MSExchangeDSAccess 的事件標識碼 2080

  • 發行項
  • 適用於:
    Exchange Server 2016, Exchange Server 2013, Exchange Server 2010

原始 KB 編號: 316300

摘要

在 Exchange Server 2016、Exchange Server 2013 和 Exchange Server 2010 中,AD Access (Active Directory 服務存取元件) 會在 Exchange Server 應用程式記錄檔中產生拓撲偵測事件。

事件 2080 記錄專案:

記錄檔名稱:應用程式
來源:MSExchange ADAccess
事件標識碼:2080
工作類別:拓撲
層級:資訊
關鍵詞:傳統
描述:
處理 Microsoft.Exchange.Directory.TopologyService.exe (PID=4016) 。 Exchange Active Directory 提供者探索到下列具有下列特性的伺服器:
(伺服器名稱 |角色 |已啟用 |可觸達性 |已同步處理 |支援 GC |PDC |SACL 許可權 |重要數據 |Netlogon |操作系統版本)
網站內:
domaincontroller1.company.com CDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.com CDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.com CDG 1 7 7 1 0 1 1 7 1
異地:

其他相關資訊

下列資訊描述事件 2080 中的數據行及其內容。

範例數據表

伺服器名稱 角色 Enabled 可觸達性 同步 支援 GC Pdc SACL 許可權 重要數據 Netlogon 檢查 系統版本
domaincontroller1.company.com Cdg 1 7 7 1 0 0 1 7 1
domaincontroller2.company.com Cdg 1 7 7 1 0 1 1 7 1
domaincontroller3.company.com Cdg 1 7 7 1 0 1 1 7 1

數據列描述

  • 伺服器名稱: 第一個數據行會指出數據列中其餘數據對應的域控制器名稱。
  • 角色: 第二個數據行顯示特定伺服器是否可以當做組態域控制器, (數據行值 C) 、域控制器 (數據行值 D) ,或是全域編錄伺服器 (此特定 Exchange 伺服器的數據行值 G) 。 此數據行中的字母表示伺服器可用於指定的函式,而連字元 ( ) 表示伺服器無法用於該函式。 在本文稍早所述的範例中 ,Roles 數據 行包含 值CDG ,表示服務可以將伺服器用於這三個函式。
  • 啟用:第三個數據行指出是否啟用域控制器以使用 Exchange Server。
  • 可觸達性: 第四個數據行顯示傳輸控制通訊協定是否可連線到伺服器 (TCP) 連線。 這些位旗標是由 OR 值連接。 0x1表示伺服器可透過埠 3268) (全域編錄伺服器連線,0x2表示伺服器可連線為域控制器, (埠 389) ,而0x4表示伺服器可作為設定域控制器連線 (埠 389) 。 換句話說,如果以全域編錄伺服器和域控制器的身分連線到伺服器,但無法作為設定域控制器,則值為 3。 在此範例中,第三個數據行中的 值為 7 表示伺服器可以全域編錄伺服器、域控制器和設定域控制器 (0x1 |0x2 |0x4 = 0x7) 。
  • 同步: 第五個數據行會顯示域控制器 rootDSE 上的旗標是否 isSynchronized 設定為 TRUE。 這些值會使用 OR 值所 連接的相同位旗標,做為 Reachability 資料 行中使用的旗標。
  • 支援 GC: 第六個數據行是布爾表達式,指出域控制器是否為全域編錄伺服器。
  • Pdc: 第七個數據行是布爾表達式,指出域控制器是否為其網域的主要域控制器。
  • SACL 許可權: 第八個數據行是布爾表達式,指出 DSAccess 是否具有針對該目錄服務讀取 SACL () 一部分的 nTSecurityDescriptor 正確許可權。
  • 重要數據: 第九個數據行是布爾表達式,指出 DSAccess 是否在 [ 伺服器名稱 ] 資料行所列域控制器的組態容器中找到此 Exchange 伺服器。
  • Netlogon 檢查: 第十個數據行指出AD Access是否成功連線到域控制器的 Net Logon 服務。 這需要使用遠端過程調用 (RPC) 。 該呼叫可能會因為伺服器關閉以外的原因而失敗。 例如,防火牆可能會封鎖此呼叫。 因此,如果第九個數據行的值為 7 ,這表示每個角色 (域控制器、組態域控制器和全域編錄) 都已成功進行 Net Logon 服務檢查。
  • 系統版本:第十一個數據行指出所列域控制器的作業系統是否符合 Exchange Server 供 DSAccess 使用的作業系統需求。

如何使用事件標識碼 2080 中的資訊來診斷 DSAccess 問題

當您檢閱事件標識碼 2080 訊息時,請先查看 [ 角色] 資料 行。 至少應該有一部伺服器可以服務 C 角色、至少一部伺服器可以服務 D 角色,以及至少一部可服務 G 角色的伺服器。 如果其中任何一個空格中有連字元而不是字母,請檢閱您的拓撲。 確認您在 Exchange Server 所在的站臺中,或位於最接近且站台連結成本最低的網站中,至少有一個域控制器和一部全域編錄伺服器。

接下來,查看 [ 可連線性] 數據 行。 一般而言,您會在此數據行中看到數個可能數位的其中一個。 如果域控制器是域控制器,但不是全域編錄伺服器, ([ 角色 ] 數據行會顯示CD-) ,則此數位為6 (0x2 |0x4) 表示服务器的域控制器端口 (389) 可透過 TCP 連線連線。 如果域控制器是全域編錄伺服器, ([角色 ] 數據行會顯示 CDG) ,則此數位為7 (0x1 |0x2 |0x4) ,這表示伺服器的域控制器埠 (389) 和全局編錄伺服器埠 (3268) 可透過 TCP 連線連線。 如果您在這裡看到其他數位 (特別是 0) ,則從 Exchange Server 到目錄服務的連線可能會發生問題。

接下來,查看 [SACL 右 側] 數據行。 DSAccess 不會使用任何沒有許可權在域控制器的 屬性上 nTSecurityDescriptor 讀取 SACL 的域控制器。 您必須至少有一個伺服器滿足 C、D 或 G) (每個角色,該角色 (可連線到的適當位旗標,且該位旗標由 [可連線性] 資料行) 中的 OR 值連接,並在 SACL 右欄中顯示 1。 如果您沒有這些伺服器,請確認 SACL 右側數據行中顯示 0 的域控制器已預先設定網域,然後確認您的收件者更新服務已正確設定。