Дата последнего изменения раздела:
2007-02-19
Средство устранения неполадок с базами данных Microsoft Exchange обнаружило в журнале одно или несколько событий MSExchangeIS 5000 с кодом ошибки 0x80004005. Эта ошибка означает, что не удается подключить одну или несколько баз данных на сервере Exchange из-за неверной служебной учетной записи, отсутствующих разрешений SeSecurityPrivilege или неверного членства в группах.
Объяснение
Эта ошибка может возникать при выполнении любого из следующих условий:
- Разрешение на управление аудитом и журналом безопасности
(SeSecurityPrivilege) удалено из группы «Серверы предприятия
Exchange» на одном или нескольких контроллерах домена. Группа
«Серверы предприятия Exchange» должна иметь разрешение на
управление аудитом и журналом безопасностью на всех контролерах в
домене. Если это условие выполняется, то одна или несколько служб,
связанных с Exchange Server, могут не запускаться.
- Служба банка данных Microsoft Exchange запускается с учетной
записью, отличной от локальной системы, либо контроллер домена,
домен или политика безопасности локального компьютера не включают
учетную запись локальной системы в политику создания аудитов
безопасности. Если это условие выполняется, то служба банка данных
Exchange не запускается.
- Группа «Серверы предприятия Exchange» в родительском домене не
содержит группу «Серверы домена Exchange» из дочернего домена.
Это событие также может быть идентифицировано как MAPI_E_CALL_FAILED. Это событие применимо к следующим версиям сервера Exchange Server:
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2003
- Microsoft Exchange 2000 Server
Действия пользователя
Для устранения этой проблемы выполните одно или несколько следующих действий.
- Если разрешение Управление аудитом и журналом
безопасности (SeSecurityPrivilege) удалено из группы «Серверы
предприятия Exchange» на одном или нескольких контроллерах домена,
выполните указанные ниже действия.
Добавление разрешений на одном или нескольких контроллерах домена-
Для устранения неполадок с разрешениями используйте программу Policytest.exe, которая находится в папке Support\Utils\I386 на компакт-диске Exchange 2000 или в папке Support\ExDeploy на компакт-диске Exchange Server 2003. Используйте программу Policytest.exe для определения того, имеется ли на контроллере домена разрешение Управление аудитом и журналом безопасности для группы «Серверы предприятия Exchange». В случае успеха будут выведены примерно следующие данные:
Локальный домен — "<contoso.com>" (contoso); учетная запись — "CONTOSO\Exchange Enterprise Servers"; DC ="<имя_компьютера>"; узел = "<Default-First-Site-Name>"; обнаружено право "SeSecurityPrivilege"
Примечание. Успешный результат свидетельствует о наличии разрешения «Управление аудитом и журналом безопасности». Для запуска программы Policytest.exe необходимы права администратора домена. Дополнительные сведения о программе Policytest.exe см. в статье 281537 базы знаний Майкрософт, XADM: Описание программы Policytest.exe (на английском языке).
-
Восстановите действующие по умолчанию разрешения группы «Серверы предприятия Exchange» на уровне домена. Для этого выполните следующие действия.
- Выполните команду setup /domainprep с компакт-диска
Exchange Server или точки сетевой установки. Команда «setup
/domainprep» добавляет группу «Серверы предприятия Exchange» в
домен, в котором действуют разрешения по умолчанию. При выполнении
команды «setup /domainprep» разрешения незамедлительно добавляются
на один контроллер домена. Затем данное изменение воспроизводится
на других контроллерах домена.
- Восстановите наследование разрешений в других подразделениях.
Затем подождите, пока контроллеры домена не воспроизведут изменения
во всем домене.
- Запустите программу Policytest.exe. Обратите внимание на
то, какие контроллеры домена возвратят следующий успешный
результат:
Обнаружено право "SeSecurityPrivilege"
Если на всех контроллерах домена заданы нужные разрешения, перезапустите службы Exchange Server. Если ни на каких контроллерах домена нужные разрешения не заданы, см. этап 3.
- Выполните команду setup /domainprep с компакт-диска
Exchange Server или точки сетевой установки. Команда «setup
/domainprep» добавляет группу «Серверы предприятия Exchange» в
домен, в котором действуют разрешения по умолчанию. При выполнении
команды «setup /domainprep» разрешения незамедлительно добавляются
на один контроллер домена. Затем данное изменение воспроизводится
на других контроллерах домена.
-
Проверьте политику контроллеров домена по умолчанию. Для этого выполните следующие действия.
- Откройте оснастку Active Directory — пользователи и
компьютеры.
- Щелкните правой кнопкой мыши контейнер Контроллеры
домена и выберите пункт Свойства.
- Откройте вкладку Групповая политика и убедитесь в том,
что в поле Ссылки на объекты групповой политики отображается
элемент Политика контроллеров домена по
умолчанию.Примечание. Если элемент Default
Domain Controllers Policy отсутствует, нажмите кнопку
Добавить, щелкните пункт Политика контроллеров домена по
умолчанию и нажмите кнопку ОК. Затем подождите, пока это
изменение не будет воспроизведено на всех остальных контроллерах
домена.
- Выполните команду setup /domainprep с компакт-диска
Exchange Server или точки сетевой установки. Команда «setup
/domainprep» добавляет группу «Серверы предприятия Exchange» в
домен, в котором действуют разрешения по умолчанию.
- Запустите программу Policytest.exe. Обратите внимание на то,
какие контроллеры домена возвратят следующий успешный
результат:
Обнаружено право "SeSecurityPrivilege"
Если на всех контроллерах домена заданы нужные разрешения, перезапустите службы Exchange Server. Если на некоторых контроллерах домена нужные разрешения не заданы, см. этап 4.
- Откройте оснастку Active Directory — пользователи и
компьютеры.
-
Добавьте разрешения на контроллере домена вручную. Служба репликации файлов (FRS) может не выполнить репликацию обновленной политики безопасности на одном или нескольких контроллерах домена после выполнения команды «setup /domainprep». Если возникла такая проблема, необходимо вручную назначить правильные разрешения группе «Серверы предприятия Exchange». Если на некоторых или всех контроллерах домена правильные разрешения не назначены, назначьте группе «Серверы предприятия Exchange» разрешение «Управление аудитом и журналом безопасности». Затем подождите, пока это изменение не будет воспроизведено на других контроллерах домена. Для этого выполните следующие действия.
- Откройте оснастку Active Directory — пользователи и
компьютеры.
- Щелкните правой кнопкой мыши контейнер Контроллеры
домена и выберите пункт Свойства.
- Откройте вкладку Групповая политика, щелкните элемент
Политика контроллеров домена по умолчанию в поле Ссылки
на объекты групповой политики и нажмите кнопку
Изменить.
- Разверните последовательно узлы Конфигурация компьютера,
Конфигурация Windows, Параметры безопасности и
Локальные политики и щелкните узел Назначение прав
пользователя.
- В правой области дважды щелкните элемент Управление аудитом
и журналом безопасности, нажмите кнопку Добавить,
нажмите кнопку Обзор и добавьте группу Серверы
предприятия Exchange.
- В диалоговом окне Добавление пользователя или группы
нажмите кнопку ОК. Затем нажмите кнопку ОК еще
раз.
- Закройте оснастку групповой политики и нажмите кнопку ОК
в диалоговом окне свойств контроллеров
домена.Примечание. При нажатии кнопки Обзор
в диалоговом окне «Добавление пользователя или группы» группа
«Серверы предприятия Exchange» иногда не отображается. Если это
так, добавьте группу «Серверы домена Exchange». Затем выполните
команду «setup /domainprep» еще раз. В результате группа «Серверы
предприятия Exchange» будет добавлена на всех контроллерах
домена.
- Откройте оснастку Active Directory — пользователи и
компьютеры.
-
- Если служба банка данных Exchange запускается с учетной
записью, отличной от учетной записи локальной системы, либо
контроллер домена, домен или политика безопасности локального
компьютера не содержит учетной записи локальной системы в политике
создания аудитов безопасности, воспользуйтесь предлагаемым в данной
статье решением.
По умолчанию служба банка данных Exchange использует для запуска службы банка данных (MACHINENAME$) учетную запись локальной системы. Выясните с помощью оснастки Services.msc, какая учетная запись используется для запуска службы банка данных. Если используется учетная запись «Локальная система», надо заново предоставить ей право на создание аудитов безопасности. Воспользуйтесь для этого одним из описанных ниже способов.
Предоставление права на создание аудитов безопасности учетной записи «Локальная система»-
Выполните на компьютере команду Setup /domainprep.
-
Вручную предоставьте учетной записи «Локальная система» право на создание аудитов безопасности в одной из следующих политик:
- Политика контроллера домена
- Политика домена
- Политика безопасности локального компьютера
- Политика контроллера домена
Предоставление права на создание аудитов безопасности политике безопасности локального компьютера, действующей на рядовом сервере-
Нажмите кнопку Пуск, выберите пункт Администрирование, а затем щелкните элемент Локальная политика безопасности.
-
Разверните узел Параметры безопасности, щелкните элемент Локальные политики, а затем — Назначение прав пользователя.
-
В правой области дважды щелкните элемент Создание аудитов безопасности, нажмите кнопку Добавить, введите MACHINENAME$, а затем дважды нажмите кнопку ОК.
-
Закройте оснастку групповой политики.
-
- Если группа «Серверы предприятия Exchange» в родительском
домене не содержит группу «Серверы домена Exchange» из дочернего
домена, добавьте группу «Серверы домена Exchange» из дочернего
домена в группу «Серверы предприятия Exchange» в родительском
домене. Эту проблему можно также решить, создав в корневом домене
службу обновления получателей.
Запустите для этого программу установки Exchange с параметром /domainprep на сервере в удаленном домене Windows. Затем создайте на сервере Exchange с помощью диспетчера Exchange службу обновления получателей для удаленного домена. Для этого выполните следующие действия.
Создание службы обновления получателей для удаленного домена-
Нажмите кнопку Пуск и выберите по очереди пункты Программы, Microsoft Exchange и Диспетчер Exchange.
-
Разверните объект Организация, а затем контейнер Получатели.
-
Щелкните элемент Служба обновления получателей.
-
В правой области щелкните правой кнопкой мыши элемент Создать и выберите пункт Служба обновления получателей.
-
Щелкните домен, в котором нет экземпляра службы обновления получателей и есть пользователи, сведения о которых должны быть обновлены сервером Exchange.
-
Нажмите кнопку Далее.
-
Выберите сервер, на котором нужно выполнять службу обновления получателей и обрабатывать все необходимые данные пользователей с атрибутами Exchange.
-
Нажмите кнопку Далее.
-
Нажмите кнопку Готово.
-
Чтобы вручную инициировать обновление получателей в домене, щелкните правой кнопкой мыши элемент Служба обновления получателей и выберите пункт Обновить.
-