0x3E7) <br>
提示:在事件查看器中,用鼠标右键单击安全日志对象。单击视图,然后在查找对话框中搜索字词“SeSecurityPrivilege”(不带引号)。<br>
<br>
因为系统本身会进行策略更改,所以您无法使用“策略”日志来确定哪个用户帐户进行了更改。但是“目录服务访问”日志会标识进行更改的用户帐户。<br>
<br>
通常情况下,更改域控制器策略会导致在进行更改的域控制器上立即发生“目录访问”事件,几分钟后还将发生“策略更改”事件。当策略实际刷新并在域控制器上应用时,会发生第二个事件。由于策略复制到其他域控制器,所以它会在几分钟后刷新并应用,并且还会在这些服务器上记录“策略更改”事件。<br>
<br>
发现对 SeSecurityPrivilege 设置所做的更改以后,请在“安全”日志中向后搜索包含特定 User 字段(该字段包含除“系统”或 SERVERNAME$ 帐户以外的用户)的“目录访问”事件,例如: <br>
<br>
Event Type: Success Audit<br>
Event Source: Security<br>
Event Category: Directory Service Access<br>
Event ID: 565<br>
Date: 12/12/2001<br>
Time: 5:52:53 PM <br>
User: DOMAIN\adam<br>
Computer: DC1<br>
Description:Object Open:<br>
Object Server: DS<br>
Object Type: groupPolicyContainer<br>
Object Name:CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com<br>
New Handle ID: 0<br>
Operation ID: {0,63067624}<br>
Process ID: 280<br>
Primary User Name: DC1$<br>
Primary Domain: DOMAIN<br>
Primary Logon ID: (0x0,0x3E7)<br>
Client User Name: adam<br>
Client Domain: DOMAIN<br>
Client Logon ID: (0x0,0x3C255DB)<br>
Accesses Write Property<br>
Privileges -<br>
Properties:<br>
Write Property %{00000000-0000-0000-0000-000000000000}<br>
versionNumber <br>
前面事件消息中的“Client User Name”字段标识进行更改的用户帐户。“Object Name”字段标识发生了更改的策略。<br>
<br>
在前面的示例中,Active Directory 中的策略名称是: <br>
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com <br>
<br>
您可以使用 LDIFDE 命令将策略名称解析为更加友好的格式,以便可以确保事件与您要监视其更改的策略实际相关: <br>
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER) <br>
<br>
Policies.ldf 文件使用与下面类似的格式来标识各个策略及其友好名称: <br>
<br>
dn:CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com<br>
changetype:add<br>
displayName:Default Domain Policy<br>
<br>
dn:CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com<br>
changetype:add<br>
displayName:Default Domain Controllers Policy<br><br>
<br>
要防止无意中拒绝授予 Exchange 2000 企业服务器 SeSecurityPrivilege 权限,您可以为域控制器创建自定义策略以实现 SeSecurityPrivilege 权限: <br>
启动 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC)。<br>
打开域控制器容器的属性。<br>
单击组策略选项卡,然后单击新建。命名新策略(例如,“DOMAIN_NAME Auditing Rights”)。<br>
这一步可选。这一步可使策略更加快速地加载。用鼠标右键单击新策略,单击属性,然后禁用用户配置。<br>
单击新策略,然后单击编辑。展开计算机配置,展开 Windows 设置,然后展开安全设置。展开本地策略,展开用户权限分配,然后配置需要 SeSecurityPrivilege 权限的所有帐户。<br>
<br>
重要说明:在此策略中配置的所有设置会替换其他策略中的相同设置,而不会与它们进行合并。未配置的选项仍从其他策略中应用。<br>
应将新策略的优先级设置得比默认域控制器的策略高。如果您不这样做,该策略将没有效果(因为默认策略配置了相同设置)。<br>
<br>
|
狗仔卡
发表于 2003-10-14 10:02:46
收藏
分享
淘帖
支持
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡