原始 KB 編號: 316300
總結
在 Exchange Server 2016、Exchange Server 2013 和 Exchange Server 2010 中,AD Access(Active Directory 服務存取元件)會在 Exchange Server 應用程式記錄檔中產生拓撲偵測事件。
事件 2080 日誌條目:
記錄名稱:應用程式
來源:MSExchange ADAccess
事件標識碼:2080
工作類別:拓撲
等級:資訊
關鍵字:傳統
描述:
進程 Microsoft.Exchange.Directory.TopologyService.exe (PID=4016)。 Exchange Active Directory 提供者探索到下列具有下列特性的伺服器:
(伺服器名稱 |角色 |已啟用 |觸達性 |已同步處理 |支援 GC |PDC |SACL 許可權 |重要數據 |Netlogon |OS 版本)
網站內部:
domaincontroller1.company.comCDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.comCDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.comCDG 1 7 7 1 0 1 1 7 1
站外:
詳細資訊
下列資訊描述了事件 2080 的欄位及其內容。
範例資料表
| 伺服器名稱 | 角色 | 已啟用 | 連線性 | 同步 | 支援 GC 功能 | PDC | SACL 權限 | 重要數據 | Netlogon 檢查 | 系統版本 |
|---|---|---|---|---|---|---|---|---|---|---|
domaincontroller1.company.com |
巴黎戴高樂機場 (CDG) | 1 | 7 | 7 | 1 | 0 | 0 | 1 | 7 | 1 |
domaincontroller2.company.com |
CDG | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
domaincontroller3.company.com |
巴黎戴高樂機場 (CDG) | 1 | 7 | 7 | 1 | 0 | 1 | 1 | 7 | 1 |
數據列描述
- 伺服器名稱: 第一個數據行會指出數據列中其餘數據對應之域控制器的名稱。
- 角色: 第二個數據行顯示特定伺服器是否可以作為組態域控制器(數據行值 C)、域控制器(資料行值 D),或此特定 Exchange 伺服器的全域編錄伺服器 (資料行值 G)。 此數據行中的字母表示伺服器可用於指定的函式,而連字元 (-) 表示伺服器無法用於該函式。 在本文稍早所述的範例中,角色 欄包含值 CDG,表示該服務可以使用伺服器執行這三個功能。
- 啟用: 第三個數據行指出是否啟用域控制器以使用 Exchange Server。
- 可觸達性: 第四欄顯示伺服器是否可透過傳輸控制通訊協定 (TCP) 連線來連線。 這些位旗標是由 OR 值所連接。 0x1表示伺服器可透過全域編錄伺服器(埠 3268)連線,0x2表示伺服器可透過域控制器連線(埠 389),0x4表示伺服器可透過組態域控制器連線(埠 389)。 換句話說,如果伺服器可以作為全域編錄伺服器和域控制器連線,但不能作為設定域控制器,則值為 3。 在此範例中,第三個數據行中的 7 值表示伺服器可透過全域編錄伺服器、域控制器和組態域控制器來連線(0x1 | 0x2 | 0x4 = 0x7)。
-
同步: 第五個數據行會顯示域控制器的 rootDSE 上的旗標是否
isSynchronized設定為 TRUE。 這些值使用與 Reachability 欄中使用的旗標相同,透過 OR 值連接的位元旗標。 - 支援 GC: 第六個數據行是布爾表達式,指出域控制器是否為全域編錄伺服器。
- PDC: 第七欄是布爾表達式,指出域控制器是否為其網域的主要域控制器。
-
SACL 許可權: 第八個數據行是布爾表達式,指出 DSAccess 是否具有針對該目錄服務讀取 SACL(部分
nTSecurityDescriptor) 的正確許可權。 - 重要數據: 第九個數據行是布爾表達式,指出 DSAccess 是否在伺服器 名稱 數據行所列域控制器的設定容器中找到此 Exchange 伺服器。
- Netlogon 檢查: 第十個數據行指出AD Access是否成功連線到域控制器的 Net Logon 服務。 這需要使用遠端程序呼叫(RPC)。 該呼叫可能會因為伺服器關閉以外的原因而失敗。 例如,防火牆可能會封鎖此呼叫。 因此,如果第九個數據行中有 7 個值,這表示每個角色的 Net Logon 服務檢查都成功(域控制器、組態域控制器和全域編錄)。
- 系統版本: 第十一個數據行指出所列域控制器的作系統是否符合 Exchange Server 的作系統需求,以供 DSAccess 使用。
如何使用事件標識碼 2080 中的資訊來診斷 DSAccess 問題
當您檢閱事件標識碼 2080 訊息時,請先查看 [角色] 資料行。 至少應該有一部伺服器可以服務 C 角色、至少一部可以服務 D 角色的伺服器,以及至少一部可以服務 G 角色的伺服器。 如果這些空格中有連字號,而不是字母,請檢查您的拓撲。 確認您至少有一個網域控制器和一個全域類別伺服器位於 Exchange 伺服器所在的站台中,或在相鄰站台中,並且具有最低的站台連結成本。
接下來,查看 到達性 欄。 一般來說,您會在此欄中看到幾個可能的數字之一。 如果域控制器是域控制器,但不是全局編錄伺服器(角色 數據行顯示CD-),則此數位為6(0x2 | 0x4),表示伺服器的域控制器埠 (389) 可透過TCP 連線來連線。 如果域控制器是全域編錄伺服器(角色 數據行顯示 CDG),此數位為7(0x1 | 0x2 | 0x4),這表示伺服器的域控制器埠 (389) 和全域編錄伺服器埠 (3268) 可透過 TCP 連線來連線。 如果您在這裡看到其他數位(特別是 0),則從 Exchange Server 到目錄服務的連線可能會發生問題。
接下來,查看 SACL 右欄。 DSAccess 不會使用任何沒有許可權的域控制器在域控制器中的 屬性上 nTSecurityDescriptor 讀取 SACL。 您必須至少有一部伺服器能滿足每個角色(C、D 或 G)的需求,並且可以對該角色進行連接(連線能力數據行中適當的 OR 值位旗標),且在 SACL 權限數據行中顯示 1。 如果您沒有這些伺服器,請確認 SACL 右側數據行中顯示 0 的域控制器已預先設定網域,然後確認您的收件者更新服務已正確設定。