Идентификатор события 2080 из MSExchangeDSAccess
Оригинальный номер базы знаний: 316300
Сводка
В Exchange Server 2016, Exchange Server 2013 и Exchange Server 2010 ad Access (компонент доступа к службе Active Directory) создает событие обнаружения топологии в журнале приложений Exchange Server.
Запись журнала события 2080:
Имя журнала: Приложение
Источник: MSExchange ADAccess
Идентификатор события: 2080
Категория задачи: топология
Уровень: сведения
Ключевые слова: классический
Описание:
Обработка Microsoft.Exchange.Directory.TopologyService.exe (PID=4016). Поставщик Exchange Active Directory обнаружил следующие серверы со следующими характеристиками:
(Имя сервера | Роли | Включено | Доступность | Синхронизировано | Возможность сборки мусора | PDC | ПРАВО SACL | Критические данные | Netlogon | Версия ОС)
На сайте:
domaincontroller1.company.comCDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.comCDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.comCDG 1 7 7 1 0 1 1 7 1
Вне сайта:
Дополнительная информация
Следующие сведения описывают столбцы в event 2080 и их содержимое.
Пример таблицы
| Имя сервера | Роли | Включено | Доступность | Синхронизированы | Поддерживается сборка мусора | PDC | SACL справа | Критические данные | Проверка netlogon | Версия системы |
|---|---|---|---|---|---|---|---|---|---|---|
domaincontroller1.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 0 | 1 | 7 | 1 |
domaincontroller2.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
domaincontroller3.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
Описания столбцов
- Имя сервера: Первый столбец указывает имя контроллера домена, которому соответствуют остальные данные в строке.
- Роли: Во втором столбце показано, можно ли использовать конкретный сервер в качестве контроллера домена конфигурации (значение столбца C), контроллера домена (значение столбца D) или сервера глобального каталога (значение столбца G) для этого конкретного сервера Exchange Server. Буква в этом столбце означает, что сервер можно использовать для указанной функции, а дефис (-) означает, что сервер не может быть использован для этой функции. В примере, описанном ранее в этой статье, столбец Роли содержит значение CDG , указывающее, что служба может использовать сервер для всех трех функций.
- Включен: Третий столбец указывает, разрешено ли контроллеру домена использовать Exchange Server.
- Доступность: В четвертом столбце показано, доступен ли сервер по протоколу TCP. Эти битовые флаги соединены значением OR . 0x1 означает, что сервер доступен как сервер глобального каталога (порт 3268), 0x2 означает, что сервер доступен как контроллер домена (порт 389), а 0x4 означает, что сервер доступен как контроллер домена конфигурации (порт 389). Иными словами, если сервер доступен как сервер глобального каталога и как контроллер домена, но не как контроллер домена конфигурации, значение равно 3. В этом примере значение 7 в третьем столбце означает, что сервер доступен как сервер глобального каталога, как контроллер домена и как контроллер домена конфигурации (0x1 | 0x2 | 0x4 = 0x7).
- Синхронизированы: В пятом столбце
isSynchronizedпоказано, задано ли для флага rootDSE контроллера домена значение TRUE. Эти значения используют те же битовые флаги, связанные значением OR , что и флаги, используемые в столбце Доступность . - С поддержкой сборки мусора: Шестой столбец — это логическое выражение, указывающее, является ли контроллер домена сервером глобального каталога.
- PDC: Седьмой столбец — это логическое выражение, указывающее, является ли контроллер домена основным контроллером домена для своего домена.
- SACL справа: Восьмой столбец — это логическое выражение, указывающее, имеет ли DSAccess правильные разрешения на чтение SACL (часть ) для этой службы каталогов
nTSecurityDescriptor. - Критические данные: Девятый столбец — это логическое выражение, которое указывает, обнаружил ли DSAccess этот сервер Exchange в контейнере конфигурации контроллера домена, указанного в столбце Имя сервера .
- Netlogon проверка. Десятый столбец указывает, успешно ли ad Access подключен к службе сетевого входа в систему контроллера домена. Для этого требуется использовать удаленный вызов процедуры (RPC). Этот вызов может завершиться ошибкой по причинам, отличным от того, что сервер не работает. Например, брандмауэры могут блокировать этот вызов. Таким образом, если в девятом столбце есть значение 7, это означает, что служба сетевого входа проверка успешно выполнена для каждой роли (контроллер домена, контроллер домена конфигурации и глобальный каталог).
- Версия системы: Одиннадцатый столбец указывает, удовлетворяет ли операционная система указанного контроллера домена требованиям к операционной системе Exchange Server для использования DSAccess.
Использование сведений в коде события 2080 для диагностики проблем DSAccess
При просмотре сообщения Идентификатор события 2080 сначала просмотрите столбец Роли . Должен быть по крайней мере один сервер, который может обслуживать роль C, по крайней мере один сервер, который может обслуживать роль D, и по крайней мере один сервер, который может обслуживать роль G. Если вместо буквы в любом из этих пробелов есть дефис, просмотрите топологию. Убедитесь, что у вас есть по крайней мере один контроллер домена и один сервер глобального каталога на сайте, где находится сервер Exchange Server, или на ближайших подключенных сайтах с наименьшей стоимостью siteLink.
Затем просмотрите столбец Доступность . Как правило, в этом столбце отображается одно из нескольких возможных чисел. Если контроллер домена является контроллером домена, но не сервером глобального каталога (в столбце Роли отображается CD-), это число равно 6 (0x2 | 0x4), что означает, что порт контроллера домена сервера (389) доступен через TCP-подключение. Если контроллер домена является сервером глобального каталога (в столбце Роли отображается CDG), это число равно 7 (0x1 | 0x2 | 0x4), что означает, что порт контроллера домена сервера (389) и порт сервера глобального каталога (3268) доступны через TCP-подключение. Если здесь отображаются другие номера (особенно 0), может возникнуть проблема с подключением сервера Exchange Server к службе каталогов.
Затем просмотрите правый столбец SACL . DSAccess не использует контроллер домена, который не имеет разрешений на чтение saCL для атрибута nTSecurityDescriptor в контроллере домена. У вас должен быть по крайней мере один сервер, удовлетворяющий каждой роли (C, D или G), доступный для этой роли (соответствующий битовый флаг, подключенный значением OR в столбце Доступность ), и показывающий значение 1 в правом столбце SACL . Если у вас нет этих серверов, убедитесь, что контроллер домена с значением 0 в правом столбце SACL подготовлен к домену, а затем убедитесь, что службы обновления получателей настроены правильно.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по