Zaloguj si�

Select the product you need help with

XADM: Komunikaty o b��dach programu Exchange 2000 s� generowane z powodu problem�w z prawem SeSecurityPrivilege i Policytest

Numer ID artyku�u: 314294 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

Symptomy

U�ytkownik mo�e nie m�c zamontowa� baz danych magazynu informacji programu Exchange 2000. W dzienniku zdarze� aplikacji mo�e zosta� r�wnie� zarejestrowany jeden lub wi�cej z nast�puj�cych komunikat�w o b��dzie:

Typ: B��d
�r�d�o: MSExchangeDSAccess
Kategoria: (3)
Identyfikator zdarzenia: 2102
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Proces MAD.EXE (PID=1088). Wszystkie u�ywane serwery kontrolera domeny nie odpowiadaj�:
dc1.firma.com
dc2.firma.com
dc3.firma.com

Typ: B��d
�r�d�o: MSExchangeSA
Kategoria: (1)
Identyfikator zdarzenia: 9004
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Nie mo�na uruchomi� us�ugi aktualizacji metabazy, b��d '80040a01'.

Typ: B��d
�r�d�o: MSExchangeSA
Kategoria: (1)
Identyfikator zdarzenia: 1005
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Nieoczekiwany b��d. Wyst�pi� nieznany b��d. Identyfikator: 80040a01 Wyst�pi�a us�uga Microsoft Exchange System Attendant.

Typ: B��d
�r�d�o: MSExchangeMU
Kategoria: (1)
Identyfikator zdarzenia: 1002
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Nie mo�na uruchomi� agenta aktualizacji metabazy. Kod b��du 80040a01.

Typ: B��d
�r�d�o: MSExchangeIS
Kategoria: (6)
Identyfikator zdarzenia: 9519
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: B��d 0x80004005 podczas uruchamiania bazy danych �Pierwsza grupa
magazyn�w\Magazyn skrzynki pocztowej (EXCHANGE1)� us�ugi Microsoft Exchange Information Store. Nie mo�na skonfigurowa� bazy danych obs�ugi wiadomo�ci (MDB). Us�uga Magazyn informacji programu Microsoft Exchange nie mog�a odnale�� obiektu. Identyfikator: c1041722

Typ: B��d
�r�d�o: MSExchangeMU
Kategoria: Informacje og�lne
Identyfikator zdarzenia: 1029
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Nie mo�na zreplikowa� deskryptora zabezpiecze� do metabazy. U�ytkownicy mog� nie m�c czyta� lub zapisywa� danych do metabazy. Kod b��du 8000500d.

Typ: B��d
�r�d�o: MSExchangeSA
Kategoria: Interfejs RFR
Identyfikator zdarzenia: 9074
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Interfejs odwo�a� us�ugi katalogowej nie mo�e obs�u�y� ��dania klienta. Interfejs RFRI zwraca kod b��du:[0x3f0].

Typ: B��d
�r�d�o: MSExchangeIS
Kategoria: Informacje og�lne
Identyfikator zdarzenia: 1121
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: B��d 0x80004005 podczas ��czenia z us�ug� Microsoft Active Directory.

Typ: B��d
�r�d�o: MSExchangeMTA
Kategoria: Konfiguracja
Identyfikator zdarzenia: 125
Data: 1/1/2002
Godzina: 12:00:00
U�ytkownik: Brak
Komputer: EXCHANGE1
Opis: Wyst�pi� b��d krytyczny podczas odczytywania warto�ci z katalogu. Nie znaleziono nazwy MTA. Skontaktuj si� z Pomoc� techniczn� firmy Microsoft. [MTA MAIN BASE 1 12] (16)

Powr�t na g�r� | Przeka� opini�

Przyczyna

Ten problem mo�e wyst�pi�, je�li prawo Zarz�dzanie inspekcj� i dziennikiem zabezpiecze� (SeSecurityPrivilege) zosta�o usuni�te dla grupy lokalnej domeny Serwery przedsi�biorstwa programu Exchange z niekt�rych lub wszystkich kontroler�w domeny.

W przypadku zainstalowania w domenie pierwszego komputera z programem Exchange lub uruchomienia Instalatora programu Exchange z prze��cznikiem /domainprep, grupa Serwery przedsi�biorstwa programu Exchange otrzymuje prawo SeSecurityPrivilege.

Je�li prawo SeSecurityPrivilege zostanie p�niej usuni�te, komputery z programem Exchange u�ywaj�ce kontroler�w domeny przestan� dzia�a�, ale nie od razu. Po up�yni�ciu okresu od�wie�ania zabezpiecze� protoko�u Kerberos lub po ponownym uruchomieniu us�ug programu Exchange na konkretnych serwerach problem stanie si� oczywisty.

Powr�t na g�r� | Przeka� opini�

Rozwi�zanie

Aby rozwi�za� ten problem, u�yj narz�dzia Policytest.exe w celu sprawdzenia stanu prawa SeSecurityPrivilege na wszystkich kontrolerach domeny w pojedynczej domenie. Narz�dzie Policytest.exe znajduje si� na instalacyjnym dysku CD programu Exchange 2000.

Aby ustali�, czy serwer przedsi�biorstwa programu Exchange 2000 Enterprise ma, czy nie ma prawa SeSecurityPrivilege na kontrolerze domeny:

Zaloguj si� na kontrolerze domeny jako administrator domeny, a nast�pnie uruchom konsol� Zasady zabezpiecze� kontrolera domeny. (Konsola Zasady zabezpiecze� kontrolera domeny jest domy�lnie zlokalizowana w menu Start, w grupie Narz�dzia administracyjne).
Rozwi� w�ze� Ustawienia zabezpiecze�, a nast�pnie rozwi� w�ze� Zasady lokalne. Rozwi� w�ze� Przypisywanie praw u�ytkownika, a nast�pnie otw�rz w�a�ciwo�ci polecenia Zarz�dzanie inspekcj� i dziennikiem zabezpiecze�.

Prawo SeSecurityPrivilege mo�na bezpo�rednio nada� serwerom przedsi�biorstwa programu Exchange 2000 Enterprise lub ponownie uruchomi� Instalator programu Exchange 2000 z prze��cznikiem /domainprep w celu automatycznego nadania prawa SeSecurityPrivilege.

W przypadku uruchomienia programu Setup.exe z prze��cznikiem /domainprep nie ma potrzeby przerywania dzia�ania us�ugi na istniej�cych komputerach z programem Exchange. Inn� zalet� tej metody jest sprawdzanie i resetowanie innych praw domy�lnych i cz�onkostwa grupy, kt�re r�wnie� mog�y ulec zmianie.

Je�li grupa serwer�w przedsi�biorstwa programu Exchange ostatnio otrzyma�a prawo SeSecurityPrivilege, zmiana ta nie zostanie uwzgl�dniona do chwili od�wie�enia zasad zabezpiecze� na kontrolerze domeny. Czas potrzebny do od�wie�enia zasad zabezpiecze� zale�y od topologii i konfiguracji domeny. Domy�lnie replikacja zasad na inne kontrolery domeny nast�puje w ci�gu pi�ciu minut, a zastosowanie zmiany zasad zajmuje nast�pne pi�� minut.

Nawet je�li konkretna domena nie zawiera �adnych komputer�w z programem Exchange, komputery z programem Exchange w innych domenach mog� u�ywa� kontroler�w tej domeny. Je�li program Exchange 2000 ma mie� mo�liwo�� przeprowadzania wyszukiwania wykazu globalnego i wprowadzania zmian do kontenera konfiguracyjnego, gdy program Exchange u�ywa tych kontroler�w domeny, wykonaj nast�puj�ce kroki dla domeny:

Z instalacyjnego dysku CD programu Exchange 2000 uruchom program Instalatora z prze��cznikiem /domainprep (Setup.exe /domainprep). Spowoduje to skonfigurowanie odpowiednich grup i praw dla mi�dzydomenowej komunikacji programu Exchange.
W Administratorze systemu programu Exchange utw�rz us�ug� Recipient Update dla domeny. Us�uga Recipient Update dla ka�dej domeny jest odpowiedzialna za zape�nienie grupy lokalnej domeny Serwery przedsi�biorstwa programu Exchange grupami globalnymi serwer�w domeny programu Exchange z innych domen. Us�uga Recipient Update jest odpowiedzialna r�wnie� za inne zadania.

Powr�t na g�r� | Przeka� opini�

Wi�cej informacji

Grupa serwer�w przedsi�biorstwa programu Exchange jest grup� lokaln� domeny. Ta grupa obs�uguje niezb�dn� komunikacj� mi�dzydomenow� mi�dzy komputerami z programem Exchange oraz programem Exchange i us�ug� Active Directory. Cz�onkostwo grupy serwer�w przedsi�biorstwa programu Exchange musi obejmowa� grupy globalne serwer�w domeny programu Exchange dla ka�dej domeny, w kt�rej istniej� komputery z programem Exchange.

Prawo SeSecurityPrivilege jest niezb�dne do obs�ugi r�nych funkcji zabezpiecze� programu Exchange, w��cznie z mo�liwo�ci� zg�aszania, kt�re konta systemu Windows s� u�ywane do uzyskiwania dost�pu do skrzynek pocztowych.

Domy�lnie, po zainstalowaniu domeny, jedynym kontem z prawem SeSecurityPrivilege jest wbudowana grupa Administratorzy dla ka�dej domeny. W przypadku ponownego zastosowania szablonu Security.inf do domeny prawo SeSecurityPrivilege zostanie przywr�cone do warto�ci domy�lnej. Nie jest to jedyny spos�b usuni�cia praw grupy serwer�w przedsi�biorstwa programu Exchange. Zasady mog� zosta� zresetowane przez inne narz�dzia inspekcji i konfiguracji zabezpiecze�. Administratorzy us�ugi Active Directory przestrzegaj�cy og�lnych zalece� mog� r�wnie� usun�� grup� serwer�w przedsi�biorstwa programu Exchange.

Je�li prawo SeSecurityPrivilege jest wielokrotnie resetowane i nie mo�na ustali� przyczyny takiego zachowania, mo�na przeprowadzi� inspekcj� zmian zasad zabezpiecze� kontrolera domeny:

Dla ka�dego kontrolera domeny zmie� rozmiar i ustawienia dziennika zabezpiecze� na tyle, aby mo�na by�o obs�u�y� zwi�kszon� ilo�� rejestrowanych informacji.

OSTRZE�ENIE: W przypadku w��czenia opcji Zamknij system natychmiast, je�li nie mo�na rejestrowa� wynik�w inspekcji w sekcji Opcje zabezpiecze� domy�lnych zasad kontrolera domeny, zostanie on natychmiast zamkni�ty po zape�nieniu dziennika zabezpiecze�.
Uruchom konsol� Zasady zabezpiecze� kontrolera domeny.
Rozwi� w�ze� Zasady lokalne, rozwi� w�ze� Zasady inspekcji, a nast�pnie w��cz inspekcj� Sukces�w dla polecenia Zmiany dost�pu do katalogu i zasad.

Po wykonaniu poprzednich krok�w komunikaty dla identyfikatora zdarzenia 608 (dodano konto) i 609 (usuni�to konto) s� rejestrowane podczas wprowadzania zmian w kontrolerze domeny. Kategori� komunikat�w identyfikatora zdarzenia 608 i 609 jest � Zasady. �r�d�em tych komunikat�w s� Zabezpieczenia. Komunikaty identyfikatora zdarzenia 608 s� podobne do:

Typ: Inspekcja sukces�w
�r�d�o: Zabezpieczenia
Kategoria: Zmiana zasad
Identyfikator zdarzenia: 608
Data: 12/12/2001
Godzina: 16:32:20
U�ytkownik: NT AUTHORITY\SYSTEM
Komputer: DC1
Opis: Przyznane uprawnienia u�ytkownika:
Uprawnienia u�ytkownika: SeSecurityPrivilege
Przyznane dla: DOMAIN\USER
Przyznane przez:
Nazwa u�ytkowania: DC1$
Domena: DOMAIN
Identyfikator logowania: (0x0,0x3E7)

WSKAZ�WKA: W Podgl�dzie zdarze� kliknij prawym przyciskiem myszy obiekt Dziennik zabezpiecze�. Kliknij polecenie Widok, a nast�pnie wyszukaj s�owo �SeSecurityPrivilege� (bez cudzys�ow�w) w oknie dialogowym Znajd�.

Poniewa� sam system wprowadza zmian� zasad, nie mo�na u�y� us�ugi Rejestrowanie zasad w celu okre�lenia, kt�re konto u�ytkownika wprowadzi�o zmian�. Ale Rejestrowanie dost�pu do us�ugi katalogowej identyfikuje wprowadzaj�ce zmiany konto u�ytkownika.

Zazwyczaj zmiana zasad kontrolera domeny natychmiast powoduje zdarzenie Dost�p do domeny na kontrolerze domeny, gdzie zosta�a wprowadzona zmiana, a po kilku minutach nast�puje zdarzenie Zmiana zasad. Drugie zdarzenie wyst�puje, gdy zasady s� rzeczywi�cie od�wie�ane i stosowane na kontrolerze domeny. Poniewa� zasady s� replikowane na inne kontrolery domeny, zostan� one od�wie�one i zastosowane po kilku minutach, a zdarzenie Zmiana zasad r�wnie� zostanie zarejestrowane na tych serwerach.

Po znalezieniu zmiany w ustawieniach prawa SeSecurityPrivilege ponownie przeszukaj dziennik zabezpiecze� w celu odnalezienia zdarze� Dost�p do katalogu, kt�re maj� pole U�ytkownik, zawieraj�ce u�ytkownika innego ni� na przyk�ad konto SYSTEM lub SERVERNAME$:

Typ: Inspekcja sukces�w
�r�d�o: Zabezpieczenia
Kategoria: Dost�p do us�ugi katalogowej
Identyfikator zdarzenia: 565
Data: 12/12/2001
Godzina: 17:52:53
U�ytkownik: DOMAIN\adam
Komputer: DC1
Opis: Otwarty obiekt:
Serwer obiektu: DS
Typ obiektu: groupPolicyContainer
Nazwa obiektu: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Identyfikator nowego uchwytu: 0
Identyfikator operacji: {0,63067624}
Identyfikator procesu: 280
Podstawowa nazwa u�ytkownika: DC1$
Podstawowa domena: DOMAIN
Podstawowy identyfikator logowania: (0x0,0x3E7)
Nazwa u�ytkownika klienta: adam
Domena klienta: DOMAIN
Identyfikator logowania klienta: (0x0,0x3C255DB)
Dost�p W�a�ciwo�� zapisu
Przywileje -
W�a�ciwo�ci:
W�a�ciwo�� zapisu %{00000000-0000-0000-0000-000000000000}
versionNumber

Pole Nazwa u�ytkownika klienta w powy�szym komunikacie zdarzenia identyfikuje wprowadzaj�ce zmian� konto u�ytkownika. Pole Nazwa obiektu okre�la zmienione zasady.

W poprzednim przyk�adzie nazw� zasad us�ugi Active Directory jest:

CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com

Polecenia LDIFDE mo�na u�y� w celu przekszta�cenia nazw zasad do bardziej przyjaznej postaci, aby si� upewni�, �e zdarzenie jest rzeczywi�cie powi�zane z zasadami, dla kt�rych s� monitorowane zmiany:

LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)

Plik Policies.ldf okre�la zasady i ich przyjazn� nazw� w formacie podobnym do poni�szego:

dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Domy�lne zasady domeny

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Domy�lne zasady kontrolera domeny

Aby unikn�� przypadkowej odmowy prawa SeSecurityPrivilege serwerom przedsi�biorstwa programu Exchange 2000, mo�na utworzy� niestandardowe zasady dla kontroler�w domeny w celu zaimplementowania prawa SeSecurityPrivilege:

Uruchom przystawk� U�ytkownicy i komputery us�ugi Active Directory programu Microsoft Management Console (MMC)
Otw�rz w�a�ciwo�ci kontenera Kontrolery domeny.
Kliknij kart� Zasady grupy, a nast�pnie kliknij przycisk Nowy. Nadaj nazw� nowym zasadom (na przyk�ad �NAZWA_DOMENY Prawa inspekcji�).
Jest to krok opcjonalny. Umo�liwia on szybsze za�adowanie zasad. Kliknij prawym przyciskiem myszy nowe zasady, kliknij polecenie W�a�ciwo�ci, a nast�pnie wy��cz opcj� Konfiguracja u�ytkownika.
Kliknij now� zasad�, a nast�pnie kliknij przycisk Edytuj. Rozwi� w�ze� Konfiguracja komputera, rozwi� w�ze� Ustawienia systemu Windows, a nast�pnie w�ze� Ustawienia zabezpiecze�. Rozwi� w�ze� Zasady lokalne, rozwi� w�ze� Przypisywanie praw u�ytkownika, a nast�pnie skonfiguruj wszystkie konta wymagaj�ce prawa SeSecurityPrivilege.

WA�NE: Wszystkie ustawienia skonfigurowane w tych zasadach zast�pi� takie same ustawienia w innych zasadach, a nie zostan� z nimi scalone. Nieskonfigurowane opcje nadal b�d� stosowane z innych zasad.
Dla nowych zasad ustaw wy�szy priorytet ni� dla domy�lnych zasad kontrolera domeny. Je�li tego nie zrobisz, zasady nie b�d� dzia�a�, poniewa� domy�lne zasady konfiguruj� to samo ustawienie.