XADM: Komunikaty o błędach programu Exchange 2000 są generowane z powodu problemów z prawem SeSecurityPrivilege i Policytest

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 314294 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Symptomy

Użytkownik może nie móc zamontować baz danych magazynu informacji programu Exchange 2000. W dzienniku zdarzeń aplikacji może zostać również zarejestrowany jeden lub więcej z następujących komunikatów o błędzie:
Typ: Błąd
Źródło: MSExchangeDSAccess
Kategoria: (3)
Identyfikator zdarzenia: 2102
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Proces MAD.EXE (PID=1088). Wszystkie używane serwery kontrolera domeny nie odpowiadają:
dc1.firma.com
dc2.firma.com
dc3.firma.com
Typ: Błąd
Źródło: MSExchangeSA
Kategoria: (1)
Identyfikator zdarzenia: 9004
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Nie można uruchomić usługi aktualizacji metabazy, błąd '80040a01'.
Typ: Błąd
Źródło: MSExchangeSA
Kategoria: (1)
Identyfikator zdarzenia: 1005
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Nieoczekiwany błąd. Wystąpił nieznany błąd. Identyfikator: 80040a01 Wystąpiła usługa Microsoft Exchange System Attendant.
Typ: Błąd
Źródło: MSExchangeMU
Kategoria: (1)
Identyfikator zdarzenia: 1002
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Nie można uruchomić agenta aktualizacji metabazy. Kod błędu 80040a01.
Typ: Błąd
Źródło: MSExchangeIS
Kategoria: (6)
Identyfikator zdarzenia: 9519
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Błąd 0x80004005 podczas uruchamiania bazy danych „Pierwsza grupa
magazynów\Magazyn skrzynki pocztowej (EXCHANGE1)” usługi Microsoft Exchange Information Store. Nie można skonfigurować bazy danych obsługi wiadomości (MDB). Usługa Magazyn informacji programu Microsoft Exchange nie mogła odnaleźć obiektu. Identyfikator: c1041722
Typ: Błąd
Źródło: MSExchangeMU
Kategoria: Informacje ogólne
Identyfikator zdarzenia: 1029
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Nie można zreplikować deskryptora zabezpieczeń do metabazy. Użytkownicy mogą nie móc czytać lub zapisywać danych do metabazy. Kod błędu 8000500d.
Typ: Błąd
Źródło: MSExchangeSA
Kategoria: Interfejs RFR
Identyfikator zdarzenia: 9074
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Interfejs odwołań usługi katalogowej nie może obsłużyć żądania klienta. Interfejs RFRI zwraca kod błędu:[0x3f0].
Typ: Błąd
Źródło: MSExchangeIS
Kategoria: Informacje ogólne
Identyfikator zdarzenia: 1121
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Błąd 0x80004005 podczas łączenia z usługą Microsoft Active Directory.
Typ: Błąd
Źródło: MSExchangeMTA
Kategoria: Konfiguracja
Identyfikator zdarzenia: 125
Data: 1/1/2002
Godzina: 12:00:00
Użytkownik: Brak
Komputer: EXCHANGE1
Opis: Wystąpił błąd krytyczny podczas odczytywania wartości z katalogu. Nie znaleziono nazwy MTA. Skontaktuj się z Pomocą techniczną firmy Microsoft. [MTA MAIN BASE 1 12] (16)

Przyczyna

Ten problem może wystąpić, jeśli prawo Zarządzanie inspekcją i dziennikiem zabezpieczeń (SeSecurityPrivilege) zostało usunięte dla grupy lokalnej domeny Serwery przedsiębiorstwa programu Exchange z niektórych lub wszystkich kontrolerów domeny.

W przypadku zainstalowania w domenie pierwszego komputera z programem Exchange lub uruchomienia Instalatora programu Exchange z przełącznikiem /domainprep, grupa Serwery przedsiębiorstwa programu Exchange otrzymuje prawo SeSecurityPrivilege.

Jeśli prawo SeSecurityPrivilege zostanie później usunięte, komputery z programem Exchange używające kontrolerów domeny przestaną działać, ale nie od razu. Po upłynięciu okresu odświeżania zabezpieczeń protokołu Kerberos lub po ponownym uruchomieniu usług programu Exchange na konkretnych serwerach problem stanie się oczywisty.

Rozwiązanie

Aby rozwiązać ten problem, użyj narzędzia Policytest.exe w celu sprawdzenia stanu prawa SeSecurityPrivilege na wszystkich kontrolerach domeny w pojedynczej domenie. Narzędzie Policytest.exe znajduje się na instalacyjnym dysku CD programu Exchange 2000.

Aby ustalić, czy serwer przedsiębiorstwa programu Exchange 2000 Enterprise ma, czy nie ma prawa SeSecurityPrivilege na kontrolerze domeny:
  1. Zaloguj się na kontrolerze domeny jako administrator domeny, a następnie uruchom konsolę Zasady zabezpieczeń kontrolera domeny. (Konsola Zasady zabezpieczeń kontrolera domeny jest domyślnie zlokalizowana w menu Start, w grupie Narzędzia administracyjne).
  2. Rozwiń węzeł Ustawienia zabezpieczeń, a następnie rozwiń węzeł Zasady lokalne. Rozwiń węzeł Przypisywanie praw użytkownika, a następnie otwórz właściwości polecenia Zarządzanie inspekcją i dziennikiem zabezpieczeń.
Prawo SeSecurityPrivilege można bezpośrednio nadać serwerom przedsiębiorstwa programu Exchange 2000 Enterprise lub ponownie uruchomić Instalator programu Exchange 2000 z przełącznikiem /domainprep w celu automatycznego nadania prawa SeSecurityPrivilege.

W przypadku uruchomienia programu Setup.exe z przełącznikiem /domainprep nie ma potrzeby przerywania działania usługi na istniejących komputerach z programem Exchange. Inną zaletą tej metody jest sprawdzanie i resetowanie innych praw domyślnych i członkostwa grupy, które również mogły ulec zmianie.

Jeśli grupa serwerów przedsiębiorstwa programu Exchange ostatnio otrzymała prawo SeSecurityPrivilege, zmiana ta nie zostanie uwzględniona do chwili odświeżenia zasad zabezpieczeń na kontrolerze domeny. Czas potrzebny do odświeżenia zasad zabezpieczeń zależy od topologii i konfiguracji domeny. Domyślnie replikacja zasad na inne kontrolery domeny następuje w ciągu pięciu minut, a zastosowanie zmiany zasad zajmuje następne pięć minut.

Nawet jeśli konkretna domena nie zawiera żadnych komputerów z programem Exchange, komputery z programem Exchange w innych domenach mogą używać kontrolerów tej domeny. Jeśli program Exchange 2000 ma mieć możliwość przeprowadzania wyszukiwania wykazu globalnego i wprowadzania zmian do kontenera konfiguracyjnego, gdy program Exchange używa tych kontrolerów domeny, wykonaj następujące kroki dla domeny:
  1. Z instalacyjnego dysku CD programu Exchange 2000 uruchom program Instalatora z przełącznikiem /domainprep (Setup.exe /domainprep). Spowoduje to skonfigurowanie odpowiednich grup i praw dla międzydomenowej komunikacji programu Exchange.
  2. W Administratorze systemu programu Exchange utwórz usługę Recipient Update dla domeny. Usługa Recipient Update dla każdej domeny jest odpowiedzialna za zapełnienie grupy lokalnej domeny Serwery przedsiębiorstwa programu Exchange grupami globalnymi serwerów domeny programu Exchange z innych domen. Usługa Recipient Update jest odpowiedzialna również za inne zadania.

Więcej informacji

Grupa serwerów przedsiębiorstwa programu Exchange jest grupą lokalną domeny. Ta grupa obsługuje niezbędną komunikację międzydomenową między komputerami z programem Exchange oraz programem Exchange i usługą Active Directory. Członkostwo grupy serwerów przedsiębiorstwa programu Exchange musi obejmować grupy globalne serwerów domeny programu Exchange dla każdej domeny, w której istnieją komputery z programem Exchange.

Prawo SeSecurityPrivilege jest niezbędne do obsługi różnych funkcji zabezpieczeń programu Exchange, włącznie z możliwością zgłaszania, które konta systemu Windows są używane do uzyskiwania dostępu do skrzynek pocztowych.

Domyślnie, po zainstalowaniu domeny, jedynym kontem z prawem SeSecurityPrivilege jest wbudowana grupa Administratorzy dla każdej domeny. W przypadku ponownego zastosowania szablonu Security.inf do domeny prawo SeSecurityPrivilege zostanie przywrócone do wartości domyślnej. Nie jest to jedyny sposób usunięcia praw grupy serwerów przedsiębiorstwa programu Exchange. Zasady mogą zostać zresetowane przez inne narzędzia inspekcji i konfiguracji zabezpieczeń. Administratorzy usługi Active Directory przestrzegający ogólnych zaleceń mogą również usunąć grupę serwerów przedsiębiorstwa programu Exchange.

Jeśli prawo SeSecurityPrivilege jest wielokrotnie resetowane i nie można ustalić przyczyny takiego zachowania, można przeprowadzić inspekcję zmian zasad zabezpieczeń kontrolera domeny:
  1. Dla każdego kontrolera domeny zmień rozmiar i ustawienia dziennika zabezpieczeń na tyle, aby można było obsłużyć zwiększoną ilość rejestrowanych informacji.

    OSTRZEŻENIE: W przypadku włączenia opcji Zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji w sekcji Opcje zabezpieczeń domyślnych zasad kontrolera domeny, zostanie on natychmiast zamknięty po zapełnieniu dziennika zabezpieczeń.
  2. Uruchom konsolę Zasady zabezpieczeń kontrolera domeny.
  3. Rozwiń węzeł Zasady lokalne, rozwiń węzeł Zasady inspekcji, a następnie włącz inspekcję Sukcesów dla polecenia Zmiany dostępu do katalogu i zasad.
Po wykonaniu poprzednich kroków komunikaty dla identyfikatora zdarzenia 608 (dodano konto) i 609 (usunięto konto) są rejestrowane podczas wprowadzania zmian w kontrolerze domeny. Kategorią komunikatów identyfikatora zdarzenia 608 i 609 jest — Zasady. Źródłem tych komunikatów są Zabezpieczenia. Komunikaty identyfikatora zdarzenia 608 są podobne do:
Typ: Inspekcja sukcesów
Źródło: Zabezpieczenia
Kategoria: Zmiana zasad
Identyfikator zdarzenia: 608
Data: 12/12/2001
Godzina: 16:32:20
Użytkownik: NT AUTHORITY\SYSTEM
Komputer: DC1
Opis: Przyznane uprawnienia użytkownika:
Uprawnienia użytkownika: SeSecurityPrivilege
Przyznane dla: DOMAIN\USER
Przyznane przez:
Nazwa użytkowania: DC1$
Domena: DOMAIN
Identyfikator logowania: (0x0,0x3E7)
WSKAZÓWKA: W Podglądzie zdarzeń kliknij prawym przyciskiem myszy obiekt Dziennik zabezpieczeń. Kliknij polecenie Widok, a następnie wyszukaj słowo „SeSecurityPrivilege” (bez cudzysłowów) w oknie dialogowym Znajdź.

Ponieważ sam system wprowadza zmianę zasad, nie można użyć usługi Rejestrowanie zasad w celu określenia, które konto użytkownika wprowadziło zmianę. Ale Rejestrowanie dostępu do usługi katalogowej identyfikuje wprowadzające zmiany konto użytkownika.

Zazwyczaj zmiana zasad kontrolera domeny natychmiast powoduje zdarzenie Dostęp do domeny na kontrolerze domeny, gdzie została wprowadzona zmiana, a po kilku minutach następuje zdarzenie Zmiana zasad. Drugie zdarzenie występuje, gdy zasady są rzeczywiście odświeżane i stosowane na kontrolerze domeny. Ponieważ zasady są replikowane na inne kontrolery domeny, zostaną one odświeżone i zastosowane po kilku minutach, a zdarzenie Zmiana zasad również zostanie zarejestrowane na tych serwerach.

Po znalezieniu zmiany w ustawieniach prawa SeSecurityPrivilege ponownie przeszukaj dziennik zabezpieczeń w celu odnalezienia zdarzeń Dostęp do katalogu, które mają pole Użytkownik, zawierające użytkownika innego niż na przykład konto SYSTEM lub SERVERNAME$:
Typ: Inspekcja sukcesów
Źródło: Zabezpieczenia
Kategoria: Dostęp do usługi katalogowej
Identyfikator zdarzenia: 565
Data: 12/12/2001
Godzina: 17:52:53
Użytkownik: DOMAIN\adam
Komputer: DC1
Opis: Otwarty obiekt:
Serwer obiektu: DS
Typ obiektu: groupPolicyContainer
Nazwa obiektu: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Identyfikator nowego uchwytu: 0
Identyfikator operacji: {0,63067624}
Identyfikator procesu: 280
Podstawowa nazwa użytkownika: DC1$
Podstawowa domena: DOMAIN
Podstawowy identyfikator logowania: (0x0,0x3E7)
Nazwa użytkownika klienta: adam
Domena klienta: DOMAIN
Identyfikator logowania klienta: (0x0,0x3C255DB)
Dostęp Właściwość zapisu
Przywileje -
Właściwości:
Właściwość zapisu %{00000000-0000-0000-0000-000000000000}
versionNumber
Pole Nazwa użytkownika klienta w powyższym komunikacie zdarzenia identyfikuje wprowadzające zmianę konto użytkownika. Pole Nazwa obiektu określa zmienione zasady.

W poprzednim przykładzie nazwą zasad usługi Active Directory jest:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Polecenia LDIFDE można użyć w celu przekształcenia nazw zasad do bardziej przyjaznej postaci, aby się upewnić, że zdarzenie jest rzeczywiście powiązane z zasadami, dla których są monitorowane zmiany:
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
Plik Policies.ldf określa zasady i ich przyjazną nazwę w formacie podobnym do poniższego:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Domyślne zasady domeny

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Domyślne zasady kontrolera domeny
					
Aby uniknąć przypadkowej odmowy prawa SeSecurityPrivilege serwerom przedsiębiorstwa programu Exchange 2000, można utworzyć niestandardowe zasady dla kontrolerów domeny w celu zaimplementowania prawa SeSecurityPrivilege:
  1. Uruchom przystawkę Użytkownicy i komputery usługi Active Directory programu Microsoft Management Console (MMC)
  2. Otwórz właściwości kontenera Kontrolery domeny.
  3. Kliknij kartę Zasady grupy, a następnie kliknij przycisk Nowy. Nadaj nazwę nowym zasadom (na przykład „NAZWA_DOMENY Prawa inspekcji”).
  4. Jest to krok opcjonalny. Umożliwia on szybsze załadowanie zasad. Kliknij prawym przyciskiem myszy nowe zasady, kliknij polecenie Właściwości, a następnie wyłącz opcję Konfiguracja użytkownika.
  5. Kliknij nową zasadę, a następnie kliknij przycisk Edytuj. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, a następnie węzeł Ustawienia zabezpieczeń. Rozwiń węzeł Zasady lokalne, rozwiń węzeł Przypisywanie praw użytkownika, a następnie skonfiguruj wszystkie konta wymagające prawa SeSecurityPrivilege.

    WAŻNE: Wszystkie ustawienia skonfigurowane w tych zasadach zastąpią takie same ustawienia w innych zasadach, a nie zostaną z nimi scalone. Nieskonfigurowane opcje nadal będą stosowane z innych zasad.
  6. Dla nowych zasad ustaw wyższy priorytet niż dla domyślnych zasad kontrolera domeny. Jeśli tego nie zrobisz, zasady nie będą działać, ponieważ domyślne zasady konfigurują to samo ustawienie.

Właściwości

Numer ID artykułu: 314294 - Ostatnia weryfikacja: 31 marca 2006 - Weryfikacja: 1.5
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Exchange 2000 Server Standard Edition
Słowa kluczowe: 
kberrmsg kbprb KB314294

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com