XADM:由于 SeSecurityPrivilege 权限和策略测试存在问题而产生 Exchange 2000 错误信息

文章翻译 文章翻译
文章编号: 314294 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

您可能无法装入 Exchange 2000 信息存储数据库。在“应用程序”事件日志中,还可能会记录以下一条或多条错误信息:
Event Type: Error
Event Source: MSExchangeDSAccess
Event Category: (3)
Event ID: 2102
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:Process MAD.EXE (PID=1088).All Domain Controller Servers in use are not responding:
dc1.company.com
dc2.company.com
dc3.company.com
Event Type: Error
Event Source: MSExchangeSA
Event Category: (1)
Event ID: 9004
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:The Metabase Update service failed to start, error '80040a01'.
Event Type: Error
Event Source: MSExchangeSA
Event Category: (1)
Event ID: 1005
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:Unexpected error An unknown error has occurred.ID no:80040a01 Microsoft Exchange System Attendant occurred.
Event Type: Error
Event Source: MSExchangeMU
Event Category: (1)
Event ID: 1002
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:Metabase Update agent failed to start.Error code is 80040a01.
Event Type:Error
Event Source:MSExchangeIS
Event Category: (6)
Event ID: 9519
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:Error 0x80004005 starting database "First Storage
Group\Mailbox Store(EXCHANGE1)" on the Microsoft Exchange Information Store.Failed to configure MDB.The Microsoft Exchange Information Store service could not find the specified object.ID no:c1041722
Event Type: Error
Event Source: MSExchangeMU
Event Category: General
Event ID: 1029
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer:EXCHANGE1
Description:Failed to replicate the security descriptor to the metabase.Users may not be able to read or write data to the metabase.Error code is 8000500d.
Event Type: Error
Event Source: MSExchangeSA
Event Category: RFR Interface
Event ID: 9074
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:The Directory Service Referral interface failed to service a client request.RFRI is returning the error code:[0x3f0].
Event Type: Error
Event Source: MSExchangeIS
Event Category: General
Event ID: 1121
Date: 1/1/2002
Time: 12:00:00 AM
User: N/A
Computer: EXCHANGE1
Description:Error 0x80004005 connecting to the Microsoft Active Directory.
Event Type:Error
Event Source:MSExchangeMTA
Event Category:Configuration
Event ID: 125
Date: 1/1/2002
Time:12:00:00 AM
User:N/A
Computer:EXCHANGE1
Description:A fatal error occurred reading a value from the directory.No MTA name was found.Contact Microsoft Technical Support.[MTA MAIN BASE 1 12] (16)

原因

如果为某些或全部域控制器上的“Exchange 企业服务器”域本地组删除了“管理审核和安全日志”权限 (SeSecurityPrivilege),则可能会发生此问题。

在域中安装第一台 Exchange 计算机时,或者当使用 /domainprep 开关运行 Exchange 安装程序时,会授予“Exchange 企业服务器”组 SeSecurityPrivilege 权限。

如果随后删除了 SeSecurityPrivilege 权限,则该域中使用域控制器的 Exchange 计算机会停止工作(但不是立即停止)。当 Kerberos 安全刷新间隔到期或者在特定服务器上重新启动 Exchange 服务时,这些问题就会变得很明显。

解决方案

要解决这个问题,请使用 Policytest.exe 实用工具检查一个域中所有域控制器上的 SeSecurityPrivilege 权限的状态。Policytest.exe 实用工具随附在 Exchange 2000 安装 CD-ROM 中。

确定 Exchange 2000 企业服务器是否对域控制器拥有 SeSecurityPrivilege 权限:
  1. 以域管理员身份登录到域控制器,然后启动“域控制器安全策略”控制台。(默认情况下,“域控制器安全策略”控制台位于开始菜单的管理工具组中。)
  2. 展开安全设置,然后展开本地策略。展开用户权限分配,然后打开“管理审核和安全日志”的属性。
您可以将 SeSecurityPrivilege 权限直接授予 Exchange 2000 企业服务器,也可以使用 /domainprep 开关再次运行 Exchange 2000 安装程序,以自动授予 SeSecurityPrivilege 权限。

如果您使用 /domainprep 开关运行 Setup.exe,则不会中断现有 Exchange 计算机上的服务。此方法的另一好处在于,它会检查和重置也可能已经发生更改的其他默认权限和组成员资格。

如果“Exchange 企业服务器”组最近被授予了 SeSecurityPrivilege 权限,则在域控制器上刷新安全策略之前,该更改不会生效。刷新安全策略所用的时间取决于域拓扑和配置。默认情况下,向其他域控制器进行的策略复制在五分钟内发生,而策略更改将在随后的另一个五分钟内应用。

即使某个特定域不包含 Exchange 计算机,其他域中的 Exchange 计算机也可以使用该域的域控制器。如果您希望 Exchange 2000 能够执行全局编录查找,并在 Exchange 使用这些域控制器时更改“配置”容器,请针对该域执行以下步骤:
  1. 从 Exchange 2000 安装 CD-ROM 中,使用 /domainprep 开关运行安装程序 (Setup.exe /domainprep)。这将为跨域的 Exchange 通讯配置适当的组和权限。
  2. 在 Exchange 系统管理器中,为域创建“收件人更新服务”。每个域的“收件人更新服务”负责用其他域中的“Exchange 域服务器”全局组填充“Exchange 企业服务器”域本地组。“收件人更新服务”还负责其他任务。

更多信息

“Exchange 企业服务器”组是域本地组。这个组支持 Exchange 计算机之间以及 Exchange 和 Active Directory 之间必要的跨域通讯。“Exchange 企业服务器”组的成员必须包括 Exchange 计算机所在的每个域中的“Exchange 域服务器”全局组。

SeSecurityPrivilege 权限对于支持各种 Exchange 安全功能(包括报告正在使用哪个 Windows 帐户访问邮箱的能力)是必需的。

默认情况下,在安装域以后,只有具有 SeSecurityPrivilege 权限的帐户才是各个域的内置“管理员”组。如果您将 Security.inf 模板重新应用到域,则会将 SeSecurityPrivilege 权限重置为它的默认值。这并不是“Exchange 企业服务器”组删除它自已的权限的唯一方法。其他安全审核和配置工具可以重置策略。接受常规安全建议的 Active Directory 管理员也可以删除“Exchange 企业服务器”组。

如果 SeSecurityPrivilege 权限被反复重置,并且您无法确定为什么会发生这种情况,则可以审核对域控制器安全策略所做的更改:
  1. 在每个域控制器上,根据支持增加的日志信息数量的需要,更改“安全”日志的大小和滚动设置。

    警告:如果您在默认域控制器的策略的安全选项部分启用了“Shut down system immediately if unable to log security audits”(如果无法记录安全审核则立即关闭系统)选项,则当“安全”日志填写满时,域控制器会立即关闭。
  2. 启动“域控制器安全策略”控制台。
  3. 展开本地策略,展开审核策略,然后为目录访问和策略更改打开成功审核。
完成前面的步骤后,当对域控制器进行策略更改时,会记录事件 ID 608(帐户被添加)消息和事件 ID 609(帐户被删除)消息。这些事件 ID 608 和事件 ID 609 消息的类别是“策略”。这些消息的源是“安全”。事件 ID 608 消息类似于:
Event Type: Success Audit
Event Source: Security
Event Category: Policy Change
Event ID: 608
Date: 12/12/2001
Time: 4:32:20 PM
User: NT AUTHORITY\SYSTEM
Computer: DC1
Description:User Right Assigned:
User Right: SeSecurityPrivilege
Assigned To: DOMAIN\USER
Assigned By:
User Name: DC1$
Domain: DOMAIN
Logon ID: (0x0,0x3E7)
提示:在事件查看器中,用鼠标右键单击安全日志对象。单击视图,然后在查找对话框中搜索字词“SeSecurityPrivilege”(不带引号)。

因为系统本身会进行策略更改,所以您无法使用“策略”日志来确定哪个用户帐户进行了更改。但是“目录服务访问”日志会标识进行更改的用户帐户。

通常情况下,更改域控制器策略会导致在进行更改的域控制器上立即发生“目录访问”事件,几分钟后还将发生“策略更改”事件。当策略实际刷新并在域控制器上应用时,会发生第二个事件。由于策略复制到其他域控制器,所以它会在几分钟后刷新并应用,并且还会在这些服务器上记录“策略更改”事件。

发现对 SeSecurityPrivilege 设置所做的更改以后,请在“安全”日志中向后搜索包含特定 User 字段(该字段包含除“系统”或 SERVERNAME$ 帐户以外的用户)的“目录访问”事件,例如:
Event Type: Success Audit
Event Source: Security
Event Category: Directory Service Access
Event ID: 565
Date: 12/12/2001
Time: 5:52:53 PM
User: DOMAIN\adam
Computer: DC1
Description:Object Open:
Object Server: DS
Object Type: groupPolicyContainer
Object Name:CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
New Handle ID: 0
Operation ID: {0,63067624}
Process ID: 280
Primary User Name: DC1$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: adam
Client Domain: DOMAIN
Client Logon ID: (0x0,0x3C255DB)
Accesses Write Property
Privileges -
Properties:
Write Property %{00000000-0000-0000-0000-000000000000}
versionNumber
前面事件消息中的“Client User Name”字段标识进行更改的用户帐户。“Object Name”字段标识发生了更改的策略。

在前面的示例中,Active Directory 中的策略名称是:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
您可以使用 LDIFDE 命令将策略名称解析为更加友好的格式,以便可以确保事件与您要监视其更改的策略实际相关:
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
Policies.ldf 文件使用与下面类似的格式来标识各个策略及其友好名称:
dn:CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype:add
displayName:Default Domain Policy

dn:CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype:add
displayName:Default Domain Controllers Policy
					
要防止无意中拒绝授予 Exchange 2000 企业服务器 SeSecurityPrivilege 权限,您可以为域控制器创建自定义策略以实现 SeSecurityPrivilege 权限:
  1. 启动 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC)。
  2. 打开域控制器容器的属性。
  3. 单击组策略选项卡,然后单击新建。命名新策略(例如,“DOMAIN_NAME Auditing Rights”)。
  4. 这一步可选。这一步可使策略更加快速地加载。用鼠标右键单击新策略,单击属性,然后禁用用户配置
  5. 单击新策略,然后单击编辑。展开计算机配置,展开 Windows 设置,然后展开安全设置。展开本地策略,展开用户权限分配,然后配置需要 SeSecurityPrivilege 权限的所有帐户。

    重要说明:在此策略中配置的所有设置会替换其他策略中的相同设置,而不会与它们进行合并。未配置的选项仍从其他策略中应用。
  6. 应将新策略的优先级设置得比默认域控制器的策略高。如果您不这样做,该策略将没有效果(因为默认策略配置了相同设置)。

属性

文章编号: 314294 - 最后修改: 2003年8月6日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Exchange 2000 Server 标准版
关键字:?
kberrmsg kbprb KB314294
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com