Identyfikator zdarzenia 2080 z msExchangeDSAccess
Oryginalny numer KB: 316300
Podsumowanie
W Exchange Server 2016 r. Exchange Server 2013 r. i Exchange Server 2010 r. program AD Access (składnik dostępu do usługi Active Directory) generuje zdarzenie wykrywania topologii w dzienniku aplikacji Exchange Server.
Wpis dziennika zdarzenia 2080:
Nazwa dziennika: Aplikacja
Źródło: MSExchange ADAccess
Identyfikator zdarzenia: 2080
Kategoria zadania: Topologia
Poziom: informacje
Słowa kluczowe: klasyczne
Opis:
Proces Microsoft.Exchange.Directory.TopologyService.exe (PID=4016). Dostawca usługi Exchange Active Directory odkrył następujące serwery o następujących cechach:
(Nazwa serwera | Role | Włączone | Osiągalność | Zsynchronizowane | GC capable | Centrum dystrybucji danych | Lista SACL z prawej | Dane krytyczne | Netlogon | Wersja systemu operacyjnego)
W lokacji:
domaincontroller1.company.comCDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.comCDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.comCDG 1 7 7 1 0 1 1 7 1
Poza lokacją:
Więcej informacji
Poniższe informacje opisują kolumny w zdarzeniu 2080 i ich zawartość.
Przykładowa tabela
| Nazwa serwera | Role | Włączone | Osiągalność | Synchronizowane | GC capable (GC capable) | PDC | SACL z prawej | Dane krytyczne | Sprawdzanie netlogonu | Wersja systemu |
|---|---|---|---|---|---|---|---|---|---|---|
domaincontroller1.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 0 | 1 | 7 | 1 |
domaincontroller2.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
domaincontroller3.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
Opisy kolumn
- Nazwa serwera: Pierwsza kolumna wskazuje nazwę kontrolera domeny, z którą odpowiadają pozostałe dane w wierszu.
- Ról: Druga kolumna pokazuje, czy dany serwer może być używany jako kontroler domeny konfiguracji (wartość kolumny C), kontroler domeny (wartość kolumny D) lub serwer wykazu globalnego (wartość kolumny G) dla tego konkretnego serwera Exchange. Litera w tej kolumnie oznacza, że serwer może być używany dla wyznaczonej funkcji, a łącznik (-) oznacza, że nie można użyć serwera dla tej funkcji. W przykładzie opisanym wcześniej w tym artykule kolumna Role zawiera wartość CDG wskazującą, że usługa może używać serwera dla wszystkich trzech funkcji.
- Włączone: Trzecia kolumna wskazuje, czy kontroler domeny jest włączony do używania Exchange Server.
- Osiągalność: Czwarta kolumna pokazuje, czy serwer jest osiągalny przez połączenie TCP (Transmission Control Protocol). Te flagi bitowe są połączone wartością OR . 0x1 oznacza, że serwer jest osiągalny jako serwer wykazu globalnego (port 3268), 0x2 oznacza, że serwer jest osiągalny jako kontroler domeny (port 389), a 0x4 oznacza, że serwer jest osiągalny jako kontroler domeny konfiguracji (port 389). Innymi słowy, jeśli serwer jest osiągalny jako serwer wykazu globalnego i jako kontroler domeny, ale nie jako kontroler domeny konfiguracji, wartość wynosi 3. W tym przykładzie wartość 7 w trzeciej kolumnie oznacza, że serwer jest osiągalny jako serwer wykazu globalnego, jako kontroler domeny i jako kontroler domeny konfiguracji (0x1 | 0x2 | 0x4 = 0x7).
- Synchronizowane: Piąta kolumna pokazuje, czy flaga
isSynchronizedna rootDSE kontrolera domeny jest ustawiona na wartość TRUE. Te wartości używają tych samych flag bitowych połączonych przez wartość OR , co flagi używane w kolumnie Osiągalność . - GC capable: Szósta kolumna to wyrażenie logiczne, które określa, czy kontroler domeny jest serwerem wykazu globalnego.
- PDC: Siódma kolumna to wyrażenie logiczne, które określa, czy kontroler domeny jest podstawowym kontrolerem domeny dla swojej domeny.
- Lista SACL po prawej stronie: Ósma kolumna to wyrażenie logiczne, które określa, czy funkcja DSAccess ma odpowiednie uprawnienia do odczytywania listy SACL (część
nTSecurityDescriptor) względem tej usługi katalogowej. - Dane krytyczne: Dziewiąta kolumna to wyrażenie logiczne, które określa, czy funkcja DSAccess znalazła ten serwer exchange w kontenerze konfiguracji kontrolera domeny wymienionym w kolumnie Nazwa serwera .
- Sprawdzanie netlogonu: Dziesiąta kolumna wskazuje, czy program AD Access pomyślnie nawiązał połączenie z usługą Net Logon kontrolera domeny. Wymaga to użycia zdalnego wywołania procedury (RPC). To wywołanie może zakończyć się niepowodzeniem z przyczyn innych niż awaria serwera. Na przykład zapory mogą blokować to wywołanie. Dlatego jeśli w dziewiątej kolumnie istnieje wartość 7 , oznacza to, że sprawdzanie usługi Net Logon zakończyło się pomyślnie dla każdej roli (kontroler domeny, kontroler domeny konfiguracji i wykaz globalny).
- Wersja systemu: Jedenasta kolumna wskazuje, czy system operacyjny wymienionego kontrolera domeny spełnia wymagania systemu operacyjnego Exchange Server do użycia przez funkcję DSAccess.
How to use the information in Event ID 2080 to diagnose DSAccess problems
Podczas przeglądania komunikatu O identyfikatorze zdarzenia 2080 najpierw przyjrzyj się kolumnie Role . Powinien istnieć co najmniej jeden serwer, który może obsługiwać rolę C, co najmniej jeden serwer, który może obsługiwać rolę D, oraz co najmniej jeden serwer, który może obsługiwać rolę G. Jeśli w dowolnej z tych spacji znajduje się łącznik zamiast litery, przejrzyj topologię. Upewnij się, że masz co najmniej jeden kontroler domeny i jeden serwer wykazu globalnego w lokacji, w którą znajduje się serwer Exchange, lub w najbliższych połączonych lokacjach z najniższym kosztem linku siteLink.
Następnie przyjrzyj się kolumnie Osiągalność . Ogólnie rzecz biorąc, w tej kolumnie jest widoczna jedna z kilku możliwych liczb. Jeśli kontroler domeny jest kontrolerem domeny, ale nie serwer wykazu globalnego (kolumna Role pokazuje CD-), ta liczba jest 6 (0x2 | 0x4), aby oznaczać, że port kontrolera domeny serwera (389) jest osiągalny przez połączenie TCP. Jeśli kontroler domeny jest serwerem wykazu globalnego (kolumna Role pokazuje usługę CDG), ta liczba to 7 (0x1 | 0x2 | 0x4), co oznacza, że port kontrolera domeny serwera (389) i port serwera wykazu globalnego (3268) są osiągalne przez połączenie TCP. Jeśli w tym miejscu są widoczne inne liczby (zwłaszcza 0), może wystąpić problem z połączeniem z serwera Exchange do usługi katalogowej.
Następnie przyjrzyj się prawej kolumnie SACL . Funkcja DSAccess nie używa żadnego kontrolera domeny, który nie ma uprawnień do odczytu listy SACL atrybutu nTSecurityDescriptor na kontrolerze domeny. Musisz mieć co najmniej jeden serwer, który spełnia każdą rolę (C, D lub G), która jest osiągalna dla tej roli (odpowiednia flaga bitowa połączona przez wartość OR w kolumnie Osiągalność ) i która pokazuje 1 w prawej kolumnie SACL . Jeśli nie masz tych serwerów, upewnij się, że kontroler domeny, który pokazuje wartość 0 w prawej kolumnie SACL , został wstępnie utworzony w domenie, a następnie upewnij się, że usługi aktualizacji adresatów są prawidłowo skonfigurowane.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla