Exchange DSAccess 事件分析

本文介紹了如何使用事件 ID 2080 來幫助診斷 Exchange DSAccess 問題中所包含的資訊。

許多朋友經常遇到Active Directory 域和Exchange 伺服器通信問題。那如何排查呢。常用最簡單方法，在事件檢視器中檢視 相關報錯日志。今天我了解事件 ID 2080 事件來幫助診斷 Exchange DSAccess 問題。啟動郵件伺服器 Microsoft Exchange Active Directory拓撲服務啟動時，通過DNS解析，SRV記錄，在本地和遠端Active Directory站點中建立可用和可通路的域控制器清單。

如以下

<a href="http://s3.51cto.com/wyfs02/M01/8F/1B/wKioL1jT3vuzBNcNAACKCo1anSs972.png" target="_blank"></a>

在早期Exchange 版本（在 Exchange 2000 或 Exchange 2003），要檢視該事件，必須增加診斷日志記錄在 MSExchangeDSAccess 類别，并重新開機相關服務；

應用程式日志中的事件 ID2080 :

Event Type: Information

Event Source: MSExchangeDSAccess

Event Category: Topology

Event ID: 2080

Computer: MyComputer

Description:

Process MAD.EXE (PID=1808). DSAccess has discovered the following servers with the following characteristics:

(Server name | Roles | Reachability | Synchronized | GC capable | PDC | SACL right | Critical Data | Netlogon | OS Version)

In-site:

domaincontroller1.company.com CDG 7 7 1 0 0 1 7 1

domaincontroller2.company.com CDG 7 7 1 0 1 1 7 1

domaincontroller3.company.com CDG 7 7 1 0 1 1 7 1

Out-of-site:

下面我們一起了解事件 ID 2080 和其内容的列︰

伺服器名稱(Server Name)︰ 第一列訓示行中資料列出域控制器的名稱。

角色（Roles)︰ 是否該特定伺服器可作為配置域控制器 （列C值）、（列值為D） 的域控制器或全局編錄伺服器 （列G值） 為此特定的 Exchange 伺服器的第二列顯示。在本文前面描述的示例中，角色列包含值CDG以顯示該服務可以使用的所有三個功能的伺服器。

可通路性(Reachability)︰ 第三列顯示是否到達傳輸控制協定 (TCP) 連接配接的伺服器。這些位标志由 OR 值連接配接。0x1 表示伺服器可通路全局編錄伺服器 （端口 3268）、 0x2 表示伺服器是作為域控制器 （端口 389），可到達 0x4 表示伺服器為配置域控制器 （端口 389） 可以通路。換句話說，如果伺服器是可到達的作為全局編錄伺服器和域控制器而不是作為配置域控制器，則值為3。在本文前面描述的示例中，第三列中的值7意味着伺服器可通路，作為全局編錄伺服器、 域控制器和配置域控制器 (0x1 | 0x2 | 0x4 = 0x7)。

已同步(Synchronized )︰ 第四列顯示是否 rootDSE 的域控制器上的"isSynchronized"标志設定為 TRUE。這些值使用相同連接配接的 OR 值為到達列中使用的标志的位标志。

GC ︰ 第五列是布爾表達式，指出域控制器是否為全局編錄伺服器。

PDC︰ 第六列是布爾表達式，說明是其域的主域控制器的域控制器。值（0）表示不正确。

SACL 權限︰ 第七列是布爾表達式，指出 DSAccess 是否具有正确的權限來讀取該目錄服務的 SACL 。

關鍵資料︰ 第八個欄是布爾表達式，指出 DSAccess 是否在伺服器名稱列中列出的域控制器的配置容器中找到該 Exchange 伺服器。

Netlogon 複選: 第九個欄說明 DSAccess 是否已成功連接配接到域控制器的網絡登入服務。這需要使用的遠端過程調用 (RPC)，并已關閉的伺服器以外的其他原因，此調用可能會失敗。例如，防火牆可能會阻止此調用。是以，如果在第九個列有 7，這意味着 Net Logon 服務檢查每個角色 （域控制器、 配置域控制器和全局編錄） 成功。

作業系統版本: 第十個欄規定列出的域控制器的作業系統是否至少運作 Microsoft Windows 2000 Service Pack 3 (SP3)。 Exchange 2003 将僅使用域控制器或全局編錄伺服器正在運作 Windows 2000 SP3 或更高版本。 布爾表達式為 1，則表示域控制器滿足 DSAccess 使用的作業系統的要求。

如何使用事件 ID 2080 中的資訊來診斷 DSAccess 問題

1.确認目前環境中伺服器角色及類型

當您檢視事件 ID 2080 消息時，看一看角色列。應該有至少一台伺服器，可以提供服務的 C 角色、 至少一台伺服器，可以提供服務的 D 角色和至少一台伺服器，可以提供服務的 G 角色。如果有一個連字元，而不是在任何這些空格号，檢視您的拓撲結構。請确認您有至少一個域控制器和一個全局編錄伺服器在您的 Exchange 伺服器是成本最低的站點連結或連接配接的站點中的站點。

2.接下來我判斷一下Exchange 與AD域活動目錄連接配接性

檢視列中的可通路性。通常情況下，您還會看到此列中的幾個可能的數字之一。如果域控制器是域控制器，但不是全局編錄伺服器（角色列顯示CD光牒），這個數字是 6 (0x2 | 0x4) 以表示該伺服器的域控制器端口 (389) 是可到達的 TCP 連接配接。如果域控制器是全局編錄伺服器 （角色列顯示"CDG"），這個數字是 7 (0x1 | 0x2 | 0x4)，這表示該伺服器的域控制器端口 (389) 和全局編錄伺服器端口 (3268) 被到達的 TCP 連接配接。如果您看到這裡的其他數字 (特别是 0)，可能有來自 Exchange 伺服器的目錄服務的連接配接有問題。

3.确認Exchange 伺服器域準備條件

下一步，看一看SACL右欄。DSAccess 不使用任何域控制器都沒有權限讀取nTSecurityDescriptor屬性在域控制器上的 SACL。必須有至少一台伺服器，滿足每個角色 （C、 D 或 G）（适當的位标志連接配接中的可通路性列或值），該角色可以通路和SACL 右側列中顯示1 。如果您沒有這些伺服器，确認已顯示0 SACL 右側列中的域控制器的域準備，并确認您的收件人更新服務已正确配置。

通過這些參數讓我們清楚判斷郵件此能夠與Active Directory進行通信。如果環境中沒有可用域控伺服器，常見症狀包括：

1.Exchange Server 服務啟動異常；

2.無法打開Exchange 管理控制台和Exchange Powershel 指令；

3.輸入正确賬号密碼，使用者無法登陸OWA ；

4.在事件檢視器可以發現AD 域錯誤log日志；

如果發現Exchange 和域控無法通信，首先去檢查一下防火牆設定，取消防病毒掃描。确認一下組政策是否做對應限制。

執行個體:

<a href="http://s3.51cto.com/wyfs02/M00/8F/1D/wKiom1jT3vzgr4oNAAA6c9rlY0M973.png" target="_blank"></a>

從以上參數可以判斷,我們看到在站點中已經檢測到一台Active Directory伺服器。與DJ-AD01.djclouds.com 這台伺服器連接配接狀态是正常的；

      本文轉自驚豔了青春 51CTO部落格，原文連結：http://blog.51cto.com/djclouds/1909827，如需轉載請自行聯系原作者