MSExchangeDSAccess 的事件 ID 2080
2021/4/9
适用于:
Exchange Server 2016, Exchange Server 2013, Exchange Server 2010
本文内容
原始 KB 编号: 316300
摘要
在 Exchange Server 2016、Exchange Server 2013 和 Exchange Server 2010 中,Active Directory 服务访问组件) AD Access (在 Exchange Server 应用程序日志中生成拓扑检测事件。
事件 2080 日志条目:
日志名称:应用程序
来源:MSExchange ADAccess
事件 ID:2080
任务类别:拓扑
级别:信息
关键字:经典
说明:
进程 Microsoft.Exchange.Directory.TopologyService.exe (PID=4016) 。 Exchange Active Directory 提供程序已发现具有以下特征的以下服务器:
(服务器名称|角色|已启用|可到达|同步|支持 GC |PDC |SACL 右|关键数据|Netlogon |操作系统版本)
站点内:
domaincontroller1.company.com CDG 1 7 7 1 0 0 1 7 1
domaincontroller2.company.com CDG 1 7 7 1 0 1 1 7 1
domaincontroller3.company.com CDG 1 7 7 1 0 1 1 7 1
站点外:
更多信息
以下信息介绍了事件 2080 中的列及其内容。
示例表
服务器名
角色
已启用
可到达性
已同步
支持 GC
PDC
SACL 右
关键数据
Netlogon 检查
系统版本
domaincontroller1.company.com
CDG
1
7
7
1
0
0
1
7
1
domaincontroller2.company.com
CDG
1
7
7
1
0
1
1
7
1
domaincontroller3.company.com
CDG
1
7
7
1
0
1
1
7
1
列说明
服务器名称: 第一列指示行中其余数据对应的域控制器的名称。
角色: 第二列显示特定服务器是否可以用作此特定 Exchange 服务器的配置域控制器 (列值 C) 、域控制器 (列值 D) 或全局编录服务器 (列值 G) 。 此列中的字母表示服务器可用于指定函数,连字符 (-) 表示服务器不能用于该函数。 在本文前面介绍的示例中 ,"角色 "列包含值 CDG, 以指示服务可以将服务器用于所有三个功能。
已启用: 第三列指示是否启用域控制器以使用Exchange Server。
可到达性: 第四列显示传输控制协议能否通过 TCP (访问) 服务器。 这些位标志通过 OR 值连接。 0x1 表示服务器作为全局编录服务器 (端口 3268) 访问,0x2 表示服务器作为域控制器 (端口 389) 访问,0x4 表示服务器作为配置域控制器 (端口 389) 访问。 换句话说,如果服务器作为全局编录服务器和域控制器(而非配置域控制器)访问,则值为 3。 本示例中,第三列中的值 7 表示服务器作为全局编录服务器、域控制器和配置域控制器访问 (0x1 |0x2 |0x4 = 0x7) 。
已同步: 第五列显示域控制器 isSynchronized 的 rootDSE 上的标记是否设置为 TRUE。 这些值使用由 OR 值连接的与"可到达性"列中使用的标志 相同的位 标志。
支持 GC: 第六列是一个布尔表达式,它指出域控制器是否是全局编录服务器。
PDC: 第七列是一个布尔表达式,它指出域控制器是否是其域的主域控制器。
SACL 向右: 第八列是一个布尔表达式,它指出 DSAccess 是否具有针对该目录服务读取 SACL (部分的正确 nTSecurityDescriptor) 。
关键数据: 第九列是一个布尔表达式,它指出 DSAccess 是否在"服务器名称"列中列出的域控制器的配置 容器中找到此 Exchange 服务器。
Netlogon 检查: 第十列指示 AD Access 是否成功连接到域控制器的 Net 登录服务。 这需要使用远程过程调用 (RPC) 。 该调用可能由于服务器出现故障外的其他原因而失败。 例如,防火墙可能会阻止此呼叫。 因此,如果第九列中的值为 7, 则意味着每个角色 (域控制器、配置域控制器和全局编录数据库的 Net 登录服务检查) 。
系统版本: 第十一列指示列出的域控制器的操作系统是否满足 DSAccess Exchange Server的域控制器的操作系统要求。
如何使用事件 ID 2080 中的信息诊断 DSAccess 问题
查看"事件 ID 2080"消息时,首先查看" 角色 "列。 应至少有一个可以服务 C 角色的服务器、至少一个可以服务 D 角色的服务器,以及至少一个可以服务 G 角色的服务器。 如果其中任何空格中都包含连字符而不是字母,请查看拓扑。 确认您的 Exchange 服务器位于的站点中或最接近的连接站点中具有至少一个域控制器和一个全局编录服务器,且 siteLink 开销最低。
接下来,查看" 可覆盖性" 列。 通常,你将在此列中看到多个可能的数字之一。 如果域控制器是域控制器,但不是全局编录服务器 (角色 列显示 CD-) ,则此数字为 6 (0x2 |0x4) 表示 TCP 连接 (389) 服务器的域控制器端口。 如果域控制器是全局编录服务器 (角色 列显示 CDG) ,则此数字为 7 (0x1 |0x2 |0x4) ,它表示 TCP 连接可访问服务器的域控制器端口 (389) 和全局编录服务器端口 (3268) 。 如果在此处看到其他数字 (0 或 0) ,则从 Exchange 服务器到目录服务的连接可能存在问题。
接下来,查看 SACL 右 列。 DSAccess 不使用任何无权读取域控制器中属性上的 SACL nTSecurityDescriptor 的域控制器。 您必须至少具有一个满足每个角色 (C、D 或 G) 的服务器,该角色 (该角色可以使用相应位标志(由"可访问性"列) 中的 OR 值连接,并且 SACL 右列中显示 1)。 如果您没有这些服务器,请确认 "SACL" 右列中显示 "0" 的域控制器已经过域预配置,然后确认收件人更新服务配置正确。