今天跟大家继续分享一个我在项目中遇到的问题哈,希望对大家今后的项目排错有帮助。

问题背景:

企业主域控从 Window Server 2003升级为Windows Server 2012 R2

具体实施方法可以参考我之前的文章(http://horse87.blog.51cto.com/2633686/1613268)

在顺利升级完主域控之后,突然发现内部的Exchanege服务器无法使用了,几乎是全面报错,管理控制台也无法登陆,服务也启不起来,错误日志一大堆,真心无语啊!!!

p_w_picpath

p_w_picpath

此时着重排查错误日志,发现很多错误日志是服务无法启动的日志,这个好理解,并且知道这些日志不是报错的根本原因,遂继续寻找,发现如下两个报错很蹊跷:

1. 拓扑发现失败

p_w_picpath

2. 无法找到域控制器

p_w_picpath

p_w_picpath

3. 但是检查与域控的连通性和DNS的时候,一切正常

p_w_picpath

通过上面三条的排查,怀疑是不是因为域架构提升了,导致Exchange找不到新的架构了。遂决定在Exchange上重新扩展架构。

再使用./Setup /PrepareSchema和./Setup /PrepareAD的时候,都提示目前的AD架构版本已经高于安装的版本,由此考虑Exchange Server应该是获取到了最新的架构版本。

p_w_picpath

接下来就有点儿摸不着头脑了,就开始无尽的×××找资料,查原因。

后来通过上述报错中的 事件 ID:2080找到了突破口。经过资料的查询发现,事件2080的报错内容,很明显SACL权利对应的值为0,Exchange对域控的SACL权利丢失了,

必须重新添加此SACL权限。

这里我们通过组策略,Default Domain Controllers Policy(默认域控制器策略),计算机配置> 策略> Windows设置 >安全设置 > 本地策略 > 用户权限分配 >管理审核和安全日志,添加Exchange Servers组即可。

p_w_picpath

再到Exchange检查服务和日志,一切恢复正常。

p_w_picpath

p_w_picpath

当然了,最后说一句,至于为什么这个SACL权限在域控上会掉,还在进一步的排查,查到原因后,我会更新在此文章中,也还请大家积极讨论,谢谢!