MSExchangeDSAccess'ten Olay Kimliği 2080
Özgün KB numarası: 316300
Özet
Exchange Server 2016, Exchange Server 2013 ve Exchange Server 2010'da AD Access (Active Directory Hizmet Erişimi bileşeni), Exchange Server uygulama günlüğünde bir topoloji algılama olayı oluşturur.
Olay 2080 günlük girdisi:
Günlük Adı: Uygulama
Kaynak: MSExchange ADAccess
Olay Kimliği: 2080
Görev Kategorisi: Topoloji
Düzey: Bilgi
Anahtar Sözcükler: Klasik
Açıklama:
İşlem Microsoft.Exchange.Directory.TopologyService.exe (PID=4016). Exchange Active Directory Sağlayıcısı aşağıdaki özelliklere sahip aşağıdaki sunucuları keşfetmiştir:
(Sunucu adı | Roller | Etkin | Ulaşılabilirlik | Eşitlenmiş | GC özellikli | PDC | SACL sağ | Kritik Veriler | Netlogon | İşletim Sistemi Sürümü)
Yerinde:
domaincontroller1.company.comCDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.comCDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.comCDG 1 7 7 1 0 1 1 7 1
Site dışı:
Daha fazla bilgi
Aşağıdaki bilgiler Olay 2080'deki sütunları ve bunların içeriğini açıklar.
Örnek tablo
| Sunucu adı | Roller | Etkin | Ulaşılabilirlik | Eşitlenmiş | GC özellikli | PDC | SACL sağ | Kritik veriler | Netlogon denetimi | Sistem sürümü |
|---|---|---|---|---|---|---|---|---|---|---|
domaincontroller1.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 0 | 1 | 7 | 1 |
domaincontroller2.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
domaincontroller3.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
Sütun açıklamaları
- Sunucu adı: İlk sütun, satırdaki verilerin geri kalanının karşılık gelen etki alanı denetleyicisinin adını gösterir.
- Rolleri: İkinci sütun, belirli bir sunucunun bu exchange sunucusu için yapılandırma etki alanı denetleyicisi (sütun değeri C), etki alanı denetleyicisi (sütun değeri D) veya genel katalog sunucusu (sütun değeri G) olarak kullanılıp kullanılamayacağını gösterir. Bu sütundaki bir harf, sunucunun belirlenen işlev için kullanılabileceğini, kısa çizgi (-) ise sunucunun bu işlev için kullanılamayacağı anlamına gelir. Bu makalenin önceki bölümlerinde açıklanan örnekte Roller sütunu, hizmetin sunucuyu üç işlev için de kullanabileceğini belirtmek için CDG değerini içerir.
- Etkin: Üçüncü sütun, etki alanı denetleyicisinin Exchange Server kullanmak için etkinleştirilip etkinleştirilmediğini gösterir.
- Ulaşılabilirlik: Dördüncü sütun, sunucunun bir İletim Denetimi Protokolü (TCP) bağlantısıyla ulaşılabilir olup olmadığını gösterir. Bu bit bayrakları bir OR değeriyle bağlanır. 0x1, sunucunun genel katalog sunucusu (bağlantı noktası 3268) olarak ulaşılabilir olduğu, 0x2 sunucunun bir etki alanı denetleyicisi (bağlantı noktası 389) olarak ulaşılabilir olduğu ve 0x4 sunucunun bir yapılandırma etki alanı denetleyicisi (bağlantı noktası 389) olarak ulaşılabilir olduğu anlamına gelir. Başka bir deyişle, bir sunucu genel katalog sunucusu ve etki alanı denetleyicisi olarak ulaşılabilirse ancak yapılandırma etki alanı denetleyicisi olarak erişilemiyorsa, değer 3'dür. Bu örnekte, üçüncü sütundaki 7 değeri, sunucunun genel katalog sunucusu, etki alanı denetleyicisi ve yapılandırma etki alanı denetleyicisi (0x1 | 0x2 | 0x4 = 0x7) olarak ulaşılabilir olduğu anlamına gelir.
- Eşitlenmiş: Beşinci sütun, etki alanı denetleyicisinin
isSynchronizedrootDSE'sinde bayrağın TRUE olarak ayarlanıp ayarlanmadığını gösterir. Bu değerler, Ulaşılabilirlik sütununda kullanılan bayraklarla bir OR değeri tarafından bağlanan bit bayraklarını kullanır. - GC özellikli: Altıncı sütun, etki alanı denetleyicisinin genel katalog sunucusu olup olmadığını belirten bir Boole ifadesidir.
- PDC: Yedinci sütun, etki alanı denetleyicisinin kendi etki alanı için birincil etki alanı denetleyicisi olup olmadığını belirten bir Boole ifadesidir.
- SACL hakkı: Sekizinci sütun, DSAccess'in bu dizin hizmetine karşı SACL'yi (parçası
nTSecurityDescriptor) okumak için doğru izinlere sahip olup olmadığını belirten bir Boole ifadesidir. - Kritik veriler: Dokuzuncu sütun, DSAccess'in bu Exchange sunucusunu Sunucu adı sütununda listelenen etki alanı denetleyicisinin yapılandırma kapsayıcısında bulup bulmadığını belirten bir Boole ifadesidir.
- Netlogon denetimi: Onuncu sütun, AD Access'in bir etki alanı denetleyicisinin Net Logon hizmetine başarıyla bağlanıp bağlanmadığını gösterir. Bunun için Uzaktan Yordam Çağrısı (RPC) kullanılması gerekir. Bu çağrı, sunucunun çalışmadığı dışında nedenlerle başarısız olabilir. Örneğin, güvenlik duvarları bu çağrıyı engelleyebilir. Bu nedenle, dokuzuncu sütunda 7 değeri varsa, bu, Net Logon hizmeti denetiminin her rol (etki alanı denetleyicisi, yapılandırma etki alanı denetleyicisi ve genel katalog) için başarılı olduğu anlamına gelir.
- Sistem sürümü: On birinci sütun, listelenen etki alanı denetleyicisinin işletim sisteminin DSAccess tarafından kullanılmak üzere Exchange Server işletim sistemi gereksinimlerini karşılayıp karşılamadığını gösterir.
DSAccess sorunlarını tanılamak için Olay Kimliği 2080'deki bilgileri kullanma
Olay Kimliği 2080 iletisini gözden geçirirken önce Roller sütununa bakın. C rolüne hizmet verebilen en az bir sunucu, D rolüne hizmet verebilen en az bir sunucu ve G rolüne hizmet verebilen en az bir sunucu olmalıdır. Bu alanlardan herhangi birinde harf yerine kısa çizgi varsa topolojinizi gözden geçirin. Exchange sunucunuzun içinde olduğu sitede veya en düşük site Bağlantısı maliyetine sahip en yakın bağlı sitelerde en az bir etki alanı denetleyiciniz ve bir genel katalog sunucunuz olduğunu onaylayın.
Ardından Ulaşılabilirlik sütununa bakın. Genel olarak, bu sütunda birkaç olası sayıdan birini görürsünüz. Etki alanı denetleyicisi bir etki alanı denetleyicisiyse ancak genel katalog sunucusu değilse (Roller sütunu CD gösterir), sunucunun etki alanı denetleyicisi bağlantı noktasının (389) tcp bağlantısıyla ulaşılabilir olduğunu belirten bu sayı 6 'dır (0x2 | 0x4). Etki alanı denetleyicisi bir genel katalog sunucusuysa (Roller sütunu CDG gösteriyorsa), bu sayı 7 'dir (0x1 | 0x2 | 0x4), bu da sunucunun etki alanı denetleyicisi bağlantı noktasının (389) ve genel katalog sunucusu bağlantı noktasının (3268) tcp bağlantısıyla ulaşılabilir olduğunu gösterir. Burada başka numaralar görüyorsanız (özellikle 0), Exchange sunucusundan dizin hizmetine bağlantıyla ilgili bir sorun olabilir.
Ardından , SACL sağ sütununa bakın. DSAccess, etki alanı denetleyicisindeki özniteliğinde SACL'yi nTSecurityDescriptor okuma izni olmayan bir etki alanı denetleyicisi kullanmaz. Bu rol için erişilebilen her rolü (C, D veya G) karşılayan en az bir sunucunuz olmalıdır (Ulaşılabilirlik sütunundaki bir OR değeriyle bağlanan uygun bit bayrağı) ve SACL sağ sütununda 1 değerini gösterir. Bu sunuculara sahip değilseniz, SACL sağ sütununda 0 değerini gösteren etki alanı denetleyicisinin etki alanı önceden hazırlandığını onaylayın ve ardından Alıcı Güncelleştirme Hizmetlerinizin düzgün yapılandırıldığını onaylayın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin