Ereignis-ID 2080 von MSExchangeDSAccess
Ursprüngliche KB-Nummer: 316300
Zusammenfassung
In Exchange Server 2016, Exchange Server 2013 und Exchange Server 2010 generiert AD Access (eine Active Directory-Dienstzugriffskomponente) ein Topologieerkennungsereignis im Exchange Server Anwendungsprotokoll.
Der Ereignis 2080-Protokolleintrag:
Protokollname: Anwendung
Quelle: MSExchange ADAccess
Ereignis-ID: 2080
Aufgabenkategorie: Topologie
Ebene: Informationen
Schlüsselwörter: Klassisch
Beschreibung:
Prozess Microsoft.Exchange.Directory.TopologyService.exe (PID=4016). Der Exchange Active Directory-Anbieter hat die folgenden Server mit den folgenden Merkmalen ermittelt:
(Servername | Rollen | Aktiviert | Erreichbarkeit | Synchronisiert | GC-fähig | PDC | SACL rechts | Kritische Daten | Netlogon | Betriebssystemversion)
Vor Ort:
domaincontroller1.company.comCDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.comCDG 1 7 7 1 0 1 1 1 7 1
domaincontroller3.company.comCDG 1 7 7 1 0 1 1 1 7 1
Out-of-Site:
Weitere Informationen
In den folgenden Informationen werden die Spalten in Event 2080 und deren Inhalt beschrieben.
Beispieltabelle
| Servername | Rollen | Aktiviert | Erreichbarkeit | Synchronisiert | GC-fähig | PDC | SACL rechts | Kritische Daten | Netlogon-Überprüfung | Systemversion |
|---|---|---|---|---|---|---|---|---|---|---|
domaincontroller1.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 0 | 1 | 7 | 1 |
domaincontroller2.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
domaincontroller3.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
Spaltenbeschreibungen
- Servername: Die erste Spalte gibt den Namen des Domänencontrollers an, dem die restlichen Daten in der Zeile entsprechen.
- Rollen: Die zweite Spalte zeigt, ob der jeweilige Server als Konfigurationsdomänencontroller (Spaltenwert C), Domänencontroller (Spaltenwert D) oder globaler Katalogserver (Spaltenwert G) für diesen bestimmten Exchange-Server verwendet werden kann. Ein Buchstabe in dieser Spalte bedeutet, dass der Server für die angegebene Funktion verwendet werden kann, und ein Bindestrich (-) bedeutet, dass der Server für diese Funktion nicht verwendet werden kann. In dem weiter oben in diesem Artikel beschriebenen Beispiel enthält die Spalte Rollen den Wert CDG , um anzugeben, dass der Dienst den Server für alle drei Funktionen verwenden kann.
- Aktiviert: Die dritte Spalte gibt an, ob der Domänencontroller für die Verwendung Exchange Server aktiviert ist.
- Erreichbarkeit: Die vierte Spalte zeigt, ob der Server über eine TCP-Verbindung (Transmission Control Protocol) erreichbar ist. Diese Bitflags sind durch einen OR-Wert verbunden. 0x1 bedeutet, dass der Server als globaler Katalogserver erreichbar ist (Port 3268), 0x2 bedeutet, dass der Server als Domänencontroller erreichbar ist (Port 389), und 0x4 bedeutet, dass der Server als Konfigurationsdomänencontroller erreichbar ist (Port 389). Anders ausgedrückt: Wenn ein Server als globaler Katalogserver und als Domänencontroller, aber nicht als Konfigurationsdomänencontroller erreichbar ist, ist der Wert 3. In diesem Beispiel bedeutet der Wert 7 in der dritten Spalte, dass der Server als globaler Katalogserver, als Domänencontroller und als Konfigurationsdomänencontroller erreichbar ist (0x1 | 0x2 | 0x4 = 0x7).
- Synchronisiert: Die fünfte Spalte zeigt, ob das
isSynchronizedFlag auf der rootDSE des Domänencontrollers auf TRUE festgelegt ist. Diese Werte verwenden die gleichen Bitflags, die durch einen OR-Wert verbunden sind wie die Flags, die in der Reachability-Spalte verwendet werden. - GC-fähig: Die sechste Spalte ist ein boolescher Ausdruck, der angibt, ob der Domänencontroller ein globaler Katalogserver ist.
- PDC: Die siebte Spalte ist ein boolescher Ausdruck, der angibt, ob der Domänencontroller ein primärer Domänencontroller für seine Domäne ist.
- SACL rechts: Die achte Spalte ist ein boolescher Ausdruck, der angibt, ob DSAccess über die richtigen Berechtigungen zum Lesen der SACL (Teil von
nTSecurityDescriptor) für diesen Verzeichnisdienst verfügt. - Kritische Daten: Die neunte Spalte ist ein boolescher Ausdruck, der angibt, ob DSAccess diesen Exchange-Server im Konfigurationscontainer des Domänencontrollers gefunden hat, der in der Spalte Servername aufgeführt ist.
- Netlogon-Überprüfung: Die zehnte Spalte gibt an, ob AD Access erfolgreich eine Verbindung mit dem Net Logon-Dienst eines Domänencontrollers hergestellt hat. Dies erfordert die Verwendung von Remote Procedure Call (RPC). Dieser Aufruf kann aus anderen Gründen als dem Ausfall eines Servers fehlschlagen. Beispielsweise können Firewalls diesen Aufruf blockieren. Wenn also in der neunten Spalte der Wert 7 vorhanden ist, bedeutet dies, dass die Überprüfung des Net Logon-Diensts für jede Rolle (Domänencontroller, Konfigurationsdomänencontroller und globaler Katalog) erfolgreich war.
- Systemversion: Die elfte Spalte gibt an, ob das Betriebssystem des aufgeführten Domänencontrollers die Betriebssystemanforderungen von Exchange Server für die Verwendung durch DSAccess erfüllt.
Verwenden der Informationen in Ereignis-ID 2080 zum Diagnostizieren von DSAccess-Problemen
Wenn Sie die Meldung Ereignis-ID 2080 überprüfen, sehen Sie sich zuerst die Spalte Rollen an. Es sollte mindestens ein Server vorhanden sein, der die C-Rolle bedienen kann, mindestens einen Server, der die D-Rolle bedienen kann, und mindestens einen Server, der die G-Rolle bedienen kann. Wenn in einem dieser Leerzeichen ein Bindestrich anstelle eines Buchstabens vorhanden ist, überprüfen Sie Ihre Topologie. Vergewissern Sie sich, dass Sie über mindestens einen Domänencontroller und einen globalen Katalogserver verfügen, entweder an dem Standort, an dem sich Ihr Exchange-Server befindet, oder an den nächstgelegenen verbundenen Standorten mit den niedrigsten SiteLink-Kosten.
Sehen Sie sich als Nächstes die Spalte Erreichbarkeit an. Im Allgemeinen wird in dieser Spalte eine von mehreren möglichen Zahlen angezeigt. Wenn der Domänencontroller ein Domänencontroller, aber kein globaler Katalogserver ist (Spalte Rollen zeigt CD-) an, ist diese Zahl 6 (0x2 | 0x4), um anzugeben, dass der Domänencontrollerport des Servers (389) über eine TCP-Verbindung erreichbar ist. Wenn es sich bei dem Domänencontroller um einen globalen Katalogserver handelt (Spalte Rollen zeigt CDG an), ist diese Zahl 7 (0x1 | 0x2 | 0x4), was bedeutet, dass der Domänencontrollerport (389) und der globale Katalogserverport (3268) über eine TCP-Verbindung erreichbar sind. Wenn hier andere Nummern (insbesondere 0) angezeigt werden, liegt möglicherweise ein Problem mit der Verbindung zwischen dem Exchange-Server und dem Verzeichnisdienst vor.
Sehen Sie sich als Nächstes die rechte Spalte SACL an. DSAccess verwendet keinen Domänencontroller, der nicht über Berechtigungen zum Lesen der SACL für das nTSecurityDescriptor Attribut im Domänencontroller verfügt. Sie müssen über mindestens einen Server verfügen, der jede Rolle (C, D oder G) erfüllt, die für diese Rolle erreichbar ist (das entsprechende Bitflag, das durch einen OR-Wert in der Spalte Erreichbarkeit verbunden ist) und der in der rechten Spalte SACLden Wert 1 anzeigt. Wenn Sie nicht über diese Server verfügen, vergewissern Sie sich, dass der Domänencontroller, der in der rechten Spalte sacl0 anzeigt, domänenvorbereitet wurde, und vergewissern Sie sich dann, dass Ihre Empfängerupdatedienste ordnungsgemäß konfiguriert sind.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für