XADM: Vengono generati messaggi di errore in Exchange 2000 a causa del diritto SeSecurityPrivilege e di problemi relativi a Policytest

Traduzione articoli Traduzione articoli
Identificativo articolo: 314294 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Potrebbe non essere possibile installare database di archivio informazioni in Exchange 2000. ╚ inoltre possibile che nel registro eventi applicazioni siano registrati uno o pi¨ messaggi di errore analoghi ai seguenti:
Tipo evento: Errore
Origine evento: MSExchangeDSAccess
Categoria evento: (3)
ID evento: 2102
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Processo MAD.EXE (PID=1088). Tutti i server di controller di dominio in uso non rispondono:
dc1.company.com
dc2.company.com
dc3.company.com
Tipo evento: Errore
Origine evento: MSExchangeSA
Categoria evento: (1)
ID evento: 9004
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Impossibile avviare il Servizio di aggiornamento della metabase. Errore "80040a01".
Tipo evento: Errore
Origine evento: MSExchangeSA
Categoria evento: (1)
ID evento: 1005
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Errore imprevisto. Errore sconosciuto. ID: 80040a01 Il Supervisore sistema di Microsoft Exchange si Ŕ avviato.
Tipo evento: Errore
Origine evento: MSExchangeMU
Categoria evento: (1)
ID evento: 1002
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Impossibile avviare l'agente di aggiornamento della metabase. Codice di errore: 80040a01.
Tipo evento: Errore
Origine evento: MSExchangeIS
Categoria evento: (6)
ID evento: 9519
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Errore 0x80004005 durante l'avvio del database "First Storage
Group\Mailbox Store(EXCHANGE1)" nell'Archivio informazioni di Microsoft Exchange. Impossibile configurare MDB. Impossibile trovare l'oggetto specificato con il servizio Archivio informazioni di Microsoft Exchange. ID: c1041722
Tipo evento: Errore
Origine evento: MSExchangeMU
Categoria evento: Generale
ID evento: 1029
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Impossibile replicare il descrittore di protezione nella metabase. Potrebbe non essere possibile leggere o scrivere dati nella metabase. Codice di errore: 8000500d.
Tipo evento: Errore
Origine evento: MSExchangeSA
Categoria evento: Interfaccia RFR
ID evento: 9074
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: L'interfaccia di riferimento del servizio di directory (RFRI) non Ŕ riuscita a rispondere a una richiesta client. Codice di errore restituito: [0x3f0].
Tipo evento: Errore
Origine evento: MSExchangeIS
Categoria evento: Generale
ID evento: 1121
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Errore 0x80004005 durante la connessione al servizio Microsoft Active Directory.
Tipo evento: Errore
Origine evento: MSExchangeMTA
Categoria evento: Configurazione
ID evento: 125
Data: 01/01/2002
Ora: 12.00.00
Utente: N/D
Computer: EXCHANGE1
Descrizione: Errore irreversibile durante la lettura di un valore dalla directory. Non Ŕ stato trovato alcun nome MTA. Contattare il supporto tecnico Microsoft. [MTA MAIN BASE 1 12] (16)

Cause

Il problema pu˛ verificarsi se per il gruppo locale di dominio Exchange Enterprise Servers Ŕ stato rimosso il diritto Gestione file registro di controllo e di protezione (SeSecurityPrivilege) su alcuni o su tutti i controller di dominio.

Quando in un dominio viene installato il primo computer Exchange o quando viene eseguito il programma di installazione di Exchange con il parametro /domainprep, al gruppo Exchange Enterprise Servers viene concesso il diritto SeSecurityPrivilege.

Se in seguito il diritto SeSecurityPrivilege viene rimosso, i computer Exchange che utilizzano i controller del dominio non funzionano pi¨, ma questo non avviene immediatamente. Il problema inizia a delinearsi alla scadenza degli intervalli di aggiornamento della protezione Kerberos o quando su determinati server vengono riavviati servizi Exchange.

Risoluzione

Per risolvere il problema, utilizzare l'utilitÓ Policytest.exe per controllare lo stato del diritto SeSecurityPrivilege su tutti i controller di un dominio. L'utilitÓ Policytest.exe Ŕ inclusa nel CD di installazione di Exchange 2000.

Per determinare se il server Exchange 2000 Enterprise dispone del diritto SeSecurityPrivilege su un controller di dominio:
  1. Accedere al controller di dominio come amministratore del dominio e quindi avviare la console Criterio di protezione del controller di dominio. Per impostazione predefinita la console Criterio di protezione del controller di dominio fa parte del gruppo Strumenti di amministrazione a cui si accede dal menu Start.
  2. Espandere Impostazioni protezione, quindi Criteri locali. Espandere Assegnazione diritti utente, quindi aprire la finestra delle proprietÓ di Gestione file registro di controllo e di protezione.
╚ possibile assegnare direttamente il diritto SeSecurityPrivilege a server Exchange 2000 Enterprise o eseguire nuovamente il programma di installazione di Exchange 2000 con il parametro /domainprep, in modo da concedere automaticamente il diritto.

Eseguendo Setup.exe con il parametro /domainprep non si interrompe il servizio nei computer Exchange esistenti. Un altro vantaggio di questo metodo Ŕ costituito dal fatto che vengono controllati e ripristinati anche altre appartenenze a gruppi e diritti predefiniti che possono avere subito modifiche.

Se il diritto SeSecurityPrivilege Ŕ stato concesso recentemente al gruppo Exchange Enterprise Servers, la modifica non ha effetto finchÚ sul controller di dominio non vengono aggiornati i criteri di protezione. Il tempo necessario affinchÚ si verifichi l'aggiornamento dei criteri di protezione dipende dalla topologia e dalla configurazione del dominio. Per impostazione predefinita la replica dei criteri su altri controller di dominio viene eseguita ogni cinque minuti e le modifiche apportate ai criteri vengono applicate entro altri cinque minuti.

I computer Exchange appartenenti ad altri domini possono utilizzare i controller di un dominio anche se questo non contiene computer Exchange. Se si desidera poter eseguire ricerche globali nel catalogo e apportare modifiche al contenitore della configurazione di Exchange 2000 quando vengono utilizzati questi controller di dominio, attenersi alla seguente procedura per il dominio:
  1. Eseguire il programma di installazione dal CD di Exchange 2000 utilizzando il parametro /domainprep (Setup.exe /domainprep). Verranno in tal modo configurati i gruppi e i diritti corretti per la comunicazione fra domini.
  2. Creare un Servizio aggiornamento destinatari per il dominio nell'amministratore di sistema di Exchange. Il Servizio aggiornamento destinatari di ogni dominio Ŕ responsabile del popolamento del gruppo locale di dominio Exchange Enterprise Servers con i gruppi globali Exchange Domain Servers di altri domini, oltre che di altre attivitÓ.

Informazioni

Il gruppo Exchange Enterprise Servers Ŕ un gruppo locale del domino e supporta le comunicazioni fra domini necessarie fra i computer Exchange e fra Exchange e Active Directory. L'appartenenza al gruppo Exchange Enterprise Servers deve includere i gruppi globali Exchange Domain Servers di ogni dominio nel quale esistono computer Exchange.

Il diritto SeSecurityPrivilege Ŕ necessario per il supporto di svariate funzioni di protezione di Exchange, fra le quali la capacitÓ di indicare quali account di Windows vengono utilizzati per accedere alle cassette postali.

Dopo l'installazione del dominio, per impostazione predefinita, il gruppo incorporato degli amministratori di ogni dominio Ŕ il solo account a disporre dei diritti SeSecurityPrivilege. Riapplicando il modello Security.inf al dominio, il diritto SeSecurityPrivilege viene ripristinato alle impostazioni predefinite. Sono tuttavia disponibili altri metodi per rimuovere i diritti del gruppo Exchange Enterprise Servers. ╚ possibile ricorrere ad altri strumenti di configurazione e controllo della protezione per ripristinare i criteri. Gli amministratori di Active Directory che seguono i consigli di carattere generale per la protezione possono inoltre rimuovere il gruppo Exchange Enterprise Servers.

Se il diritto SeSecurityPrivilege viene ripristinato ripetutamente e non si riesce a determinare perchÚ ci˛ avvenga Ŕ possibile controllare le modifiche apportate ai criteri di protezione del controller di dominio:
  1. Modificare su ogni controller di dominio la dimensione e le impostazioni dell'effetto di attivazione del registro di protezione in base alle necessitÓ, per supportare la registrazione di maggiori quantitÓ di informazioni.

    AVVISO: se si attiva l'opzione Arresto del sistema immediato se non Ŕ possibile registrare i controlli di protezione nella sezione Opzioni di protezione del criterio predefinito del controller di dominio, quest'ultimo si arresterÓ immediatamente se il registro di protezione Ŕ pieno.
  2. Avviare la console dei criteri di protezione dei controller di dominio.
  3. Espandere Criteri locali, quindi Criteri controllo e attivare il controllo delle Operazioni riuscite nella sezione relativa all'accesso alla directory e alle modifiche ai criteri.
Dopo avere svolto le procedure descritte in precedenza, quando vengono apportate modifiche ai criteri del controller di dominio, vengono registrati messaggi con ID evento 608 (aggiunta account) e 609 (account rimosso). La categoria dei messaggi con ID evento 608 e 609 Ŕ Criteri. L'origine di questi messaggi Ŕ Protezione. I messaggi con ID evento 608 sono analoghi a quanto segue:
Tipo evento: Operazioni riuscite
Origine evento: Protezione
Categoria evento: Modifica criterio
ID evento: 608
Data: 12/12/2001
Ora: 16.32.20
Utente: NT AUTHORITY\SYSTEM
Computer: DC1
Descrizione: Diritto utente assegnato:
Diritto utente: SeSecurityPrivilege
Assegnato a: DOMAIN\USER
Assegnato da:
Nome utente: DC1$
Dominio: DOMAIN
ID di accesso: (0x0,0x3E7)
SUGGERIMENTO: nel Visualizzatore eventi fare clic con il pulsante destro del mouse sull'oggetto Registro protezione. Scegliere Visualizza e cercare la parola "SeSecurityPrivilege" (senza virgolette) nella finestra di dialogo Cerca.

PoichÚ Ŕ il sistema stesso ad apportare modifiche ai criteri, non Ŕ possibile affidarsi alla registrazione dei criteri per determinare da quale utente Ŕ stata apportata una modifica, mentre la registrazione dell'accesso ai servizi directory identifica l'account utente.

Di norma una modifica ai criteri del controller di dominio ha come effetto la generazione immediata di un evento di accesso al servizio directory sul controller di dominio in cui Ŕ stata effettuata la modifica, seguito, a distanza di qualche minuto, da un evento di modifica dei criteri. Il secondo evento si verifica quando i criteri vengono di fatto aggiornati e applicati al controller di dominio. Quando i criteri vengono replicati ad altri controller di dominio, vengono aggiornati e applicati dopo qualche minuto, pertanto anche sugli altri server viene registrato un evento di modifica dei criteri.

Dopo avere individuato una modifica alle impostazioni di SeSecurityPrivilege, tornare a ricercare nel registro di protezione gli eventi di accesso ai servizi di directory contenenti un campo utente con un account diverso da SYSTEM o SERVERNAME$, ad esempio:
Tipo evento: Operazioni riuscite
Origine evento: Protezione
Categoria evento: Accesso al servizio directory
ID evento: 565
Data: 12/12/2001
Ora: 17.52.53
Utente: DOMAIN\roberto
Computer: DC1
Descrizione: Apertura oggetto:
Server oggetto: DS:
Tipo oggetto groupPolicyContainer
Nome oggetto: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Nuovo ID dell'handle: 0
ID operazione: {0,63067624}
ID processo: 280
Nome utente primario: DC1$
Dominio primario: DOMAIN
ID di accesso primario: (0x0,0x3E7)
Nome utente client: roberto
Dominio client: DOMAIN
ID di accesso client: (0x0,0x3C255DB)
Accessi ProprietÓ scrittura
Privilegi -
ProprietÓ:
ProprietÓ scrittura %{00000000-0000-0000-0000-000000000000}
versionNumber
Nel campo "Nome utente client" del messaggio di evento precedente Ŕ identificato l'account dell'utente che ha apportato la modifica. Nel campo "Nome oggetto" Ŕ identificato il criterio modificato.

Nell'esempio precedente, il nome del criterio in Active Directory Ŕ il seguente:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
╚ possibile utilizzare il comando LDIFDE per risolvere i nomi dei criteri in una forma pi¨ semplice, cosý da avere la certezza che l'evento sia effettivamente correlato al criterio di cui si controllano le modifiche:
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
Nel file Policies.ldf sono identificati i singoli criteri, unitamente al relativo nome semplificato, in un formato simile al seguente:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=lcds,DC=lab
changetype: add
displayName Criterio dominio predefinito

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName Criterio controller di dominio predefinito
					
Per evitare che il diritto SeSecurityPrivilege venga accidentalmente negato ai server Exchange 2000 Enterprise Ŕ possibile creare un criterio personalizzato affinchÚ i controller di dominio implementino il diritto SeSecurityPrivilege:
  1. Avviare la console MMC (Microsoft Management Console) di Utenti e computer di Active Directory.
  2. Visualizzare le proprietÓ del contenitore Controller di dominio.
  3. Scegliere la scheda Criteri di gruppo, quindi fare clic su Nuovo. Attribuire un nome al criterio (ad esempio, "Diritti di controllo NOME_DOMINIO").
  4. Questo passaggio Ŕ facoltativo ma velocizza il caricamento dei criteri. Fare clic con il pulsante destro del mouse sul nuovo criterio, scegliere ProprietÓ, quindi disattivare Configurazione utente.
  5. Fare clic sul nuovo criterio, quindi scegliere Modifica. Espandere Configurazione computer, Impostazioni di Windows e quindi Impostazioni di protezione. Espandere Criteri locali, Assegnazione diritti utente e quindi configurare tutti gli account per cui Ŕ necessario il diritto SeSecurityPrivilege.

    IMPORTANTE: tutte le impostazioni configurate in questo criterio sostituiscono le corrispondenti impostazioni in altri criteri, anzichÚ unirle. Le opzioni non configurate in altri criteri continuano tuttavia a essere applicate.
  6. Impostare la prioritÓ del nuovo criterio a un livello pi¨ alto del criterio del controller di dominio predefinito. In caso contrario il nuovo criterio non avrÓ alcun effetto in quanto la configurazione della stessa impostazione verrÓ recuperata dal criterio predefinito.

ProprietÓ

Identificativo articolo: 314294 - Ultima modifica: giovedý 2 febbraio 2006 - Revisione: 1.4
Le informazioni in questo articolo si applicano a
  • Microsoft Exchange 2000 Server Standard Edition
Chiavi:á
kberrmsg kbprb KB314294
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com