XADM: Se generan mensajes de error en Exchange 2000 por problemas relacionados con el derecho SeSecurityPrivilege y con Policytest

Seleccione idioma Seleccione idioma
Id. de artículo: 314294 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Es posible que no pueda montar las bases de datos del almacén de información de Exchange 2000. Asimismo, puede que alguno de los errores siguientes aparezca en el registro de eventos de la aplicación:
Tipo de suceso: error
Origen del suceso: MSExchangeDSAccess
Categoría del suceso: (3)
Id. del suceso: 2102
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Proceso MAD.EXE (PID=1088). No responde ninguno de los servidores Controlador de dominio en uso:
dc1.company.com
dc2.company.com
dc3.company.com
Tipo de suceso: error
Origen del suceso: MSExchangeSA
Categoría del suceso: (1)
Id. del suceso: 9004
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error '80040a01' al iniciar el servicio de actualización de la metabase.
Tipo de suceso: error
Origen del suceso: MSExchangeSA
Categoría del suceso: (1)
Id. del suceso: 1005
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error inesperado. Error desconocido. Nº de Id.: 80040a01 Operador de sistema de Microsoft Exchange.
Tipo de suceso: error
Origen del suceso: MSExchangeMU
Categoría del suceso: (1)
Id. del suceso: 1002
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error al iniciar el agente de actualización de la metabase. El código de error es 80040a01.
Tipo de suceso: error
Origen del suceso: MSExchangeIS
Categoría del suceso: (6)
Id. del suceso: 9519
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error 0x80004005 al iniciar la base de datos "Primer grupo de
almacenamiento\Almacén del buzón(EXCHANGE1)" en el almacén de configuración de Microsoft Exchange. Error al configurar MDB. El servicio Almacén de información de Microsoft Exchange no encontró el objeto especificado. Nº de Id.: c1041722
Tipo de suceso: error
Origen del suceso: MSExchangeMU
Categoría del suceso: general
Id. del suceso: 1029
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error al replicar el descriptor de seguridad en la metabase. Es posible que los usuarios no puedan leer ni escribir datos en la metabase. El código de error es 8000500d.
Tipo de suceso: error
Origen del suceso: MSExchangeSA
Categoría del suceso: RFR Interface
Id. del suceso: 9074
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: La interfaz de referencia del servicio de directorio no pudo atender una solicitud de un cliente. RFRI devuelve el código de error: [0x3f0].
Tipo de suceso: error
Origen del suceso: MSExchangeIS
Categoría del suceso: general
Id. del suceso: 1121
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error 0x80004005 al conectarse a Microsoft Active Directory.
Tipo de suceso: error
Origen del suceso: MSExchangeMTA
Categoría del suceso: Configuración
Id. del suceso: 125
Fecha: 1/1/2002
Hora: 12:00:00 AM
Usuario: N/D
Equipo: EXCHANGE1
Descripción: Error grave al leer un valor del directorio. No se encontró el nombre de MTA. Póngase en contacto con el Servicio de soporte técnico de Microsoft. [MTA MAIN BASE 1 12] (16)

Causa

Este problema puede surgir si el derecho Administrar registro de seguridad y auditoría (SeSecurityPrivilege) se ha quitado del grupo local de dominio Servidores empresariales de Exchange en alguno o todos los controladores de dominio.

Cuando se instala el primer equipo Exchange en un dominio, o cuando se ejecuta el programa de instalación de Exchange con el modificador /domainprep, se otorga al grupo Servidores empresariales de Exchange el derecho SeSecurityPrivilege.

Si posteriormente se quita el derecho SeSecurityPrivilege, los equipos de Exchange que utilizan controladores en el dominio dejan de funcionar, pero esto no ocurre inmediatamente. Cuando caducan los intervalos de actualización de seguridad de Kerberos o se reinician los servicios de Exchange en determinados servidores, los problemas se manifiestan.

Solución

Para resolver este problema, use la utilidad Policytest.exe para comprobar el estado del derecho SeSecurityPrivilege en todos los controladores de dominio de un determinado dominio. La utilidad Policytest.exe se incluye en el CD-ROM de instalación de Exchange 2000.

Para determinar si el servidor empresarial de Exchange 2000 tiene o no tiene el derecho SeSecurityPrivilege en un controlador de dominio:
  1. Inicie sesión en el controlador de dominio como administrador del dominio y, a continuación, inicie la consola Directiva de seguridad del controlador de dominio. (De forma predeterminada, la consola Directiva de seguridad del controlador de dominio se encuentra en el menú Inicio en el grupo Herramientas administrativas).
  2. Expanda Configuración de seguridad y Directivas locales. Expanda Asignación de derechos de usuario y, a continuación, abra las propiedades de Administrar registro de seguridad y auditoría.
Puede otorgar directamente el derecho SeSecurityPrivilege a los servidores empresariales de Exchange 2000 o puede volver a ejecutar el programa de instalación de Exchange 2000 con el modificador /domainprep para otorgar el derecho SeSecurityPrivilege automáticamente.

Si ejecuta Setup.exe con el modificador /domainprep, no interrumpirá el servicio en los equipos Exchange existentes. Otra ventaja de este método es que comprueba y restablece otros derechos y pertenencias a grupos predeterminados que hayan podido cambiar.

Si el derecho SeSecurityPrivilege se ha otorgado recientemente al grupo Servidores empresariales de Exchange, ese cambio no surte efecto hasta que se actualiza la directiva de seguridad en el controlador de dominio. El tiempo que tarda en actualizarse la directiva de seguridad depende de la topología y de la configuración del dominio. De forma predeterminada, la replicación de directivas en otros controladores de dominio se produce al cabo de cinco minutos, y la aplicación del cambio de directiva al cabo de otros cinco minutos.

Aunque un determinado dominio no contenga equipos Exchange, los equipos Exchange de otros dominios pueden utilizar los controladores de dominio de ese dominio. Si desea que Exchange 2000 pueda realizar búsquedas en los catálogos globales y que el contenedor de configuración cambie cuando Exchange utilice esos controladores de dominio, siga estos pasos en el dominio:
  1. Desde el CD-ROM de instalación de Exchange 2000, ejecute el programa de instalación con el modificador /domainprep (Setup.exe /domainprep). De este modo, se configurarán los grupos y derechos adecuados para la comunicación de Exchange entre dominios.
  2. En el Administrador del sistema Exchange, cree un servicio de actualización de destinatarios para el dominio. El servicio de actualización de destinatarios de cada dominio es responsable de llenar el grupo local de dominio Servidores empresariales de Exchange con grupos globales Servidores de dominio de Exchange de otros dominios. El servicio de actualización de destinatarios se encarga también de realizar otras tareas.

Más información

El grupo Servidores empresariales de Exchange es un grupo local de dominio. Este grupo permite la comunicación necesaria entre dominios entre los equipos Exchange y entre Exchange y Active Directory. Entre los miembros del grupo Servidores empresariales de Exchange deben incluirse los grupos locales Servidores de dominio de Exchange de cada dominio en el que haya equipos Exchange.

El derecho SeSecurityPrivilege es necesario para permitir algunas funciones de seguridad de Exchange, como informar de las cuentas de Windows que se utilizan para obtener acceso a los buzones.

De forma predeterminada, una vez instalado un dominio, la única cuenta con el derecho SeSecurityPrivilege es el grupo Administradores integrado de cada dominio. Si vuelve a aplicar la plantilla Security.inf al dominio, el derecho SeSecurityPrivilege se restablece a su configuración predeterminada. Ésta no es la única forma en que pueden haberse eliminado los derechos del grupo Servidores empresariales de Exchange. Otras herramientas de configuración y auditoría de seguridad podrían hacer restablecido la directiva. También es posible que los administradores de Active Directory que siguen las recomendaciones de seguridad generales hayan eliminado el grupo Servidores empresariales de Exchange.

Si el derecho SeSecurityPrivilege se restablece varias veces y no puede determinar por qué ocurre esto, puede auditar los cambios que se producen en la directiva de seguridad de los controladores de dominio:
  1. En cada controlador de dominio, realice los cambios pertinentes en la configuración de tamaño y de sustitución incremental del registro de seguridad para permitir que se registre una mayor cantidad de información.

    ADVERTENCIA: si activa la opción Apagar el sistema de inmediato si no puede registrar auditorías de seguridad en la sección Opciones de seguridad de la directiva del controlador de dominio predeterminada, el controlador de dominio se apagará inmediatamente si se llena el registro de seguridad.
  2. Inicie la consola Directiva de seguridad de controlador de dominio.
  3. Expanda Directivas locales, expanda Directiva de auditoría y, a continuación, active la auditoría Aciertos para Acceso de directorio y cambios de directiva.
Cuando termine de realizar el procedimiento anterior, los mensajes de Id. de suceso 608 (cuenta agregada) e Id. de suceso 609 (cuenta quitada) se registrarán cuando se efectúen cambios de directiva en el controlador de dominio. La categoría de estos mensajes de Id. de suceso 608 e Id. de suceso 609 es Directiva. El origen de estos mensajes es Seguridad. Los mensajes de Id. de suceso 608 son similares al siguiente:
Tipo de suceso: Auditoría de aciertos
Origen del suceso: Seguridad
Categoría del suceso: Cambio de directiva
Id. del suceso: 608
Fecha: 12/12/2001
Hora: 4:32:20 p.m.
Usuario: NT AUTHORITY\SYSTEM
Equipo: DC1
Descripción: Derechos de usuario asignados:
Derecho de usuario: SeSecurityPrivilege
Asignado a: DOMINIO\USUARIO
Asignado por:
Nombre de usuario: DC1$
Dominio: DOMINIO
Id. de inicio de sesión: (0x0,0x3E7)
SUGERENCIA: en el Visor de sucesos, haga clic con el botón secundario del mouse (ratón) en el objeto Registro de seguridad. Haga clic en Ver y, a continuación, busque la palabra "SeSecurityPrivilege" (sin las comillas) en el cuadro de diálogo Buscar.

Como el propio sistema realiza el cambio en la directiva, no puede utilizar el registro Directiva para determinar qué cuenta de usuario efectuó el cambio. Pero el registro Acceso del servicio de directorio identifica la cuenta de usuario que realizó el cambio.

Normalmente, un cambio en la directiva del controlador de dominio produce un suceso inmediato de acceso de directorio en el controlador de dominio en el que se realizó el cambio y, al cabo de varios minutos, un suceso de cambio de directiva. El segundo suceso tiene lugar cuando se actualiza la directiva y se aplica al controlador de dominio. Como la directiva se replica en otros controladores de dominio, se actualiza y aplica al cabo de varios minutos, y se registra también un suceso de cambio de directiva en esos servidores.

Cuando encuentre un cambio en la configuración de SeSecurityPrivilege, busque de nuevo en el registro de seguridad los sucesos de acceso de directorio que contengan un campo Usuario cuyo valor sea distinto de SYSTEM o de una cuenta SERVERNAME$; por ejemplo:
Tipo de suceso: Auditoría de aciertos
Origen del suceso: Seguridad
Categoría del suceso: Acceso del servicio de directorio
Id. del suceso: 565
Fecha: 12/12/2001
Hora: 5:52:53 p.m.
Usuario: DOMINIO\adam
Equipo: DC1
Descripción: Objeto abierto:
Servidor de objetos: DS
Tipo de objeto: groupPolicyContainer
Nombre del objeto: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Id. de identificador nuevo: 0
Id. de operación: {0,63067624}
Id. de proceso: 280
Nombre de usuario principal: DC1$
Dominio principal: DOMINIO
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario cliente: adam
Dominio de cliente: DOMINIO
Id. de inicio de sesión de cliente: (0x0,0x3C255DB)
Accesos Propiedad de escritura
Privilegios -
Propiedades:
Propiedad de escritura %{00000000-0000-0000-0000-000000000000}
númeroVersión
El campo "Nombre de usuario cliente" del mensaje de suceso anterior identifica la cuenta de usuario que efectuó el cambio. El campo "Nombre de objeto" identifica la directiva que se ha cambiado.

En el ejemplo anterior, el nombre de la directiva en Active Directory es:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Puede utilizar el comando LDIFDE para resolver los nombres de directiva en un formato más descriptivo, con el fin de asegurarse de que el suceso está relacionado con la directiva para la que supervisa los cambios:
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
El archivo Policies.ldf identifica cada directiva y su nombre descriptivo en un formato similar al siguiente:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Directiva de dominio predeterminada

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Directiva de controladores de dominio predeterminada
					
Para impedir que se deniegue involuntariamente el derecho SeSecurityPrivilege a los servidores empresariales de Exchange 2000, puede crear una directiva personalizada para los controladores de dominio que implemente el derecho SeSecurityPrivilege:
  1. Inicie el complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC),
  2. Abra las propiedades del contenedor Controladores de dominio.
  3. Haga clic en Directiva de grupo y luego en Nueva. Asigne un nombre a la nueva directiva (por ejemplo, "Derechos de auditoría de NOMBRE_DOMINIO").
  4. Este paso es opcional. Sirve para que la directiva se cargue más rápidamente. Haga clic con el botón secundario del mouse en la nueva directiva, haga clic en Propiedades y, a continuación, desactive la Configuración de usuario.
  5. Haga clic en la nueva directiva y luego en Modificar. Expanda Configuración del equipo, Configuración de Windows y, a continuación, Configuración de seguridad. Expanda Directivas locales, expanda Asignación de derechos de usuario y, a continuación, configure todas las cuentas que requieren el derecho SeSecurityPrivilege.

    IMPORTANTE: todos los valores que configure en esta directiva reemplazan los mismos valores de otras directivas, en lugar de combinarse con ellos. Las opciones no configuradas se siguen aplicando desde otras directivas.
  6. Defina la nueva directiva con una prioridad más alta que la directiva del controlador de dominio predeterminada. En caso contrario, la directiva no surtirá efecto, ya que la directiva predeterminada aplica la misma configuración.

Propiedades

Id. de artículo: 314294 - Última revisión: viernes, 02 de febrero de 2007 - Versión: 1.5
La información de este artículo se refiere a:
  • Microsoft Exchange 2000 Server Standard Edition
Palabras clave: 
kberrmsg kbprb KB314294

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com