今天跟大家继续分享一个我在项目中遇到的问题哈,希望对大家今后的项目排错有帮助。
问题背景:
企业主域控从 Window Server 2003升级为Windows Server 2012 R2
具体实施方法可以参考我之前的文章(http://horse87.blog.51cto.com/2633686/1613268)
在顺利升级完主域控之后,突然发现内部的Exchanege服务器无法使用了,几乎是全面报错,管理控制台也无法登陆,服务也启不起来,错误日志一大堆,真心无语啊!!!
此时着重排查错误日志,发现很多错误日志是服务无法启动的日志,这个好理解,并且知道这些日志不是报错的根本原因,遂继续寻找,发现如下两个报错很蹊跷:
1. 拓扑发现失败
2. 无法找到域控制器
3. 但是检查与域控的连通性和DNS的时候,一切正常
通过上面三条的排查,怀疑是不是因为域架构提升了,导致Exchange找不到新的架构了。遂决定在Exchange上重新扩展架构。
再使用./Setup /PrepareSchema和./Setup /PrepareAD的时候,都提示目前的AD架构版本已经高于安装的版本,由此考虑Exchange Server应该是获取到了最新的架构版本。
接下来就有点儿摸不着头脑了,就开始无尽的×××找资料,查原因。
后来通过上述报错中的 事件 ID:2080找到了突破口。经过资料的查询发现,事件2080的报错内容,很明显SACL权利对应的值为0,Exchange对域控的SACL权利丢失了,
必须重新添加此SACL权限。
这里我们通过组策略,Default Domain Controllers Policy(默认域控制器策略),计算机配置> 策略> Windows设置 >安全设置 > 本地策略 > 用户权限分配 >管理审核和安全日志,添加Exchange Servers组即可。
再到Exchange检查服务和日志,一切恢复正常。
当然了,最后说一句,至于为什么这个SACL权限在域控上会掉,还在进一步的排查,查到原因后,我会更新在此文章中,也还请大家积极讨论,谢谢!
转载于:https://blog.51cto.com/horse87/1680112