XADM: gerado devido à direita SeSecurityPrivilege e problemas Policytest Exchange 2000 ' estão mensagens de erros

Traduções de Artigos Traduções de Artigos
Artigo: 314294 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Não poderá vai poder bases de dados do arquivo de informações de montagem do Exchange 2000. Uma ou mais das seguintes mensagens de erro também poderá ser registada no registo de eventos de aplicações:
Tipo de evento: Erro
Origem do evento: MSExchangeDSAccess
Categoria do evento: (3)
O ID de evento: 2102
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: processo MAD.EXE (PID = 1088). Não estão a responder todos os servidores de controlador de domínio a ser utilizado:
dc1.company.com
dc2.company.com
dc3.company.com
Tipo de evento: Erro
Origem do evento: MSExchangeSA
Categoria do evento: (1)
O ID de evento: 9004
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: O serviço de actualização da metabase falha ao iniciar, erro ' 80040a01 '.
Tipo de evento: Erro
Origem do evento: MSExchangeSA
Categoria do evento: (1)
O ID de evento: 1005
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: Ocorreu um erro desconhecido erro inesperado. ID não: 80040a01 Microsoft Exchange System Attendant ocorreu.
Tipo de evento: Erro
Origem do evento: MSExchangeMU
Categoria do evento: (1)
O ID de evento: 1002
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: Agente de actualização da metabase falha ao iniciar. Código de erro está 80040a01.
Tipo de evento: Erro
Origem do evento: MSExchangeIS
Categoria do evento: (6)
O ID de evento: 9519
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: Erro 0 x 80004005 starting database " First Storage
Store(EXCHANGE1) Group\Mailbox " on the Microsoft Exchange Information Store. Falha ao configurar MDB. O serviço Microsoft Exchange Information Store não encontrou o objecto especificado. ID no:c1041722
Tipo de evento: Erro
Origem do evento: MSExchangeMU
Categoria do evento: General
O ID de evento: 1029
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: falhou replicar o descritor de segurança para a metabase. Os utilizadores não poderão ler ou escrever dados para a metabase. Código de erro está 8000500d.
Tipo de evento: Erro
Origem do evento: MSExchangeSA
Interface RFR Categoria do evento:
O ID de evento: 9074
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: A interface Referral Service Directory Falha ao serviço um pedido de cliente. RFRI está devolver o código de erro: [0x3f0].
Tipo de evento: Erro
Origem do evento: MSExchangeIS
Categoria do evento: General
O ID de evento: 1121
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: Erro 0 x 80004005 ligar ao Microsoft Active Directory.
Tipo de evento: Erro
Origem do evento: MSExchangeMTA
Categoria do evento: configuração
O ID de evento: 125
Data: 1 / 1 / 2002
Tempo: 12: 00: 00 AM
Utilizador: N/D ("N/A", nas versões em inglês)
Computador: EXCHANGE1
Descrição: Ocorreu um erro fatal ao ler um valor a partir do directório. Foi encontrado nenhum nome MTA, Message Transfer Agent. Contacte o suporte técnico da Microsoft. [MTA, Message Transfer Agent MAIN BASE 1 12] (16)

Causa

Este problema pode ocorrer se Gerir auditoria e para a direita registo de segurança (SeSecurityPrivilege) tiver sido removido para o grupo local do domínio Exchange Enterprise Servers em alguns ou todos os controladores de domínio.

Quando o primeiro computador Exchange está instalado de um domínio, ou quando o programa de configuração Exchange é executado com a caixa de verificação / parâmetro DomainPrep o grupo Exchange Enterprise Servers é fornecido à direita SeSecurityPrivilege..

Se o SeSecurityPrivilege direita mais tarde for removida, Exchange computadores desse domínio utilização controladores no domínio deixem de funcionar, mas não imediatamente. Quando actualiza de segurança Kerberos intervalos expirar ou serviços do Exchange são reiniciados nos servidores específicos, os problemas tornam-se evidentes.

Resolução

Para resolver este problema, utilize o utilitário Policytest.exe para verificar o estado do SeSecurityPrivilege para a direita em todos dos controladores de domínio existentes num único domínio. O utilitário Policytest.exe está incluído na instalação do Exchange 2000 de CD-ROM.

Para determinar quer se encontre ou não servidor do Exchange 2000 Enterprise tem o SeSecurityPrivilege para a direita de um controlador de domínio:
  1. Inicie sessão para o controlador de domínio como um administrador de domínio, e seguida, inicie a consola Política de segurança do controlador de domínio. (Por predefinição, a consola da Política de segurança do controlador de domínio está localizada no menu Iniciar do grupo ' ferramentas administrativas .)
  2. Expanda Definições de segurança , e em seguida, expanda Políticas locais . Expandir Atribuição de direitos de utilizador , e seguida, abra as propriedades de Gerir auditoria e registo de segurança .
Pode conceder o direito SeSecurityPrivilege directamente de servidores do Exchange 2000 Enterprise, ou pode executar o programa de configuração Exchange 2000 novamente com o parâmetro /DomainPrep para conceder o SeSecurityPrivilege automaticamente para a direita.

Se executar o Setup.exe com a caixa de verificação / domainprep mudar, que não interromper o serviço nos computadores do Exchange existentes. Outra vantagem deste método é que verifica e repõe outros direitos predefinidos e membros do grupo que podem também ter sido alterados.

Se o grupo Exchange Enterprise Servers foi recentemente concedido o direito SeSecurityPrivilege, essa alteração não são activadas quando a política de segurança é actualizada no controlador de domínio. O tempo que demora para actualizar a política de segurança depende topologia de domínio e de configuração. Por predefinição, replicação da política para outros controladores de domínio ocorre dentro de cinco minutos, e aplicação da alteração à política dentro de outro cinco minutos.

Mesmo se um domínio específico não contém quaisquer computadores Exchange, podem utilizar esse controladores de domínio domainÆs computadores Exchange em outros domínios. Se pretender Exchange 2000 seja capaz de efectuar pesquisas do catálogo global e efectue alterações de contentor configuração quando o Exchange utiliza estes controladores de domínio, o seguimento estes passos para o domínio:
  1. A partir do CD-ROM, de instalação do Exchange 2000 execute o programa de configuração com a caixa de verificação / domainprep parâmetro (/domainprep Setup.exe). Isto configura as grupos apropriados e direitos para comunicação entre domínios do Exchange.
  2. No Exchange System Administrator, crie um serviço de actualização destinatário para o domínio. O serviço Update destinatário para cada domínio é responsável por preencher Exchange Enterprise Servers grupo local de domínio com servidores de domínio do Exchange grupos globais a partir de outros domínios. O serviço Update destinatário também é responsável para outras tarefas.

Mais Informação

O grupo Enterprise Servers Exchange é um grupo local de domínio. Este grupo suporta entre domínios comunicação entre computadores Exchange e do Exchange e o Active Directory entre necessária. Os membros do grupo Servidores Enterprise do Exchange tem de incluir os grupos globais de cada domínio no qual existem Exchange computadores servidores de domínio do Exchange.

O SeSecurityPrivilege para a direita é necessário para suportar várias funções de segurança incluindo a capacidade para comunicar as contas do Windows que estão a ser utilizadas para aceder a caixas de correio do Exchange.

Por predefinição, após a instalação num domínio, apenas conta com direitos SeSecurityPrivilege é o grupo de Administradores incorporado para cada domínio. Se aplicar novamente o modelo security.inf ao domínio, o SeSecurityPrivilege para a direita é reposta para a cor predefinida. Isto não é a única forma que o grupo Enterprise Servers Exchange poderá ter a respectiva direitos removidos. Outras ferramentas de auditoria e configuração de segurança poderá repor a política. Os administradores que estiver a seguir recomendações de segurança gerais o Active Directory também podem remover o grupo Exchange Enterprise Servers.

Se o SeSecurityPrivilege direita está a ser reposto repetidamente, e não é possível determinar por que motivo esta situação ocorrer, é possível auditar alterações à política de segurança Controlador de domínio:
  1. Em cada controlador de domínio, altere as definições tamanho e de passagem com o rato para o registo de segurança tanto quanto necessário para suportar maiores quantidades de informações de registo.

    AVISO : Se que activar a opção Encerrar menos valia o sistema imediatamente se não for possível iniciar sessão de segurança auditorias na secção Opções de segurança da política predefinida do controlador de domínio, o controlador de domínio encerra imediatamente se o registo Segurança (Security copia de segurança.
  2. Inicie a consola Política de segurança de controladores de domínio.
  3. Expanda Políticas locais , expanda Política de auditoria , e em seguida, ligue sobre auditoria Com êxito para o Access Directory e alterações de política .
Depois de seguir os passos anteriores, evento ID 608 mensagens (conta adicionada) e eventos 609 ID (conta removida) mensagens sejam registadas quando as alterações de política são efectuadas o controlador de domínio. A categoria destes eventos 608 ID e mensagens de evento ID 609 é a política. A origem uma destas mensagens é de segurança. As mensagens de evento ID 608 é semelhante a:
Tipo de evento de auditoria com êxito
Origem do evento: Segurança
Alterar a política Categoria do evento:
O ID de evento: 608
Data: 12 / 12 / 2001
Tempo: 4:32:20 PM
Utilizador: NT AUTHORITY\SYSTEM
Computador: DC1
Descrição: utilizador atribuído para a direita:
Direito de utilizador: SeSecurityPrivilege
Atribuído para: DOMAIN\USER
Atribuído por:
$ DC1 Nome de utilizador:
DOMAIN: domínio
ID de início de sessão: (0 x 0, 0x3E7)
TIP : faça no Visualizador de eventos, clique com o botão direito do rato sobre o objecto Registo de segurança . Clique em Ver e, em seguida, procure a palavra " SeSecurityPrivilege " (sem as aspas) na caixa de diálogo Localizar .

Uma vez que o próprio sistema efectua a política alterados, pode utilizar o registo para determinar qual conta utilizador efectuou a alteração de política. Mas o registo de acesso do serviço de directório identifica a conta de utilizador que efectuou a alteração.

Normalmente, uma alteração ao domínio Controlador os resultados de política na imediato um evento no controlador de domínio em que a alteração é estabelecida, Directory Access seguido vários minutos mais tarde por um evento Alterar política. O segundo evento ocorre quando a política é realmente actualizado e aplicado no controlador de domínio. Tal como a política replica para outros controladores de domínio, é actualizado e aplicadas depois alguns minutos, e também é registado um evento de alteração de política nesses servidores.

Após encontrar uma alteração às definições SeSecurityPrivilege, Procurar novamente nas se existem eventos Directory Access que contêm um campo de utilizador que contenha um utilizador não seja o System ou uma conta $ ServerName, por exemplo no registo de segurança:
Tipo de evento de auditoria com êxito
Origem do evento: Segurança
Acesso do serviço de directório Categoria do evento:
O ID de evento: 565
Data: 12 / 12 / 2001
Tempo: 5:52:53 PM
Utilizador: DOMAIN\adam
Computador: DC1
Descrição: objecto Abrir:
Objecto Server: DS
Objecto tipo: groupPolicyContainer
CN nome do objecto: = { 6AC1786C-016F-11 D 11D2-945F-00C04fB984F9 }, CN Políticas, cn = = System,DC = domínio, DC = com
Novo ID Handle: 0
Operação ID: { 0,63067624 }
Processar ID: 280
$ DC1 nome utilizador primário:
Domínio principal: Domain
ID de início de sessão primário: (0 x 0, 0x3E7)
Nome de utilizador do cliente: ADAM
DOMAIN: domínio do cliente
ID de início de sessão do cliente: (0 x 0, 0x3C255DB)
Os acessos de escrita de propriedades
Privilégios-
Propriedades:
Escrever % propriedades { 00000000-0000-0000-0000-000000000000 }
Número da versão
O campo " Nome de utilizador de cliente " na mensagem de evento anterior identifica a conta de utilizador que efectuou a alteração. O campo " Nome " Objecto identifica a política que foi alterada.

No exemplo anterior, o nome de política no Active Directory é:
CN = { 6AC1786C-016F-11 D 11D2-945F-00C04fB984F9 }, CN Políticas, cn = = System,DC = domínio, DC = com
Pode utilizar o comando Ldifde para resolver nomes de política para um formulário mais amigável, para que possa ter a certeza que o evento, na realidade, está relacionado com a política para o qual está a monitorizar as alterações:
POLICIES.LDF LDIFDE-F-D " CN Políticas, cn = = SYSTEM,DC = DOMAIN,DC = Com " OBJECTCLASS (DISPLAYNAME-R-L = GROUPPOLICYCONTAINER)
O ficheiro Policies.LDF identifica cada apólice e o respectivo nome amigável com um formato que seja semelhante ao:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Default Domain Policy

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Default Domain Controllers Policy
					
Para impedir que negação inadvertida de direita SeSecurityPrivilege para servidores do Exchange 2000 Enterprise, pode criar uma política personalizada para os controladores de domínio para implementar o direito SeSecurityPrivilege:
  1. Inicie o utilizadores do Active Directory e computadores Consola gestão Microsoft (MMC, Microsoft Management Console).
  2. Abra as propriedades do contentor ' controladores de domínio .
  3. Clique no separador de política de grupo e em seguida, clique em Novo Nome a nova política (por exemplo, " DOMAIN_NAME auditoria direitos ").
  4. Este passo é opcional.. Este passo faz a política carregam mais rapidamente. Clique com o botão direito do rato na nova política, clique em Propriedades e, em seguida, desactive a Configuração do utilizador .
  5. Clique na nova política, e em seguida, clique em Editar . Expanda Configuração do computador , expanda Definições do Windows , e em seguida, expanda Definições de segurança . Expanda Políticas locais , expanda Atribuição de direitos de utilizador , e configure todas as contas que requerem o direito SeSecurityPrivilege de.

    IMPORTANTE : All das definições que configuradas nesta política substituem as mesmas definições nas outras políticas, em vez da intercalação com os mesmos. Opções unconfigured ainda são aplicadas de outras políticas.
  6. Definir a nova política para uma prioridade mais alta a política predefinida do controlador de domínio. Se você não efectuar este procedimento, a política tem qualquer efeito porque a política predefinida configura a mesma definição.

Propriedades

Artigo: 314294 - Última revisão: 28 de fevereiro de 2007 - Revisão: 1.6
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kberrmsg kbprb KB314294 KbMtpt kbmt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Pedíamos-lhe o favor de preencher o formulário existente no fundo desta página caso tenha encontrado erros neste artigo e tenha possibilidade de colaborar no processo de aperfeiçoamento desta ferramenta. Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 314294

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com