XADM: Mensagens de erro do Exchange 2000 são geradas por causa de problemas com o direito SeSecurityPrivilege e com o Policytest

Traduções deste artigo Traduções deste artigo
ID do artigo: 314294 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Talvez você possa montar os bancos de dados do armazenamento de informações do Exchange 2000. Uma ou mais das seguintes mensagens de erro também podem ser registradas no log de eventos do Aplicativo:
Tipo de evento: Erro
Origem do evento: MSExchangeDSAccess
Categoria: (3)
Identificação do evento: 2102
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Processo MAD.EXE (PID=1088). Todos os servidores do controlador de domínio em uso não estão respondendo:
dc1.company.com
dc2.company.com
dc3.company.com
Tipo de evento: Erro
Origem do evento: MSExchangeSA
Categoria: (1)
Identificação do evento: 9004
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Não foi possível iniciar o serviço Metabase Update. Erro '80040a01'.
Tipo de evento: Erro
Origem do evento: MSExchangeSA
Categoria: (1)
Identificação do evento: 1005
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Erro inesperado. Ocorreu um erro inesperado. Nº da identificação: 80040a01 Microsoft Exchange System Attendant.
Tipo de evento: Erro
Origem do evento: MSExchangeMU
Categoria: (1)
Identificação do evento: 1002
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Falha ao iniciar o agente do Metabase Update. O código de erro é 80040a01.
Tipo de evento: Erro
Origem do evento: MSExchangeIS
Categoria: (6)
Identificação do evento: 9519
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Erro 0x80004005 ao iniciar o banco de dados "First Storage
Group\Mailbox Store(EXCHANGE1)" no Microsoft Exchange Information Store. Falha na configuração do MDB. O serviço Microsoft Exchange Information Store não pôde localizar o objeto especificado. Identificação número: c1041722
Tipo de evento: Erro
Origem do evento: MSExchangeMU
Categoria: Geral
Identificação do evento: 1029
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Falha ao replicar o descritor secundário para a metabase. Os usuários podem não conseguir ler ou gravar dados na metabase. O código do erro é 8000500d.
Tipo de evento: Erro
Origem do evento: MSExchangeSA
Categoria: RFR Interface
Identificação do evento: 9074
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: A interface do Directory Service Referral falhou em prestar serviço a solicitação de um cliente. RFRI está retornando o código de erro:[0x3f0].
Tipo de evento: Erro
Origem do evento: MSExchangeIS
Categoria: Geral
Identificação do evento: 1121
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Erro 0x80004005 ao se conectar ao Microsoft Active Directory.
Tipo de evento: Erro
Origem do evento: MSExchangeMTA
Categoria: Configuração
Identificação do evento: 125
Data: 1/1/2002
Hora: 00:00:00
Usuário: N/A
Computador: EXCHANGE1
Descrição: Ocorreu um erro fatal ao ler um valor do diretório. Nenhum nome MTA foi localizado. Entre em contato com o Suporte técnico Microsoft [MTA MAIN BASE 1 12] (16)

Causa

Este problema pode ocorrer se o direito Gerenciar auditoria e log de segurança (SeSecurityPrivilege) tiver sido removido do grupo local do domínio do Exchange Enterprise Servers em alguns ou em todos os controladores de domínio.

Quando o primeiro computador com o Exchange é instalado em um domínio, ou quando a Instalação do Exchange é executada com a opção /domainprep, o grupo Exchange Enterprise Servers recebe o direito SeSecurityPrivilege.

Se o direito SeSecurityPrivilege for removido posteriormente, os computadores com Exchange que usam controladores de domínio no domínio irão parar de funcionar, mas não imediatamente. Quando os intervalos de atualização de segurança do Kerberos expiram ou os serviço do Exchange são reiniciados em servidores específicos, os problemas se tornam evidentes.

Resolução

Para resolver esse problema, use o utilitário Policytest.exe para verificar o status do direito SeSecurityPrivilege em todos os controladores de domínio em um único domínio. O utilitário Policytest.exe está incluído no CD-ROM de instalação do Exchange 2000.

Para determinar se o servidor Exchange 2000 Enterprise possui ou não o direito SeSecurityPrivilege em um controlador de domínio:
  1. Faça logon no controlador de domínio como um administrador de domínio e inicie o console da Diretiva de segurança de controlador de domínio. (Por padrão, o console da Diretiva de segurança de controlador de domínio está localizado no menu Iniciar no grupo Ferramentas administrativas.)
  2. Expanda Configurações de segurança e Diretivas locais. Expanda Atribuições de direitos de usuário e abra as propriedades de Gerenciar auditoria e log de segurança.
Você pode conceder o direito SeSecurityPrivilege diretamente nos servidores Exchange 2000 Enterprise ou executar a instalação do Exchange 2000 novamente com a opção /domainprep para atribuir o direito SeSecurityPrivilege automaticamente.

Se executar Setup.exe com a opção /domainprep, você não irá interromper o serviço nos computadores com o Exchange existentes. Outra vantagem desse método é que ele verifica e restaura outros direitos padrão e participações em grupos que também podem ter sido alterados.

Se o grupo Exchange Enterprise Servers recebeu recentemente o direito SeSecurityPrivilege, essa alteração não terá efeito até que a diretiva de segurança seja atualizada no controlador de domínio. O tempo que leva para atualizar a diretiva de segurança depende da topologia e da configuração do domínio. Por padrão, a replicação da diretiva para outros controladores de domínio ocorre em cinco minutos e a aplicação da alteração da diretiva em mais cinco minutos.

Mesmo se um domínio específico não contiver computadores com o Exchange, os computadores com o Exchange em outros domínios poderão usar os controladores de domínio desse domínio. Se quiser que o Exchange 2000 seja capaz de executar pesquisas no catálogo global e fazer alterações no contêiner de configuração quando o Exchange usar esses controladores de domínio, execute as seguintes etapas para o domínio:
  1. A partir do CD-ROM de instalação do Exchange 2000, execute o programa de instalação com a opção /domainprep (Setup.exe /domainprep). Isso configura os grupos e direitos apropriados para comunicação do Exchange entre domínios.
  2. No Exchange System Administrator, crie um Recipient Update Service para o domínio. O Recipient Update Service para cada domínio é responsável por preencher o grupo local de domínio do Exchange Enterprise Servers com os grupos globais do Exchange Domain Servers de outros domínios. O Recipient Update Service também é responsável por outras tarefas.

Mais Informações

O grupo Exchange Enterprise Servers é um grupo local de domínio. Esse grupo oferece suporte à comunicação necessária entre domínios entre os computadores com o Exchange e entre o Exchange e o Active Directory. A participação do grupo Exchange Enterprise Servers deve incluir os grupos globais do Exchange Domain Servers de cada domínio no qual estão os computadores com o Exchange.

O direito SeSecurityPrivilege é necessário oferecer suporte a diversas funções de segurança do Exchange, incluindo a capacidade de informar às contas do Windows que estão sendo usadas para obter acesso às caixas de correio.

Por padrão, após a instalação de um domínio, a única conta com os direitos SeSecurityPrivilege é o grupo interno Administradores de cada domínio. Se você aplicar novamente o modelo Security.inf no domínio, o direito SeSecurityPrivilege será restaurado para o padrão. Essa não é a única maneira de remover os direitos do grupo Exchange Enterprise Servers. Outras ferramentas de auditoria e configuração de segurança podem redefinir a diretiva. Os administradores do Active Directory que seguem recomendações gerais de segurança também podem remover o grupo Exchange Enterprise Servers.

Se o direito SeSecurityPrivilege estiver sendo restaurado repetidamente e não for possível determinar porque isso ocorre, você poderá auditar as alterações na diretiva de segurança de controlador de domínio:
  1. Em cada controlador de domínio, altere as configurações e tamanho e de sobreposição para o Log de segurança o máximo necessário para oferecer suporte a quantidades maiores de informações de registro.

    AVISO: Se você desativar a opção Desligar o sistema imediatamente se não for possível o log de auditorias seguras na seção Opções de segurança da diretiva de controlador de domínio padrão, o controlador de domínio desligará imediatamente se o Log de segurança for preenchido totalmente.
  2. Inicie o console Diretiva de segurança de controladores de domínio.
  3. Expanda Diretivas locais, Diretiva de auditoria e ative o Sucesso da auditoria para Acesso ao diretório e Alterações de diretivas.
Após executar as etapas anteriores, mensagens de identificação de evento 608 (conta adicionada) e identificação de evento 609 (conta removida) serão registradas quando forem feitas alterações na diretiva para o controlador de domínio. A categoria das mensagens de identificação dos eventos 608 e 609 é Diretiva. A fonte dessas mensagens é Segurança. As mensagens de identificação de evento 608 são semelhantes às seguintes:
Tipo de evento: Auditoria com êxito
Origem do evento: Segurança
Categoria: Alteração de diretiva
Identificação do evento: 608
Data: 12/12/2001
Hora: 16:32:20
Usuário: NT AUTHORITY\SYSTEM
Computador: DC1
Descrição: Direito do usuário atribuído:
Direito do usuário: SeSecurityPrivilege
Atribuído a: DOMAIN\USER
Atribuído por:
Nome de Usuário: DC1$
Domínio: DOMÍNIO
ID do Logon: (0x0,0x3E7)
DICA: Em Visualizar eventos, clique com o botão direito do mouse no objeto Log de segurança. Clique em Exibir e procure "SeSecurityPrivilege" (sem as aspas) na caixa de diálogo Localizar.

Como o próprio sistema faz a alteração da diretiva, você não pode usar o registro Diretiva para determinar qual conta de usuário fez a alteração. Porém, o registro do Acesso ao serviço de diretório identifica a conta de usuário que fez a alteração.

Normalmente, uma alteração na diretiva de controlador de domínio resulta em um evento imediato no Acesso ao diretório no controlador de domínio no qual a alteração foi feita e, após alguns minutos, ocorre um evento de Alteração da diretiva. O segundo evento ocorre quando a diretiva é atualizada e aplicada no controlador de domínio. Assim que a diretiva replica para outros controladores de domínio, ela é atualizada e aplicada após alguns minutos e um evento de Alteração da diretiva também é registrado nesses servidores.

Após encontrar uma alteração nas configurações de SeSecurityPrivilege, procure novamente no Log de segurança por eventos do Acesso ao diretório que contenham um campo Usuário contendo um usuário diferente de SISTEMA ou uma conta SERVERNAME$, por exemplo:
Tipo de evento: Auditoria com êxito
Origem do evento: Segurança
Categoria: Directory Service Access
Identificação do evento: 565
Data: 12/12/2001
Hora: 17:52:53
Usuário: DOMAIN\adam
Computador: DC1
Descrição: Objeto aberto:
Servidor de objetos: DS
Tipo de Objeto: groupPolicyContainer
Nome do objeto: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
New Handle ID: 0
ID da operação: {0,63067624}
ID do processo: 280
Nome de usuário primário: DC1$
Domínio primário: DOMÍNIO
ID do logon primário: (0x0,0x3E7)
Nome de usuário cliente: adam
Domínio cliente: DOMÍNIO
ID de logon cliente: (0x0,0x3C255DB)
Propriedade de gravação de acessos
Privilégios -
Propriedades:
Propriedade de gravação %{00000000-0000-0000-0000-000000000000}
Número_da_versão
O campo "Nome de usuário do cliente" na mensagem de evento anterior identifica a conta de usuário que fez a alteração. O campo "Nome do objeto" identifica a diretiva alterada.

No exemplo anterior, o nome da diretiva no Active Directory é:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Você pode usar o comando LDIFDE para resolver os nomes da diretiva para uma forma mais amigável, de modo que possa ter certeza de que o evento está relacionado à diretiva da qual você está monitorando as alterações:
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
O arquivo Policies.ldf identifica cada diretiva e seu nome amigável em um formato semelhante ao seguinte:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
alterar_tipo: add
Nome_de_exibição: Diretiva padrão do domínio

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
alterar_tipo: add
Nome_de_exibição: Diretiva padrão de controladores de domínio
					
Para impedir uma negação inesperada do direito SeSecurityPrivilege nos servidores Exchange 2000 Enterprise, você pode criar uma diretiva personalizada para controladores de domínio para implementar o direito SeSecurityPrivilege:
  1. Inicie o Console de gerenciamento da Microsoft (MMC) dos Usuários e computadores do Active Directory
  2. Abra as propriedades do contêiner Controladores de domínio.
  3. Clique na guia Diretiva de grupo e em Novo. Dê um nome para a nova diretiva (por exemplo, "NOME_DO_DOMÍNIO Direitos de auditoria").
  4. Esta etapa é opcional. Essa etapa faz a diretiva ser carregada com mais rapidez. Clique com o botão direito do mouse na nova diretiva, clique em Propriedades e desabilite a Configuração do usuário.
  5. Clique na nova diretiva e em Editar. Expanda Configuração do computador, Configurações do Windows e Configurações de Segurança. Expanda Diretivas locais, Atribuições de direitos de usuário e configure todas as contas que precisam do direito SeSecurityPrivilege.

    IMPORTANTE: Todas as configurações definidas nessa diretiva substituem as mesmas configurações em outras diretivas, em vez de se mesclarem. Opções não configuradas ainda são aplicadas a partir de outras diretivas.
  6. Defina a nova diretiva para uma prioridade mais alta do que a diretiva padrão de controlador de domínio. Se não fizer isso, a diretiva não terá efeito, uma vez que a diretiva padrão define a mesma configuração.

Propriedades

ID do artigo: 314294 - Última revisão: terça-feira, 23 de maio de 2006 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kberrmsg kbprb KB314294

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com