• Artigo

MSExchangeIS 5000 (0x80004005): Não é possível montar o banco de dados devido à conta de serviço incorreta ou permissões SeSecurityPrivilege ausentes ou associação de grupos incorreta

[Este tópico pretende solucionar um problema específico acarretado pela ferramenta Exchange Server Analyzer. Você deve aplicá-lo apenas a sistemas em que a ferramenta Exchange Server Analyzer tenha sido executada e estejam passando por esse problema específico. A ferramenta Exchange Server Analyzer, disponível como download gratuito, coleta remotamente dados de configuração de cada servidor da topologia e analisa automaticamente os dados. O relatório resultante detalha problemas importantes de configuração, problemas potenciais e configurações de produto diferentes do padrão. Ao seguir estas recomendações, você poderá atingir melhor desempenho, escalabilidade, confiabilidade e tempo de operação. Para obter mais informações sobre a ferramenta ou para baixar as últimas versões, consulte "Microsoft Exchange Analyzers" em https://go.microsoft.com/fwlink/?linkid=34707.]  

Tópico modificado em: 2009-08-17

A ferramenta Microsoft Exchange Database Troubleshooter Tool detectou um ou mais eventos MSExchangeIS 5000 com código de erro 0x80004005 no log de aplicativos. O evento indica que um ou mais bancos de dados no servidor Exchange não podem ser montados devido a uma conta de serviço incorreta, permissões SeSecurityPrivilege ausentes ou associação de grupos incorreta.

Explicação

O evento pode ocorrer se alguma das seguintes condições for verdadeira:

  • A permissão Gerenciar Auditoria e Log de Segurança (SeSecurityPrivilege) foi removida do grupo Servidores Corporativos do Exchange em um ou mais controladores de domínio. O grupo Servidores Corporativos do Exchange deve ter a permissão Gerenciar Auditoria e Log de Segurança em todos os controladores de domínio do domínio. Quando essa condição for verdadeira, um ou mais serviços relacionados ao Exchange Server não serão iniciados.
  • O serviço de Armazenamento de Informações do Microsoft Exchange está sendo iniciado com uma conta diferente de Sistema Local, ou o controlador de domínio, o domínio ou a Diretiva de Segurança de Máquina Local não inclui a conta Serviço Local na diretiva Gerar Auditorias de Segurança. Quando essa condição for verdadeira, o serviço Armazenamento de Informações do Exchange não será iniciado.
  • O grupo Servidores Corporativos do Exchange do domínio pai não contém o grupo Servidores de Domínio do Exchange do domínio filho.

O evento também pode ser identificado como MAPI_E_CALL_FAILED. O evento se aplica às seguintes versões do servidor Exchange:

  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2003
  • Microsoft Exchange 2000 Server

Ação do usuário

Para resolver o problema, execute um ou mais dos seguintes procedimentos:

  • Se a permissão Gerenciar auditoria e log de segurança (SeSecurityPrivilege) for removida do grupo Exchange Enterprise Servers em um ou mais controladores de domínio, siga estas etapas:
    Para adicionar permissões em um ou mais controladores de domínio

    1. Use Policytest.exe para solucionar problemas de permissões. Policytest.exe está localizado na pasta Support\Utils\I386 do CD do Exchange 2000 Server, ou na pasta Support\ExDeploy, do CD do Exchange Server 2003. Use o Policytest.exe para determinar se a permissão "Gerenciar auditoria e log de segurança" do grupo Exchange Enterprise Servers está faltando em um controlador de domínio. Um resultado com êxito retorna informações semelhantes às seguintes:

      O domínio local é "<contoso.com>" (contoso) A conta é "CONTOSO\Exchange Enterprise Servers" DC = "<ComputerName>" No site = "<Default-First-Site-Name>" Direito encontrado: "SeSecurityPrivilege"

      Observação   Um resultado com êxito mostra que existe a permissão "Gerenciar auditoria e log de segurança". É necessário que você tenha direitos de administrador de domínio para executar o Policytest.exe. Para obter mais informações sobre o utilitário Policytest.exe, consulte o artigo 281537 da Base de Dados de Conhecimento Microsoft, XADM: Descrição do utilitário Policytest.exe.

      Observação   A ferramenta Policytest.exe não pode ser usada em um ambiente nativo do Exchange 2007.

    2. Redefina as permissões padrão de Exchange Enterprise Server no nível de domínio. Para fazer isso, siga essas etapas:

      1. Execute o comando setup /domainprep a partir do CD do Exchange Server ou do ponto de instalação na rede. O comando setup /domainprep adiciona o grupo Exchange Enterprise Servers ao domínio que tem permissões padrão. Ao executar o comando setup /domainprep, as permissões são adicionadas imediatamente a um controlador de domínio. Em seguida, a alteração é replicada nos outros controladores de domínio.
      2. Restaure a herança de permissões em outras unidades organizacionais. Em seguida, aguarde os controladores de domínio replicarem as alterações em todo o domínio.
      3. Execute o Policytest.exe. Observe quais controladores de domínio retornam o seguinte resultado com êxito:
        Direito encontrado: "SeSecurityPrivilege"
        Se todos os controladores de domínio tiverem as permissões corretas, reinicie os serviços do Exchange Server. Se nenhum controlador de domínio tiver as permissões corretas, consulte a etapa 3.

    3. Verifique a diretiva do controlador de domínio padrão. Para fazer isso, siga essas etapas:

      1. Inicie o snap-in Usuários e Computadores do Active Directory.
      2. Clique com o botão direito no contêiner Controladores de Domínio e em Propriedades.
      3. Clique na guia Diretiva de Grupo e verifique se Diretiva de Controladores de Domínio Padrão está listada na caixa de diálogo Links de Objetos de Diretiva de Grupo. Observação   Se Diretiva de Controladores de Domínio Padrão não estiver na lista, clique em Adicionar, Diretiva de Controladores de Domínio Padrão e clique em OK. Em seguida, aguarde a replicação dessa alteração em todos os demais controladores de domínio.
      4. Execute o comando setup /domainprep a partir do CD do Exchange Server ou do ponto de instalação na rede. O comando setup /domainprep adiciona o grupo Exchange Enterprise Servers ao domínio que tem permissões padrão.
      5. Execute o Policytest.exe. Observe quais controladores de domínio retornam o seguinte resultado com êxito:

      Direito encontrado: "SeSecurityPrivilege"

      Se todos os controladores de domínio tiverem as permissões corretas, reinicie os serviços do Exchange Server. Se algum controlador de domínio não tiver as permissões corretas, consulte a etapa 4.

    4. Adicione manualmente as permissões ao controlador de domínio. O FRS (Serviço de Replicação de Arquivo) pode não replicar a diretiva de segurança atualizada em um ou mais controladores de domínio após a execução do comando setup /domainprep. Se esse problema ocorrer, atribua manualmente as permissões corretas ao grupo Exchange Enterprise Servers. Se alguns ou todos os controladores de domínio não tiverem as permissões corretas, atribua a permissão "Gerenciar auditoria e log de segurança" ao grupo Exchange Enterprise Servers. Em seguida, aguarde a replicação da definição nos demais controladores de domínio. Para fazer isso, siga essas etapas:

      1. Inicie o snap-in Usuários e Computadores do Active Directory.
      2. Clique com o botão direito no contêiner Controladores de Domínio e em Propriedades.
      3. Clique na guia Diretiva de Grupo, clique em Diretiva de Controladores de Domínio Padrão na caixa de diálogo Links de Objetos de Diretiva de Grupo e clique em Editar.
      4. Expanda Configuração do Computador, Configurações do Windows, Configurações de Segurança, Diretivas Locais e clique em Atribuição de Direitos do Usuário.
      5. No painel direito, clique duas vezes em Gerenciar auditoria e log de segurança, clique em Adicionar, Procurar e adicione o grupo Exchange Enterprise Servers.
      6. Na caixa de diálogo Adicionar usuário ou grupo, clique em OK. Em seguida, clique em OK novamente.
      7. Saia do snap-in Diretiva de Grupo e clique em OK na caixa de diálogo Propriedades de Controladores de Domínio. Observação   Algumas vezes, o grupo Exchange Enterprise Servers pode não ser exibido quando você clica em Procurar na caixa de diálogo Adicionar usuário ou grupo. Se esse comportamento ocorrer, adicione o grupo Exchange Domain Servers. Em seguida, execute o comando setup /domainprep novamente. Esse processo torna permanente a adição do grupo Exchange Enterprise Servers em todos os controladores de domínio.

  • Se o serviço Armazenamento de Informações do Exchange estiver sendo iniciado com uma conta diferente de Sistema Local, ou se o controlador de domínio, o domínio ou a Diretiva de Segurança de Máquina Local não incluir a conta Serviço Local na diretiva Gerar Auditorias de Segurança, siga a resolução aqui indicada.
    Por padrão, o serviço de Armazenamento de Informações do Exchange usa a conta Sistema Local para iniciar o serviço de Armazenamento de Informações (MACHINENAME$). Use o snap-in Services.msc para verificar qual conta está sendo usada para iniciar o serviço de Armazenamento de Informações. Se a conta for a de Sistema Local, conceda novamente a ela o direito Gerar auditorias de segurança. Para fazer isso, use um dos seguintes métodos:
    Para conceder novamente o direito Gerar auditorias de segurança à conta Sistema Local

    1. Execute novamente o comando Setup /domainprep do Exchange nesse computador.

    2. Conceda manualmente à conta Sistema Local o direito Gerar auditorias de segurança em uma das seguintes diretivas:

      • A diretiva do controlador de domínio
      • A diretiva do domínio
      • A diretiva de Segurança da Máquina Local

    Para conceder novamente o direito Gerar auditorias de segurança à diretiva de Segurança da Máquina Local de um servidor membro

    1. Clique em Iniciar, Ferramentas Administrativas e em Diretiva de Segurança Local.

    2. Expanda Configurações de Segurança, clique em Diretivas Locais e clique em Atribuição de Direitos do Usuário.

    3. No painel direito, clique duas vezes em Gerar Auditorias de Segurança, clique em Adicionar, insira MACHINENAME$ e clique em OK duas vezes.

    4. Saia do snap-in Diretiva de Grupo. Se você iniciar o serviço de Armazenamento de Informações com uma conta que não seja Sistema Local, altere-a para a conta Sistema Local (MACHINENAME$). Em seguida, tente iniciar o serviço de Armazenamento de Informações. Para obter mais informações sobre por que o Exchange 2000 Server e o Exchange Server 2003 usam a conta Sistema Local para iniciar os serviços do Exchange, consulte o artigo 239762 da Base de Dados de Conhecimento Microsoft, Serviços do Exchange executados na conta Sistema Local (em inglês).

  • Se o grupo Servidores Corporativos do Exchange do domínio pai não contiver o grupo Servidores de Domínio do Exchange do domínio filho, adicione o grupo Servidores de Domínio do Exchange do domínio filho ao grupo Servidores Corporativos do Exchange no domínio pai. Também é possível resolver esse problema criando o Serviço de Atualização de Destinatário no domínio raiz.
    Para resolver esse problema, execute a instalação do Exchange com a opção /domainprep em um servidor no domínio remoto do Windows. Em seguida, no servidor Exchange, use o Gerenciador de Sistema do Exchange para criar um Serviço de Atualização de Destinatário para o domínio remoto. Para fazer isso, siga essas etapas:
    Para criar um Serviço de Atualização de Destinatário para o domínio remoto

    1. Clique em Iniciar, Programas, Microsoft Exchange e Gerenciador do Sistema.

    2. Expanda o objeto Organização e expanda o contêiner Destinatários.

    3. Clique em Serviço de Atualização de Destinatário.

    4. No painel direito, clique com o botão direito em Novo e clique em Serviço de Atualização de Destinatário.

    5. Clique no domínio que não tenha uma instância do Serviço de Atualização de Destinatário e tenha usuários que devam ser atualizados pelo Exchange.

    6. Clique em Avançar.

    7. Selecione o servidor no qual você deseja executar o Serviço de Atualização de Destinatário e processar todos os usuários necessários com os atributos do Exchange.

    8. Clique em Avançar.

    9. Clique em Concluir.

    10. Para iniciar manualmente uma atualização dos destinatários desse domínio, clique com o botão direito em Serviço de Atualização de Destinatário e clique em Atualizar Agora para forçar uma atualização. Para obter mais informações, consulte o artigo 253770 da Base de Dados de Conhecimento Microsoft, Tarefas executadas pelo Serviço de Atualização de Destinatário do Exchange (em inglês).