XADM: Exchange 2000 ข้อผิดพลาดข้อความที่มีการสร้างขึ้นเนื่องจากความ SeSecurityPrivilege ขวาและปัญหา Policytest

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 314294 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

คุณอาจไม่สามารถไปยังฐานข้อมูลเก็บข้อมูลการกำหนดใช้ Exchange 2000 ข้อความแสดงข้อผิดพลาดต่อไปนี้อย่างน้อยหนึ่งอาจจะถูกบันทึกไว้ในแฟ้มบันทึกเหตุการณ์ของโปรแกรมประยุกต์:
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeDSAccess
ประเภทเหตุการณ์: (3)
รหัสเหตุการณ์: 2102
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
การประมวลผลคำอธิบาย: MAD.EXE (หมายเลขผลิตภัณฑ์ = 1088) เซิร์ฟเวอร์ตัวควบคุมโดเมนทั้งหมดใช้งานจะไม่ตอบสนอง:
dc1.company.com
dc2.company.com
dc3.company.com
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeSA
ประเภทเหตุการณ์: (1)
รหัสเหตุการณ์: 9004
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: บริการการปรับปรุง Metabase ล้มเหลวในการเริ่มต้น ข้อผิดพลาด '80040a01'
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeSA
ประเภทเหตุการณ์: (1)
รหัสเหตุการณ์: 1005
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: ข้อผิดพลาดที่ไม่คาดคิดมีข้อผิดพลาดที่ไม่รู้จักเกิดขึ้น ID ไม่: 80040a01 Attendant ระบบ Exchange Microsoft เกิดขึ้น
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeMU
ประเภทเหตุการณ์: (1)
รหัสเหตุการณ์: 1002
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: ผู้ทำหน้าที่ในการปรับปรุง Metabase ล้มเหลวในการเริ่มต้น รหัสข้อผิดพลาดคือ 80040a01
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeIS
ประเภทเหตุการณ์: (6)
รหัสเหตุการณ์: 9519
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: ข้อผิดพลาด 0x80004005 เริ่มต้นฐานข้อมูล "แรกเก็บ
Store(EXCHANGE1) Group\Mailbox "ในการเก็บข้อมูล Microsoft Exchange การกำหนดค่า MDB ล้มเหลว บริการที่เก็บข้อมูล Exchange Microsoft ไม่พบวัตถุที่ระบุ ไม่มีหมายเลข: c1041722
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeMU
ประเภทเหตุการณ์: ทั่วไป
รหัสเหตุการณ์: 1029
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: ไม่สามารถทำซ้ำตัวบอกเกี่ยวกับความปลอดภัยเพื่อ metabase นี้ ผู้ใช้อาจไม่สามารถอ่าน หรือเขียนข้อมูลไปยัง metabase รหัสข้อผิดพลาดคือ 8000500d
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeSA
ประเภทเหตุการณ์: อินเทอร์เฟซการ RFR
รหัสเหตุการณ์: 9074
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: อินเทอร์เฟซ Referral บริการไดเรกทอรีล้มเหลวในการให้บริการการร้องขอของไคลเอ็นต์ RFRI ถูกส่งกลับรหัสข้อผิดพลาด: [0x3f0]
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeIS
ประเภทเหตุการณ์: ทั่วไป
รหัสเหตุการณ์: 1121
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: ข้อผิดพลาด 0x80004005 เชื่อมต่อกับ Microsoft Active Directory
ชนิดเหตุการณ์: ข้อผิดพลาด
แหล่งที่มาของเหตุการณ์: MSExchangeMTA
ประเภทเหตุการณ์: การกำหนดค่า
รหัสเหตุการณ์: 125
วัน: 1/1/2002
เวลา: 12:00:00 น.
ผู้ใช้: n/a
คอมพิวเตอร์: EXCHANGE1
คำอธิบาย: มีข้อผิดพลาดร้ายแรงเกิดขึ้นการอ่านค่าจากไดเรกทอรี ตรวจพบไม่มีชื่อ MTA ติดต่อฝ่ายสนับสนุนทางเทคนิคของ Microsoft [mta หลักพื้นฐาน 1 12] (16)

สาเหตุ

ปัญหานี้อาจเกิดขึ้นหากการจัดการการตรวจสอบและการรักษาความปลอดภัยล็อกขวา (SeSecurityPrivilege) ถูกเอาออกสำหรับกลุ่มภายในโดเมน Exchange องค์กรเซิร์ฟเวอร์บนตัวควบคุมโดเมนที่ทั้งหมดหรือบางส่วน

เมื่อมีการติดตั้งคอมพิวเตอร์ Exchange แรกในโดเมน หรือ เมื่อเรียกใช้ด้วยการตั้งค่าการแลกเปลี่ยน/domainprepสวิตช์ กลุ่ม Exchange องค์กรเซิร์ฟเวอร์ถูกกำหนดขวา SeSecurityPrivilege

ถ้า SeSecurityPrivilege ขวาจะถูกเอาออก ในภายหลัง Exchange คอมพิวเตอร์โดเมนที่ใช้งานที่ตัวควบคุมในโดเมนหยุดการทำงาน แต่ไม่ทันที เมื่อมีการรักษาความปลอดภัย Kerberos ฟื้นฟู ช่วงการหมดอายุ หรือบริการ Exchange จะเริ่มระบบใหม่บนเซิร์ฟเวอร์เฉพาะ กลาย evident การตัดสินค้าจากคลัง

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ใช้อรรถประโยชน์ Policytest.exe เพื่อตรวจสอบสถานะของ SeSecurityPrivilege ขวาบนตัวควบคุมโดเมนในโดเมนเดียวทั้งหมด โปรแกรมอรรถประโยชน์ Policytest.exe จะรวมอยู่ใน Exchange 2000 ติดตั้งซีดีรอม

เมื่อต้องการกำหนดหรือไม่เซิร์ฟเวอร์ Exchange 2000 องค์กรได้ SeSecurityPrivilege ด้านขวาบนตัวควบคุมโดเมน:
  1. เข้าสู่ระบบโดเมนคอนโทรลเลอร์เป็นผู้ดูแลโดเมน และจะ เริ่มต้นส่วนควบคุมของนโยบายการรักษาความปลอดภัยของตัวควบคุมโดเมน (โดยค่าเริ่มต้น คอนโซลนโยบายความปลอดภัยของตัวควบคุมโดเมนอยู่ในนั้นเริ่มการทำงานเมนูในนั้นเครื่องมือการดูแลระบบกลุ่ม)
  2. ขยายการตั้งค่าการรักษาความปลอดภัยแล้ว ขยายนโยบายท้องถิ่น. ขยายการกำหนดสิทธิ์ของผู้ใช้แล้ว เปิดคุณสมบัติของจัดการการตรวจสอบ และการรักษาความปลอดภัยระบบ.
คุณสามารถให้สิทธิ์ขวา SeSecurityPrivilege โดยตรงกับเซิร์ฟเวอร์ Exchange 2000 องค์กร หรือคุณสามารถรันการแลกเปลี่ยนการตั้งค่า 2000 อีกด้วย/domainprepสลับการให้สิทธิการ SeSecurityPrivilege ด้านขวาโดยอัตโนมัติ

ถ้าคุณมีชื่อเป็น Setup.exe ด้วย/domainprepสวิตช์ คุณไม่ยุติบริการบนคอมพิวเตอร์การแลกเปลี่ยนที่มีอยู่ ประโยชน์อื่น ๆ ของวิธีนี้เป็นที่จะตรวจสอบ และสิทธิ์ในการเริ่มต้นและสมาชิกของกลุ่มที่อาจจะมีการเปลี่ยนแปลงอื่น ๆ ของการตั้งค่าใหม่

ถ้ากลุ่มเซิร์ฟเวอร์องค์กรการแลกเปลี่ยนเมื่อเร็ว ๆ นี้ได้รับขวา SeSecurityPrivilege การเปลี่ยนแปลงที่ไม่มีผลจนกว่าจะมีฟื้นฟูนโยบายความปลอดภัยบนตัวควบคุมโดเมน เวลาที่ใช้ในการฟื้นฟูนโยบายความปลอดภัยขึ้นอยู่กับโทโพโลยีของโดเมนและการตั้งค่าคอนฟิก โดยค่าเริ่มต้น นโยบายการจำลองแบบไปยังตัวควบคุมโดเมนอื่น ๆ เกิดขึ้นภายในห้านาที และแอพลิเคชันของการเปลี่ยนแปลงนโยบายภายในห้านาทีอื่น

แม้ว่าโดเมนเฉพาะไม่ประกอบด้วยเครื่องคอมพิวเตอร์ใด ๆ Exchange, Exchange คอมพิวเตอร์ในโดเมนอื่น ๆ อาจใช้ตัวควบคุมโดเมนของโดเมนนั้น ถ้าคุณต้องการให้ Exchange 2000 เพื่อให้สามารถทำการค้นหาแค็ตตาล็อกส่วนกลาง และทำการเปลี่ยนการกำหนดค่าคอนเทนเนอร์แปลงเมื่อ Exchange ใช้เหล่านี้การตัวควบคุมโดเมน ต้องการทำตามขั้นตอนเหล่านี้ในโดเมน:
  1. จากการติดตั้ง Exchange 2000 ซีดีรอม เรียกใช้โปรแกรมติดตั้งด้วยการ/domainprepสวิตช์ (มีชื่อเป็น Setup.exe /domainprep) กำหนดค่ากลุ่มที่เหมาะสมและสิทธิ์สำหรับการสื่อสาร Exchange ข้ามโดเมน
  2. In Exchange System Administrator, create a Recipient Update Service for the domain. The Recipient Update Service for each domain is responsible for populating the Exchange Enterprise Servers domain local group with Exchange Domain Servers global groups from other domains. The Recipient Update Service is also responsible for other tasks.

ข้อมูลเพิ่มเติม

The Exchange Enterprise Servers group is a domain local group. This group supports necessary cross-domain communication between Exchange computers and between Exchange and Active Directory. The membership of the Exchange Enterprise Servers group must include the Exchange Domain Servers global groups from each domain in which Exchange computers exist.

The SeSecurityPrivilege right is required to support various Exchange security functions, including the ability to report which Windows accounts are being used to gain access to mailboxes.

By default, after a domain is installed, the only account with SeSecurityPrivilege rights is the built-in Administrators group for each domain. If you reapply the Security.inf template to the domain, the SeSecurityPrivilege right is reset to its default. This is not the only way that the Exchange Enterprise Servers group might have its rights removed. Other security auditing and configuration tools may reset the policy. Active Directory administrators who are following general security recommendations may also remove the Exchange Enterprise Servers group.

If the SeSecurityPrivilege right is being reset repeatedly, and you cannot determine why this occurs, you can audit changes to domain controller security policy:
  1. On each domain controller, change the size and rollover settings for the Security log as much as necessary to support increased amounts of logging information.

    คำเตือน: If you turn on theปิดระบบทันทีหากไม่สามารถล็อกการรักษาความปลอดภัย auditsตัวเลือกในการตัวเลือกการรักษาความปลอดภัยส่วนของนโยบายของควบคุมโดเมนเริ่มต้น ตัวควบคุมโดเมนปิดทันทีถ้าล็อกการรักษาความปลอดภัยกรอกข้อมูลอัพ
  2. เริ่มต้นส่วนควบคุมของนโยบายการรักษาความปลอดภัยของตัวควบคุมโดเมน
  3. ขยายนโยบายท้องถิ่นขยายนโยบายการตรวจสอบแล้ว เปิดความสำเร็จการตรวจสอบสำหรับการเข้าถึงไดเรกทอรีและการเปลี่ยนแปลงนโยบาย.
หลังจากที่คุณทำตามขั้นตอนก่อนหน้า เหตุการณ์ ID เหตุการณ์ 609 ID (บัญชีที่ถูกเอาออก) และข้อความ (บัญชีที่เพิ่ม) 608 ข้อความถูกบันทึกไว้เมื่อมีการเปลี่ยนแปลงนโยบายเกิดขึ้นกับตัวควบคุมโดเมน ประเภทของเหตุการณ์ ID 608 และข้อความเหตุการณ์ 609 รหัสเหล่านี้คือ นโยบาย แหล่งที่มาของข้อความเหล่านี้มีการรักษาความปลอดภัย ข้อความเหตุการณ์ ID 608 ไม่เหมือนกับ:
ชนิดเหตุการณ์: การตรวจสอบสำเร็จ
แหล่งที่มาของเหตุการณ์: ความปลอดภัย
ประเภทเหตุการณ์: การเปลี่ยนแปลงนโยบาย
รหัสเหตุการณ์: 608
วัน: 12/12/2001
เวลา: 4:32:20 PM
ผู้ใช้: AUTHORITY\SYSTEM NT
คอมพิวเตอร์: DC1
คำอธิบาย: ผู้ใช้ที่ได้กำหนดทางขวา:
ด้านขวาของผู้ใช้: SeSecurityPrivilege
มอบหมายให้: DOMAIN\USER
กำหนดโดย:
ชื่อผู้ใช้: $ DC1
โดเมน: โดเมน
หมายเลขการเข้าสู่ระบบ: (0x0, 0x3E7)
เคล็ดลับ: ใน Event Viewer คลิกขวาล็อกการรักษาความปลอดภัยวัตถุ คลิกมุมมองแล้ว ค้นหาคำว่า "SeSecurityPrivilege" (โดยไม่ใส่เครื่องหมายอัญประกาศ) ในการค้นหากล่องโต้ตอบ

เนื่องจากนโยบายการเปลี่ยนแปลงการทำให้ระบบตัวเอง คุณไม่สามารถใช้นโยบายการบันทึกการตรวจสอบว่าบัญชีผู้ใช้ทำการเปลี่ยนแปลง แต่การบันทึกการเข้าถึงบริการไดเรกทอรีที่ระบุบัญชีผู้ใช้ที่ทำการเปลี่ยนแปลง

โดยทั่วไป การเปลี่ยนแปลงนโยบายผลลัพธ์ของตัวควบคุมโดเมนในเหตุการณ์การเข้าถึงไดเรกทอรีทันทีบนตัวควบคุมโดเมนที่ทำการเปลี่ยนแปลง ตามหลายนาทีในภายหลัง โดยเหตุการณ์ที่เปลี่ยนแปลงนโยบาย เหตุการณ์ที่สองเกิดขึ้นเมื่อนโยบายเป็นจริงฟื้นฟู และใช้ในตัวควบคุมโดเมน นโยบาย replicates กับตัวควบคุมโดเมนอื่น ฟื้นฟู และนำไปใช้หลังจากหลายนาที และเหตุการณ์การเปลี่ยนแปลงนโยบายถูกบันทึกบนเซิร์ฟเวอร์เหล่านั้น

หลังจากที่คุณพบการเปลี่ยนแปลงการตั้งค่า SeSecurityPrivilege ค้นหากลับไปยังล็อกการรักษาความปลอดภัยสำหรับเหตุการณ์การเข้าถึงไดเรกทอรีที่ประกอบด้วยเขตข้อมูลผู้ใช้ที่ประกอบด้วยผู้ใช้อื่นนอกเหนือจากระบบหรือบัญชี$ SERVERNAME ตัวอย่างเช่น:
ชนิดเหตุการณ์: การตรวจสอบสำเร็จ
แหล่งที่มาของเหตุการณ์: ความปลอดภัย
ประเภทเหตุการณ์: การเข้าถึงบริการไดเรกตอรี
รหัสเหตุการณ์: 565
วัน: 12/12/2001
เวลา: 5:52:53 PM
ผู้ใช้: DOMAIN\adam
คอมพิวเตอร์: DC1
คำอธิบาย: วัตถุเปิด:
วัตถุเซิร์ฟเวอร์: DS
วัตถุชนิด: groupPolicyContainer
ชื่อวัตถุ: CN = {6AC1786C-016F-11 D 2-945F-00C04fB984F9 }, CN =นโยบาย CN =ระบบ DC =โดเมน DC = com
รหัสการจัดการใหม่: 0
หมายเลขการดำเนินการ: { 0,63067624 }
การประมวลผลหมายเลข: 280
ชื่อหลักของผู้ใช้: $ DC1
โดเมนหลัก: โดเมน
หมายเลขการเข้าสู่ระบบหลัก: (0x0, 0x3E7)
ชื่อผู้ใช้ของไคลเอนต์: adam
โดเมนของไคลเอนต์: โดเมน
หมายเลขการเข้าสู่ระบบของไคลเอนต์: (0x0, 0x3C255DB)
accesses เขียนคุณสมบัติ
สิทธิ์-
คุณสมบัติ:
เขียนคุณสมบัติ% {00000000-0000-0000-0000-000000000000 }
versionNumber
ฟิลด์ "ชื่อผู้ใช้ของไคลเอนต์" ที่อยู่ในข้อความแสดงเหตุการณ์ก่อนหน้านี้ระบุบัญชีผู้ใช้ที่ทำการเปลี่ยนแปลง ฟิลด์ "วัตถุชื่อ" ระบุนโยบายที่ถูกเปลี่ยนแปลง

ในตัวอย่างก่อนหน้านี้ ชื่อนโยบายใน Active Directory คือ:
CN = {6AC1786C-016F-11 D 2-945F-00C04fB984F9 }, CN =นโยบาย CN =ระบบ DC =โดเมน DC = com
คุณสามารถใช้ได้ldifdeคำสั่งเพื่อแก้ไขนโยบายชื่อฟอร์มที่เรียกง่ายมาก ดังนั้นคุณจะแน่ใจว่า เหตุการณ์จริงเกี่ยวข้องกับนโยบายที่คุณกำลังติดตามการเปลี่ยนแปลง:
ldifde -f policies.ldf -d " cn =นโยบาย cn =ระบบ dc =โดเมน dc = com " displayname -r -l (objectclass = grouppolicycontainer)
The Policies.ldf file identifies each policy and its friendly name in a format that is similar to:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Default Domain Policy

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype: add
displayName: Default Domain Controllers Policy
					
To prevent inadvertent denial of the SeSecurityPrivilege right to Exchange 2000 Enterprise servers, you can create a custom policy for domain controllers to implement the SeSecurityPrivilege right:
  1. Start the Active Directory Users and Computers Microsoft Management Console (MMC).
  2. Open the properties of theDomain Controllersคอนเทนเนอร์
  3. คลิกการนโยบายกลุ่มแท็บ แล้วคลิกใหม่. Name the new policy (for example, "DOMAIN_NAME Auditing Rights").
  4. This step is optional. This step makes the policy load faster. Right-click the new policy, clickคุณสมบัติ, and then disable theการกำหนดค่าผู้ใช้.
  5. Click the new policy, and then clickแก้ไข. ขยายการกำหนดค่าคอมพิวเตอร์ขยายการตั้งค่า windowsแล้ว ขยายการตั้งค่าการรักษาความปลอดภัย. ขยายนโยบายท้องถิ่นขยายการกำหนดสิทธิ์ของผู้ใช้, and then configure all of the accounts that require the SeSecurityPrivilege right.

    สิ่งสำคัญ: All of the settings that you configure in this policy replace the same settings in other policies, instead of merging with them. Unconfigured options are still applied from other policies.
  6. Set the new policy to a higher priority than the default domain controller's policy. If you do not do so, the policy has no effect because the default policy configures the same setting.

คุณสมบัติ

หมายเลขบทความ (Article ID): 314294 - รีวิวครั้งสุดท้าย: 10 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Exchange 2000 Server Standard Edition
Keywords: 
kberrmsg kbprb kbmt KB314294 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:314294

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com