XADM: SeSecurityPrivilege 권한 및 Policytest 문제로 인해 Exchange 2000 오류 메시지가 생성된다

기술 자료 번역 기술 자료 번역
기술 자료: 314294 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

Exchange 2000 정보 저장소 데이터베이스를 탑재하지 못할 수 있습니다. 또한 응용 프로그램 이벤트 로그에 아래와 같은 오류 메시지가 하나 이상 기록될 수도 있습니다.
이벤트 종류: 오류
이벤트 원본: MSExchangeDSAccess
이벤트 범주: (3)
이벤트 ID: 2102
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 프로세스 MAD.EXE (PID=1088). 사용 중인 모든 도메인 컨트롤러 서버가 응답하지 않습니다.
dc1.company.com
dc2.company.com
dc3.company.com
이벤트 종류: 오류
이벤트 원본: MSExchangeSA
이벤트 범주: (1)
이벤트 ID: 9004
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 메타베이스 업데이트 서비스를 시작하지 못했습니다. 오류: '80040a01'.
이벤트 종류: 오류
이벤트 원본: MSExchangeSA
이벤트 범주: (1)
이벤트 ID: 1005
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 예기치 않은 오류입니다. 알 수 없는 오류가 발생했습니다. ID no: 80040a01 Microsoft Exchange System Attendant에 발생했습니다.
이벤트 종류: 오류
이벤트 원본: MSExchangeMU
이벤트 범주: (1)
이벤트 ID: 1002
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 메타베이스 업데이트 에이전트를 시작하지 못했습니다. 오류 코드는 80040a01입니다.
이벤트 종류: 오류
이벤트 원본: MSExchangeIS
이벤트 범주: (6)
이벤트 ID: 9519
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: Microsoft Exchange Information Store에서 "First Storage
Group\Mailbox Store(EXCHANGE1)" 데이터베이스를 시작하는 동안 0x80004005 오류가 발생했습니다. MDB를 구성하지 못했습니다. Microsoft Exchange Information Store 서비스에서 지정한 개체를 찾을 수 없습니다. ID no:c1041722
이벤트 종류: 오류
이벤트 원본: MSExchangeMU
이벤트 범주: 일반
이벤트 ID: 1029
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 메타베이스에 보안 설명자를 복제하지 못했습니다. 사용자는 메타베이스에서 데이터를 읽거나 쓰지 못할 수 있습니다. 오류 코드는 8000500d입니다.
이벤트 종류: 오류
이벤트 원본: MSExchangeSA
이벤트 범주: RFR 인터페이스
이벤트 ID: 9074
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 디렉터리 서비스 조회 인터페이스가 클라이언트 요청에 서비스를 제공하지 못했습니다. RFRI가 오류 코드를 반환합니다. [0x3f0]
이벤트 종류: 오류
이벤트 원본: MSExchangeIS
이벤트 범주: 일반
이벤트 ID: 1121
날짜:2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: Microsoft Active Directory에 연결하는 동안 0x80004005 오류가 발생했습니다.
이벤트 종류: 오류
이벤트 원본: MSExchangeMTA
이벤트 범주: 구성
이벤트 ID: 125
날짜: 2002-01-01
시간: 00:00
사용자: N/A
컴퓨터: EXCHANGE1
설명: 디렉터리에서 값을 읽는 동안 심각한 오류가 발생했습니다. MTA 이름이 없습니다. Microsoft 기술 지원 서비스를 이용하십시오. [MTA MAIN BASE 1 12] (16)

원인

이 문제는 일부 또는 전체 도메인 컨트롤러에서 Exchange Enterprise Servers 도메인 로컬 그룹에 대해 감사 및 보안 로그 관리 권한(SeSecurityPrivilege)이 제거된 경우 발생할 수 있습니다.

도메인에 첫 번째 Exchange 컴퓨터가 설치되었거나 Exchange 설치 프로그램을 /domainprep 스위치를 사용하여 실행하면 Exchange Enterprise Servers 그룹에 SeSecurityPrivilege 권한이 부여됩니다.

나중에 SeSecurityPrivilege 권한을 제거하면 도메인에서 도메인 컨트롤러를 사용하는 Exchange 컴퓨터가 작동을 중지하지만 즉시 중지하지는 않습니다. Kerberos 보안 새로 고침 간격이 만료되거나 Exchange 서비스가 특정 서버에서 다시 시작되면 이 문제가 분명히 나타납니다.

해결 방법

이 문제를 해결하려면 Policytest.exe 유틸리티를 사용하여 단일 도메인에 있는 모든 도메인 컨트롤러에서 SeSecurityPrivilege 권한의 상태를 확인하십시오. Policytest.exe 유틸리티는 Exchange 2000 설치 CD-ROM에 포함되어 있습니다.

Exchange 2000 Enterprise 서버가 도메인 컨트롤러에 대한 SeSecurityPrivilege 권한이 있는지 확인하려면 다음과 같이 하십시오.
  1. 도메인 컨트롤러에 도메인 관리자로 로그온한 다음 도메인 컨트롤러 보안 정책 콘솔을 시작합니다. 기본적으로 도메인 컨트롤러 보안 정책 콘솔은 시작 메뉴의 관리 도구 그룹에 있습니다.
  2. 보안 설정을 확장한 다음 로컬 정책을 확장합니다. 사용자 권한 할당을 확장한 다음 감사 및 보안 로그 관리의 등록 정보를 엽니다.
Exchange 2000 Enterprise 서버에 SeSecurityPrivilege 권한을 직접 부여하거나 Exchange 2000 설치 프로그램을 /domainprep 스위치를 사용하여 다시 실행하여 SeSecurityPrivilege 권한을 자동으로 부여할 수 있습니다.

Setup.exe를 /domainprep 스위치를 사용하여 실행하면 기존 Exchange 컴퓨터의 서비스를 방해하지 않습니다. 이 방법의 또 다른 장점은 변경되었을 수도 있는 다른 기본 권한과 그룹 구성원을 검사하고 다시 설정한다는 것입니다.

최근에 Exchange Enterprise Servers 그룹에 SeSecurityPrivilege 권한이 부여된 경우 도메인 컨트롤러에서 보안 정책을 새로 고칠 때까지 이 변경 내용이 적용되지 않습니다. 보안 정책을 새로 고치는 데 걸리는 시간은 도메인 토폴로지와 구성에 따라 다릅니다. 기본적으로 정책을 다른 도메인 컨트롤러로 복제하는 데 걸리는 시간은 5분 이내이고 변경된 정책을 적용하는 데 걸리는 시간도 5분 이내입니다.

특정 도메인에 Exchange 컴퓨터가 없더라도 다른 도메인의 Exchange 컴퓨터가 해당 도메인의 도메인 컨트롤러를 사용할 수 있습니다. Exchange에서 이러한 도메인 컨트롤러를 사용할 때 Exchange 2000이 글로벌 카탈로그 조회를 수행하고 구성 컨테이너를 변경하도록 하려면 도메인에 대해 다음 단계를 수행하십시오.
  1. Exchange 2000 설치 CD-ROM에서 설치 프로그램을 /domainprep 스위치(Setup.exe /domainprep)를 사용하여 실행합니다. 이렇게 하면 도메인 간 Exchange 통신을 위해 적절한 그룹과 권한이 구성됩니다.
  2. Exchange System Administrator에서 도메인에 대한 Recipient Update Service를 만듭니다. 각 도메인에 대한 Recipient Update Service는 Exchange Enterprise Servers 도메인 로컬 그룹을 다른 도메인의 Domain Servers 글로벌 그룹으로 채우는 일을 담당합니다. Recipient Update Service는 다른 작업도 담당합니다.

추가 정보

Exchange Enterprise Servers 그룹은 도메인 로컬 그룹입니다. 이 그룹은 Exchange 컴퓨터 및 Exchange와 Active Directory 간에 필요한 도메인 간 통신을 지원합니다. Exchange Enterprise Servers 그룹의 구성원은 Exchange 컴퓨터가 있는 각 도메인의 Exchange Domain Servers 글로벌 그룹을 포함해야 합니다.

어느 Windows 계정이 사서함에 액세스하는 데 사용되고 있는지 보고하는 기능을 포함하여 다양한 Exchange 보안 기능을 지원하려면 SeSecurityPrivilege 권한이 필요합니다.

기본적으로 도메인을 설치한 후에 SeSecurityPrivilege 권한을 가진 유일한 계정은 각 도메인에 대해 기본 제공되는 Administrators 그룹입니다. Security.inf 템플릿을 도메인에 다시 적용한 경우 SeSecurityPrivilege 권한이 기본값으로 다시 설정됩니다. 이것은 Exchange Enterprise Servers 그룹에서 권한이 제거되는 유일한 방법은 아닙니다. 다른 보안 감사 및 구성 도구가 정책을 다시 설정할 수 있습니다. 일반 보안 권장 사항을 따르는 Active Directory 관리자도 Exchange Enterprise Servers 그룹을 제거할 수 있습니다.

SeSecurityPrivilege 권한이 반복적으로 다시 설정되고 있고 이것이 발생하는 이유를 확인할 수 없는 경우 도메인 컨트롤러 보안 정책에 대한 변경 사항을 감사할 수 있습니다.
  1. 각 도메인 컨트롤러에서 증가된 로깅 정보를 지원하는 데 필요한 만큼 보안 로그에 대한 크기와 롤오버 설정을 변경하십시오.

    경고: 기본 도메인 컨트롤러 정책의 보안 옵션 구역에서 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 옵션을 설정하는 경우 보안 로그가 모두 채워지면 도메인 컨트롤러가 즉시 종료됩니다.
  2. 도메인 컨트롤러 보안 정책 콘솔을 시작합니다.
  3. 로컬 정책, 감사 정책을 차례로 확장한 다음 디렉터리 서비스 액세스 감사정책 변경 감사에 대해 성공 감사를 설정합니다.
앞의 단계를 수행한 후에 도메인 컨트롤러에서 정책을 변경하면 이벤트 ID 608(계정 추가) 메시지와 이벤트 ID 609(계정 제거) 메시지가 기록됩니다. 이러한 이벤트 ID 608 및 이벤트 ID 609 메시지의 범주는 정책입니다. 이러한 메시지의 원본은 보안입니다. 이벤트 ID 608 메시지의 내용은 다음과 비슷합니다.
이벤트 종류: 성공 감사
이벤트 원본: 보안
이벤트 범주: 정책 변경
이벤트 ID: 608
날짜: 2001-12-12
시간: 16:32:20
사용자: NT AUTHORITY\SYSTEM
컴퓨터:DC1
설명: 사용자 권한이 할당되었습니다.
사용자 권한: SeSecurityPrivilege
할당 대상: DOMAIN\USER
할당한 사람:
사용자 이름: DC1$
도메인: DOMAIN
로그온 ID: (0x0,0x3E7)
: 이벤트 뷰어에서 보안 로그 개체를 마우스 오른쪽 단추로 누릅니다. 보기를 누른 다음 찾기 대화 상자에서 인용 부호를 제외하고 단어 "SeSecurityPrivilege"를 검색합니다.

시스템이 정책을 변경하기 때문에 Policy 로깅을 사용하여 어느 사용자 계정이 변경했는지 확인할 수 없습니다. 그러나 Directory Service Access 로깅은 변경한 사용자 계정을 식별합니다.

일반적으로 도메인 컨트롤러 정책을 변경하면 변경된 도메인 컨트롤러에 즉시 Directory Access 이벤트가 기록되고, 몇 분 정도 지난 후에 정책 변경 이벤트가 기록됩니다. 두 번째 이벤트는 도메인 컨트롤러에서 정책이 실제로 새로 고쳐지고 적용되었을 때 발생합니다. 정책은 다른 도메인 컨트롤러로 복제되기 때문에 몇 분 정도 지난 후에 새로 고쳐지고 적용됩니다. 또한 이들 서버에는 정책 변경 이벤트가 기록됩니다.

SeSecurityPrivilege 설정이 변경된 것을 발견하면 SYSTEM 또는 SERVERNAME$ 계정 이외의 사용자가 포함된 User 필드가 들어 있는 Directory Access 이벤트를 보안 로그에서 검색하십시오. 예를 들어 다음과 유사한 내용이 표시됩니다.
이벤트 종류: 성공 감사
이벤트 원본: 보안
이벤트 범주: 디렉터리 서비스 액세스
이벤트 ID: 565
날짜: 2001-12-12
시간: 17:52:53
사용자: DOMAIN\adam
컴퓨터: DC1
설명: 개체 열기:
개체 서버: DS
개체 형식: groupPolicyContainer
개체 이름: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
새 핸들 ID: 0
작동 ID: {0,63067624}
프로세스 ID: 280
주 사용자 이름: DC1$
주 도메인: DOMAIN
주 로그온 ID: (0x0,0x3E7)
클라이언트 사용자 이름: adam
클라이언트 도메인: DOMAIN
클라이언트 로그온 ID: (0x0,0x3C255DB)
액세스 쓰기 속성
권한 -
속성:
쓰기 속성 %{00000000-0000-0000-0000-000000000000}
versionNumber
앞의 이벤트 메시지에서 "Client User Name" 필드는 변경한 사용자 계정을 나타냅니다. "Object Name" 필드는 변경된 정책을 나타냅니다.

앞의 예제에서 Active Directory의 정책 이름은 다음과 같습니다.
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
LDIFDE 명령을 사용하여 보다 익숙한 형식으로 정책 이름을 확인하면 이벤트가 실제로 변경을 모니터링하고 있는 정책과 관련되어 있다는 것을 확신할 수 있습니다.
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
Policies.ldf 파일을 보면 각 정책 및 익숙한 이름이 다음과 비슷한 형식으로 되어 있는 것을 알 수 있습니다.
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Default Domain Policy

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Default Domain Controllers Policy
					
Exchange 2000 Enterprise 서버에 대한 SeSecurityPrivilege 권한이 부주의로 거부되는 것을 방지하려면 도메인 컨트롤러에 대한 사용자 지정 정책을 만들어 SeSecurityPrivilege 권한을 구현할 수 있습니다.
  1. Active Directory 사용자 및 컴퓨터 Microsoft Management Console(MMC)을 시작합니다.
  2. Domain Controllers 컨테이너의 등록 정보를 엽니다.
  3. 그룹 정책 탭을 누른 다음 새로 만들기를 누릅니다. 새 정책 이름을 지정합니다(예: "DOMAIN_NAME Auditing Rights").
  4. 이 단계는 선택 사항입니다. 이 단계는 정책을 더욱 빠르게 로드하도록 합니다. 새 정책을 마우스 오른쪽 단추로 누르고 등록 정보를 누른 다음 사용자 구성을 해제합니다.
  5. 새 정책을 누른 다음 편집을 누릅니다. 컴퓨터 구성, Windows 설정, 보안 설정을 차례로 확장합니다. 로컬 정책, 사용자 권한 할당을 차례로 확장한 다음 SeSecurityPrivilege 권한을 요구하는 모든 계정을 구성합니다.

    중요: 이 정책에서 구성하는 모든 설정은 다른 정책에 있는 같은 설정을 병합하는 것이 아니라 대체합니다. 구성하지 않은 옵션은 다른 정책에서 여전히 적용됩니다.
  6. 새 정책을 기본 도메인 컨트롤러 정책보다 더 높은 우선 순위로 설정하십시오. 이렇게 하지 않으면 기본 정책이 같은 설정을 구성하기 때문에 정책이 적용되지 않습니다.




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 314294 - 마지막 검토: 2003년 9월 24일 수요일 - 수정: 1.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange 2000 Server Standard Edition
키워드:?
kberrmsg kbprb KB314294

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com