MSExchangeDSAccess'dan Olay Kimliği 2080
Özgün KB numarası: 316300
Özet
Exchange Server 2016, Exchange Server 2013 ve Exchange Server 2010'da, AD Access (Active Directory Hizmet Erişimi bileşeni) Exchange Server uygulama günlüğünde bir topoloji algılama olayı üretir.
Olay 2080 günlük girdisi:
Günlük Adı: Uygulama
Kaynak: MSExchange ADAccess
Olay Kimliği: 2080
Görev Kategorisi: Topoloji
Düzey: Bilgi
Anahtar Sözcükler: Klasik
Açıklama:
İşlem Microsoft.Exchange.Directory.TopologyService.exe (PID=4016). Exchange Active Directory Sağlayıcısı aşağıdaki özelliklere sahip aşağıdaki sunucuları keşfettir:
(Sunucu adı | Roller | Etkin | Reachability | Eşitlenmiş | GC özellikli | PDC | SACL sağ | Kritik Veri | Netlogon | işletim sistemi sürümü)
Site içinde:
domaincontroller1.company.comCDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.comCDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.comCDG 1 7 7 1 0 1 1 7 1
Site dışında:
Daha fazla bilgi
Aşağıdaki bilgiler Olay 2080'in sütunlarını ve bunların içeriğini açıklar.
Örnek tablo
| Sunucu adı | Roller | Etkin | Reachability | Eşitlenmiş | GC özellikli | PDC | SAĞDAN SACL | Kritik veriler | Netlogon denetimi | Sistem sürümü |
|---|---|---|---|---|---|---|---|---|---|---|
domaincontroller1.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 0 | 1 | 7 | 1 |
domaincontroller2.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
domaincontroller3.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
Sütun açıklamaları
- Sunucu adı: İlk sütun, satırdaki diğer verilerin karşılık gelen etki alanı denetleyicisinin adını gösterir.
- Roller: İkinci sütunda, ilgili sunucunun bu sunucu için bir yapılandırma etki alanı denetleyicisi (sütun değeri C), etki alanı denetleyicisi (sütun değeri D) veya bu sunucu için genel katalog sunucusu (G sütunu değeri) olarak kullan Exchange gösterir. Bu sütundaki bir harf, sunucunun belirlenen işlev için kullanılay olduğu ve kısa çizgi (-) sunucunun bu işlev için kullanılamay anlamına gelir. Bu makalenin öncekilerinde açıklanan örnekte, Roller sütunu hizmetin bu üç işlevin üçü için de sunucuyu kullanabileceğini göstermek üzere CDG değerini içerir.
- Etkin: Üçüncü sütun, etki alanı denetleyicisinin etki alanı denetleyicisinin etki alanı denetleyicisinin özel kullanım alanı Exchange Server.
- Kullanılabilirlik: Dördüncü sütunda, sunucuya bir İletim Denetimi Protokolü (TCP) bağlantısıyla erişip erişi olmadığı görüntülenir. Bu bit bayrakları OR değeriyle bağlantılıdır. 0x1, sunucuya genel katalog sunucusu (bağlantı noktası 3268) olarak, 0x2 sunucusuna bir etki alanı denetleyicisi (bağlantı noktası 389) olarak ve 0x4 sunucunun bir yapılandırma etki alanı denetleyicisi (bağlantı noktası 389) olarak erişilebilir olduğu anlamına gelir. Başka bir deyişle, sunucu genel katalog sunucusu olarak ve etki alanı denetleyicisi olarak ulaşılabilir ancak yapılandırma etki alanı denetleyicisi olarak ulaşılamazsa, değer 3 olur. Bu örnekte, üçüncü sütundaki 7 değeri, sunucunun genel katalog sunucusu olarak, etki alanı denetleyicisi olarak ve bir yapılandırma etki alanı denetleyicisi (0x1 | 0x2 | 0x4 = 0x7) olarak ulaşılabilir olduğu anlamına gelir.
- Eşitlenmiş: Beşinci sütun, etki alanı
isSynchronizeddenetleyicisinin kökDSE'sinde bayrağın DOĞRU olarak ayar olup olmadığını gösterir. Bu değerler, OR değeriyle bağlantılı olan bit bayraklarını, Erişebilirlik sütununda kullanılan bayraklarla kullanır. - GC özellikli: Altıncı sütun, etki alanı denetleyicisinin genel bir katalog sunucusu olup olmadığını ifade eden Boole ifadesidir.
- PDC: Yedinci sütun, etki alanı denetleyicisinin etki alanı için birincil etki alanı denetleyicisi olup olmadığını ifade eden Boole ifadesidir.
- SACL sağ: Sekizinci sütun, DSAccess'in o dizin hizmetine karşı SACL'i (bir parçası) okumak için doğru izinlere sahip olup olmadığını içeren Boole
nTSecurityDescriptorifadesidir. - Kritik veriler: Dokuzuncu sütun, DSAccess'in bu sunucuyu Sunucu adı sütununda listelenen etki alanı denetleyicisinin yapılandırma kapsayıcısinde Exchange bu sunucuyu bu sunucuda bulduğune dikkat eden bir Boole ifadesidir.
- Netlogon denetimi: Onuncu sütun, AD Access'in bir etki alanı denetleyicisinin Net Logon hizmetine başarıyla bağlanıp bağlanmadı olduğunu gösterir. Bunun için Uzak Yordam Çağrısı (RPC) kullanımı gerekir. Bu arama, sunucu dışında bir nedenden dolayı başarısız olabilir. Örneğin, güvenlik duvarları bu çağrıyı engelleyebilir. Dolayısıyla, dokuzuncu sütunda 7 değeri varsa, bu Net Logon hizmet denetleyicisinin her rolde (etki alanı denetleyicisi, yapılandırma etki alanı denetleyicisi ve genel katalog) başarılı olduğu anlamına gelir.
- Sistem sürümü: Onbirinci sütun, listelenen etki alanı denetleyicisinin işletim sisteminin, DSAccess tarafından kullanım için Exchange Server karşı olup olmadığını gösterir.
DSAccess sorunlarını tanılamak için Olay Kimliği 2080'deki bilgileri kullanma
Olay Kimliği 2080 mesajını gözden geçirebilirsiniz; önce Roller sütununa bakın. C rolüne hizmet ve en az bir sunucu, D rolüne hizmet ve G rolüne hizmet ve en az bir sunucuya hizmet ve en az bir sunucu olabilir. Bu boşluklardan herhangi birsinde harf yerine kısa çizgi varsa, topolojinizi gözden geçirin. En az bir etki alanı denetleyicinizin ve bir genel katalog sunucunuz olduğunu ve Exchange en düşük siteLink maliyetine sahip en yakın bağlantılı sitelerde yer alıyor olduğunu onaylayın.
Ardından, Ulaşlanabilirlik sütununa bakın. Genel olarak, bu sütunda birkaç olası sayıdan birini görüyorsunuz. Etki alanı denetleyicisi bir etki alanı denetleyicisi ise ancak genel katalog sunucusu değil de ( Roller sütunu CD-'yi gösterir), sunucunun etki alanı denetleyicisi bağlantı noktasının (389) bir TCP bağlantısıyla erişilebilir olduğunu işaret edecek 6 (0x2 | 0x4) numarasıdır. Etki alanı denetleyicisi genel katalog sunucusu ise (Roller sütunu CDG'yi gösteriyorsa), bu sayı sunucunun etki alanı denetleyicisi bağlantı noktasının (389) ve genel katalog sunucu bağlantı noktasının (3268) bir TCP bağlantısıyla erişilebilir olduğuyla işaret eden 7'dir (0x1 | 0x2 | 0x4). Burada başka numaralar görüyorsanız (özellikle 0), Exchange sunucusundan dizin hizmetine bağlantıyla ilgili bir sorun olabilir.
Ardından, SACL sağ sütununa bakın. DSAccess, etki alanı denetleyicisinin özniteliğinde SACL'i okuma iznine sahip nTSecurityDescriptor olan hiçbir etki alanı denetleyicisi kullanmaz. Her role uygun olan (C, D veya G) en az bir sunucunuz (Kullanılabilirlik sütunundaKI BIR VEYA değeriyle bağlı uygun bit bayrağı) ve SACL sağ sütununda 1 değerini gösteren bir sunucunuz olması gerekir. Bu sunucularınız yoksa, SACL sağ sütununda 0 gösteren etki alanı denetleyicisinin etki alanı hazır olduğunu onaylayın ve ardından Alıcı Güncelleştirme Hizmetleri'nizin düzgün yapılandırıldığından emin olun.