XADM:Exchange 2000 因為 SeSecurityPrivilege 權限和 Policytest 問題而產生錯誤訊息

文章翻譯 文章翻譯
文章編號: 314294 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

您可能無法裝載 Exchange 2000 資訊儲存資料庫。 應用程式事件日誌中可能還會記載下列一或多個錯誤訊息:
事件類型: 錯誤
事件來源: MSExchangeDSAccess
事件類別: (3)
事件 ID: 2102
日期: 1/1/2002
時間: 12:00:00 AM
使用者:N/A
電腦: EXCHANGE1
說明: 處理 MAD.EXE (PID=1088)。 使用中的網域控制站伺服器都不回應:
dc1.company.com
dc2.company.com
dc3.company.com
事件類型: 錯誤
事件來源: MSExchangeSA
事件類別: (1)
事件 ID: 9004
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: Metabase Update 服務無法啟動,錯誤 '80040a01'。
事件類型: 錯誤
事件來源: MSExchangeSA
事件類別: (1)
事件 ID: 1005
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: 意外錯誤 發生不明錯誤。識別碼: 80040a01 發生 Microsoft Exchange System Attendant。
事件類別: 錯誤
事件來源: MSExchangeMU
事件類別: (1)
事件 ID: 1002
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: Metabase Update 代理無法啟動。 錯誤碼是 80040a01。
事件類型:錯誤
事件來源:MSExchangeIS
事件類別:(6)
事件 ID:9519
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: 啟動 Microsoft Exchange Information Store 上的資料庫 "First Storage
Group\Mailbox Store(EXCHANGE1)" 時發生錯誤 0x80004005。 無法設定 MDB。 Microsoft Exchange 資訊存放服務找不到指定物件。 識別碼:c1041722
事件類型: 錯誤
事件來源: MSExchangeMU
事件類別: 一般
事件 ID: 1029
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: 無法將安全性描述元複寫到 Metabase。 使用者可能無法在 Metabase 上讀取或寫入資料。 錯誤碼是 8000500d。
事件類型: 錯誤
事件來源: MSExchangeSA
事件類別: RFR 介面
事件 ID: 9074
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: 「目錄服務轉介」(Directory Service Referral) 介面無法服務用戶端要求。 RFRI 傳回錯誤碼:[0x3f0]。
事件類型: 錯誤
事件來源: MSExchangeIS
事件類別: 一般
事件 ID: 1121
日期: 1/1/2002
時間: 12:00:00 AM
使用者: N/A
電腦: EXCHANGE1
說明: 連接至 Microsoft Active Directory 時發生錯誤 0x80004005。
事件類型:錯誤
事件來源:MSExchangeMTA
事件類別:設定
事件 ID:125
日期:1/1/2002
時間: 12:00:00 AM
使用者:N/A
電腦: EXCHANGE1
說明: 讀取目錄值時發生嚴重錯誤。 找不到 MTA 名稱。聯絡 Microsoft 技術支援。 [MTA MAIN BASE 1 12] (16)

發生的原因

如果將某些或所有網域控制站的 Exchange Enterprise Servers 網域本機群組的 「管理稽核和安全性記錄檔」權限 (SeSecurityPrivilege) 移除,可能發生這個問題。

網域安裝第一台 Exchange 電腦或執行 Exchange Setup 搭配 /domainprep 參數時,Exchange Enterprise Servers 群組會獲得 SeSecurityPrivilege 權限。

如果稍後移除 SeSecurityPrivilege 權限,在網域中使用網域控制站的 Exchange 電腦會停止運作,但並不是立即停止。 Kerberos 安全性重新整理間隔到期或特殊伺服器重新啟動 Exchange 服務時,這個問題會更為明顯。

解決方案

如果要解決這個問題,您可以在單一網域上使用 Policytest.exe 公用程式檢查所有網域控制站的 SeSecurityPrivilege 權限狀態。 Policytest.exe 公用程式在 Exchange 2000 安裝光碟片中。

如果要知道 Exchange 2000 Enterprise 伺服器有無網域控制站的 SeSecurityPrivilege 權限:
  1. 請以網域管理員的身份登入網域控制站,並且啟動 [網域控制站安全性原則] 主控台 ([網域控制站安全性原則] 主控台的預設位置在 [系統管理工具] 群組的 [啟動] 功能表中)。
  2. 依序展開 [安全性設定][本機原則]。 展開 [使用者權限指派],開啟 [管理稽核和安全性記錄檔] 的內容。
您可以直接將 SeSecurityPrivilege 權限授與 Exchange 2000 Enterprise Servers,或是再執行 Exchange 2000 Setup 搭配 /domainprep 參數自動授與 SeSecurityPrivilege 權限。

執行 Setup.exe 時搭配 /domainprep 參數,不會中斷現有 Exchange 電腦上的服務。 這個方法的另一個優點是會檢查及重新設定其他也可能變更的預設權限和群組成員。

如果 Exchange Enterprise Servers 群組最近才獲得 SeSecurityPrivilege 權限,則必須等到網域控制站重新整理安全性原則後,變更內容才會生效。 網域拓蹼及設定,決定安全性原則的重新整理時間。 依預設,原則會在 5 分鐘內複寫至其他網域控制站,且原則的變更內容會在下一個 5 分鐘內生效。

即使某個特殊網域沒有 Exchange 電腦,其他網域的 Exchange 電腦仍能使用該網域的網域控制站。 如果要 Exchange 2000 能夠查詢通用類別目錄,並且能夠在 Exchange 使用這些網域控制站時變更 [設定] 容器,請對網域執行下列步驟:
  1. 從 Exchange 2000 安裝光碟片執行 Setup 程式,並且搭配 /domainprep 參數 (Setup.exe /domainprep)。 這可為跨網域 Exchange 通訊設定適當的群組及權限。
  2. 在 Exchange System Administrator 中,建立網域的「收件者更新服務」。 每一個網域的「收件者更新服務」會使用其他網域的 Exchange Domain Servers 全域群組,來負責填寫 Exchange Enterprise Servers 網域本機群組。 「收件者更新服務」也處理其他工作。

其他相關資訊

Exchange Enterprise Servers 群組是網域本機群組。 這個群組在支援 Exchange 電腦之間和 Exchange 及 Active Directory 之間必要的跨網域通訊。 Exchange Enterprise Server 群組的成員必須包括每個網域的 Exchange Domain Servers 全域群組 (其中有 Exchange 電腦)。

您必須具備 SeSecurityPrivilege 權限才能支援各種 Exchange 安全性功能,包含使用哪些 Windows 帳戶來存取信箱的報告功能。

依預設,安裝網域後,每一個網域的 Administrators 群組才有內建 SeSecurityPrivilege 權限。 如果網域重新套用 Security.inf 範本,SeSecurityPrivilege 權限會重新設定為預設值。 Exchange Enterprise Servers 群組還有其他移除權限的方法。 其他安全性稽核及設定工具,也能重新設定原則。 遵循一般安全性建議的 Active Directory 管理者,也能移除 Exchange Enterprise Servers 群組。

如果 SeSecurityPrivilege 權限經常重新設定但您不知道原因,您可以稽核網域控制站安全性原則的變更內容:
  1. 在每一個網域控制站上視需要盡量變更安全性記錄檔的大小和換用設定,支援記錄資訊的增加數量。

    警告: 如果您在預設網域控制站原則的 [安全性選項] 區段中開啟 [當無法記錄安全性稽核時,系統立即關機] 選項,網域控制站會在安全性記錄檔填滿時立即關機。
  2. 啟動 [網域控制站安全性原則] 主控台。
  3. 依序展開 [本機原則][稽核原則],再開啟 [目錄存取和原則變更][成功] 稽核原則。
執行上述步驟後,每次變更網域控制站的原則時,就會記載事件 ID 608 (新增帳戶) 訊息及事件 609 (移除帳戶) 訊息。 這些事件 ID 608 和事件 ID 609 訊息的類別是「原則」。 這些訊息的來源是「安全性」。 事件 ID 608 訊息類似於:
事件類型:成功稽核
事件來源: 安全性
事件類別: 原則變更
事件 ID: 608
日期: 12/12/2001
時間: 4:32:20 PM
使用者:NT AUTHORITY\SYSTEM
電腦: DC1
說明: 指派了使用者權力:
使用者權力: SeSecurityPrivilege
指派給: DOMAIN\USER
指派者:
使用者名稱: DC1$
網域: DOMAIN
登入識別碼: (0x0,0x3E7)
秘訣: 在事件檢視器上以滑鼠右鍵按一下 [安全性記錄檔] 物件。 按一下 [檢視],在 [尋找] 對話方塊中搜尋 SeSecurityPrivilege (不加引號) 一字。

系統本身會變更原則,因此您不能用原則記錄來判斷變更的使用者帳戶。 「目錄服務存取」記錄會識別變更的使用者帳戶。

通常變更網域控制站原則時,變更的網域控制站會立即產生「目錄存取」事件,幾分鐘後再產生「原則變更」事件。 確實重新整理原則並且套用至網域控制站後,就會產生第二個事件。 原則複寫至其他網域控制站的幾分鐘後會重新整理及套用,這些伺服器上也會記錄「原則變更」事件。

如果您發現 SeSecurityPrivilege 設定值有變更,請回到安全性記錄檔中搜尋 [使用者] 欄位不是 SYSTEM 或 SERVERNAME$ 帳戶的「目錄存取」事件,例如:
事件類型: 成功稽核
事件來源: 安全性
事件類別: 目錄服務存取
事件 ID: 565
日期: 12/12/2001
時間: 5:52:53 PM
使用者: DOMAIN\adam
電腦: DC1
說明: 物件開啟:
物件伺服器: DS
物件類型: groupPolicyContainer
物件名稱: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
新控制碼 ID:0
操作 ID: {0,63067624}
處理 ID: 280
主要使用者名稱: DC1$
主網域: DOMAIN
主登入 ID: (0x0,0x3E7)
用戶端使用者名稱: adam
用戶端網域: DOMAIN
用戶端登入 ID: (0x0,0x3C255DB)
存取 寫入屬性
權限 -
屬性:
寫入屬性 %{00000000-0000-0000-0000-000000000000}
versionNumber
前述事件訊息中的 [用戶端使用者名稱] 欄位,指出變更者的使用者帳戶。 [物件名稱] 欄位指出被變更的原則。

前述範例的 Active Directory 中的原則名稱是:
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
您可以使用 LDIFDE 指令將原則名稱解析成簡明的格式,方便您看出目前監督變更的原則的相關事件:
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
Policies.ldf 檔案以類似下面的格式來識別每一個原則及原則的簡明名稱:
dn: CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype:add
displayName: Default Domain Policy

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype:add
displayName: Default Domain Controllers Policy
					
如果要防止不慎拒絕 Exchange 2000 Enterprise Servers 的 SeSecurityPrivilege 權限,您可以建立自訂原則讓網域控制站實作 SeSecurityPrivilege 權限:
  1. 啟動 Active Directory 使用者和電腦 Microsoft Management Console (MMC)。
  2. 開啟 [網域控制站] 容器的內容。
  3. 按一下 [群組原則] 索引標籤,再按 [新增]。 設定新原則的名稱 (例如,DOMAIN_NAME Auditing Rights)。
  4. 這個步驟可省略。 這個步驟可以加速載入原則。 在新原則上按一下滑鼠右鍵,按一下 [內容],然後停用 [使用者設定]
  5. 按一下新原則,再按 [編輯]。 依序展開 [電腦設定][Windows 設定][安全性設定]。 依序展開 [本機原則][使用者權限指派],設定所有需要 SeSecurityPrivilege 權限的帳戶。

    重要事項: 您在這個原則中設定的所有設定,會取代 (而非合併) 其他原則中的相同設定。 未設定的選項仍然會從其他原則套用。
  6. 將新原則的優先順序設定高於網域控制站原則。 如果不如此做,則預設原則會設定相同的設定,這個原則即為無效。

屬性

文章編號: 314294 - 上次校閱: 2003年8月11日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Exchange 2000 Server Standard Edition
關鍵字:?
kberrmsg kbprb KB314294
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com