• 發行項

MSExchangeIS 5000 (0x80004005):因為服務帳戶不正確、SeSecurityPrivilege 權限遺失或群組成員資格不正確,而無法裝載資料庫

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2009-08-17

Microsoft Exchange 資料庫疑難排解員工具在應用程式記錄檔中偵測到一或多個具有錯誤碼 0x80004005 的 MSExchangeIS 5000 事件。此事件指出因為服務帳戶不正確、SeSecurityPrivilege 權限遺失或群組成員資格不正確,而無法裝載 Exchange 伺服器上的一或多個資料庫。

說明

如果符合下列其中一種情況,就會發生此事件:

  • 已自一或多個網域控制站的 Exchange Enterprise Servers 群組中移除「管理稽核與安全性記錄檔」權限 (SeSecurityPrivilege)。Exchange Enterprise Servers 群組必須要有網域中所有網域控制站的「管理稽核與安全性記錄檔」權限。符合此情況時,就無法啟動一或多個 Exchange Server 相關服務。
  • 使用 Local System 以外的帳戶啟動 Microsoft Exchange Information Store 服務,或是網域控制站、網域或「本機電腦安全性原則」的「產生安全性稽核」原則中未包含 Local System 帳戶。符合此情況時,就不會啟動 Exchange Information Store 服務。
  • 父系網域的 Exchange Enterprise Servers 群組未包含子網域的 Exchange Domain Servers 群組。

此事件也可能被識別為 MAPI_E_CALL_FAILED。此事件適用於下列 Exchange Server 版本:

  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2003
  • Microsoft Exchange 2000 Server

使用者動作

若要解決這個問題,請執行下列一或多個動作:

  • 如果已從一或多個網域控制站的 Exchange Enterprise Servers 群組中移除「管理稽核與安全性記錄檔」權限 (SeSecurityPrivilege),請遵循下列步驟:
    在一或多個網域控制站上新增權限

    1. 使用 Policytest.exe 來疑難排解權限問題。Policytest.exe 位於 Exchange 2000 Server CD 上的 Support\Utils\I386 資料夾,或是 Exchange Server 2003 CD 上的 Support\ExDeploy 資料夾。請使用 Policytest.exe 判定網域控制站的 Exchange Enterprise Servers 群組是否遺失「管理稽核與安全性記錄檔」權限。成功的結果會傳回類似以下的資訊:

      本機網域是 "<contoso.com>" (contoso),帳戶是 "CONTOSO\Exchange Enterprise Servers" DC = "<ComputerName>" 於站台 = "<Default-First-Site-Name>" 發現的權限:"SeSecurityPrivilege"

      附註   成功的結果會顯示「管理稽核與安全性記錄檔」權限已存在。您必須具有網域系統管理員權限才能執行 Policytest.exe。如需 Policytest.exe 公用程式的相關資訊,請參閱 Microsoft 知識庫文章 281537<XADM:Policytest.exe 公用程式的描述>(機器翻譯)。

      附註   Policytest.exe 工具無法用於原生 Exchange 2007 環境。

    2. 在網域層級重設 Exchange Enterprise Server 預設權限。若要這樣做,請遵循下列步驟:

      1. 從 Exchange Server CD 或網路安裝點執行 setup /domainprep 命令。setup /domainprep 命令會將 Exchange Enterprise Servers 群組新增到具有預設權限的網域。當您執行 setup /domainprep 命令時,權限會立即新增到一個網域控制站。接著,變更會複寫至其他網域控制站。
      2. 將權限繼承還原至其他組織單位。然後等待網域控制站將變更複寫到整個網域內。
      3. 執行 Policytest.exe。請注意哪些網域控制站傳回下列成功結果:
        發現的權限:"SeSecurityPrivilege"
        如果所有網域控制站都有正確的權限,請重新啟動 Exchange Server 服務。如果任何網域控制站都沒有正確的權限,請參閱步驟 3。

    3. 驗證預設網域控制站的原則。若要這樣做,請遵循下列步驟:

      1. 啟動 [Active Directory 使用者及電腦] 嵌入式管理單元。
      2. 在 [網域控制站] 容器上按一下滑鼠右鍵,然後按一下 [內容]。
      3. 按一下 [群組原則] 索引標籤,然後確定 [預設網域控制站原則] 列在 [群組原則物件連結] 方塊中。附註   如果未列出 [預設網域控制站原則],請依序按一下 [新增]、[預設網域控制站原則],然後按一下 [確定]。然後等待此變更複寫到所有其他網域控制站。
      4. 從 Exchange Server CD 或網路安裝點執行 setup /domainprep 命令。setup /domainprep 命令會將 Exchange Enterprise Servers 群組新增到具有預設權限的網域。
      5. 執行 Policytest.exe。請注意哪些網域控制站傳回下列成功結果:

      發現的權限:"SeSecurityPrivilege"

      如果所有網域控制站都有正確的權限,請重新啟動 Exchange Server 服務。如果部份網域控制站沒有正確的權限,請參閱步驟 4。

    4. 手動新增權限至網域控制站。在您執行 setup /domainprep 命令之後,檔案複寫服務 (FRS) 可能不會將更新的安全性原則複寫到一或多個網域控制站。如果發生此問題,您必須手動指派正確的權限至 Exchange Enterprise Servers 群組。如果部份網域控制站或所有網域控制站沒有正確的權限,請將「管理稽核與安全性記錄檔」權限指派至 Exchange Enterprise Servers 群組。然後等待設定複寫到其他網域控制站。若要這樣做,請遵循下列步驟:

      1. 啟動 [Active Directory 使用者及電腦] 嵌入式管理單元。
      2. 在 [網域控制站] 容器上按一下滑鼠右鍵,然後按一下 [內容]。
      3. 按一下 [群組原則] 索引標籤,在 [群組原則物件連結] 方塊中按一下 [預設網域控制站原則],然後按一下 [編輯]。
      4. 依序展開 [電腦組態]、[Windows 設定]、[安全性設定]、[本機原則],然後按一下 [使用者權限指派]。
      5. 在右窗格中,連按兩下 [管理稽核與安全性記錄檔],再依序按一下 [新增]、[瀏覽],然後新增 [Exchange Enterprise Servers 群組]。
      6. 在 [新增使用者或群組] 對話方塊中,按一下 [確定]。然後再按一次 [確定]。
      7. 結束 [群組原則] 嵌入式管理單元,然後在 [網域控制站內容] 對話方塊中按一下 [確定]。附註   有時當您在 [新增使用者或群組] 對話方塊中按 [瀏覽] 時可能看不到 Exchange Enterprise Servers 群組。如果發生此行為,請新增 Exchange Enterprise Servers 群組。然後重新執行 setup /domainprep 命令。這個處理程序會讓所有網域控制站上都有新增 Exchange Enterprise Servers 群組的動作。

  • 如果使用 Local System 以外的帳戶啟動 Exchange Information Store 服務,或是網域控制站、網域或「本機電腦安全性原則」的「產生安全性稽核」原則中未包含 Local System 帳戶,請遵循此處所指示的解決方案。
    根據預設,Exchange Information Store 服務會使用 Local Service 帳戶來啟動 Information Store 服務 (MACHINENAME$)。請使用 Services.msc 嵌入式管理單元來檢查用來啟動 Information Store 服務的帳戶。如果是使用 Local Service 帳戶,則必須將「產生安全性稽核」權限重新授與 Local Service 帳戶。若要執行這項作業,請使用下列其中一種方法:
    將「產生安全性稽核」權限重新授與 Local Service 帳戶

    1. 從此電腦重新執行 Exchange Setup /domainprep 命令。

    2. 手動將下列其中一個原則的「產生安全性稽核」權限授與 Local Service 帳戶:

      • 網域控制站原則
      • 網域原則
      • 本機電腦安全性原則

    將產生安全性稽核權限重新授與成員伺服器的本機電腦安全性原則

    1. 按一下 [開始],並按一下 [系統管理工具],然後按一下 [本機安全性原則]。

    2. 展開 [安全性設定],並按一下 [本機原則],然後按一下 [使用者權限指派]。

    3. 在右窗格中,按兩下 [產生安全性稽核]、按一下 [新增]、輸入 MACHINENAME$,然後按兩次 [確定]。

    4. 結束 [群組原則] 嵌入式管理單元。 如果使用 Local System 帳戶以外的帳戶來啟動 Information Store 服務,則應該將它變更為 Local System 帳戶 (MACHINENAME$)。接著,請嘗試啟動 Information Store 服務。如需 Exchange 2000 Server 與 Exchange Server 2003 為何使用 Local System 帳戶來啟動 Exchange 服務的相關資訊,請參閱 Microsoft 知識庫文章 239762<Exchange 服務以 LocalSystem 執行>。

  • 如果父系網域的 Exchange Enterprise Servers 群組未包含子網域的 Exchange Domain Servers 群組,請將子網域的 Exchange Domain Servers 群組新增至父系網域的 Exchange Enterprise Servers 群組中。而在根網域中建立收件者更新服務,也可以解決此問題。
    若要解決此問題,請在遠端 Windows 網域中的伺服器上,使用 /domainprep 參數執行 Exchange 安裝程式。然後在 Exchange 伺服器上使用 Exchange 系統管理員,建立遠端網域的收件者更新服務。若要這樣做,請遵循下列步驟:
    建立遠端網域的收件者更新服務

    1. 依序按一下 [開始]、[程式集]、[Microsoft Exchange] 及 [系統管理員]。

    2. 展開 [組織] 物件,然後展開 [收件者] 容器。

    3. 按一下 [收件者更新服務]。

    4. 在右窗格中,以滑鼠右鍵按一下 [新增],然後按一下 [收件者更新服務]。

    5. 按一下沒有收件者更新服務執行個體且具有必須由 Exchange 更新之使用者的網域。

    6. 按 [下一步]。

    7. 選取您要執行收件者更新服務及處理所有具有 Exchange 屬性之必要使用者的伺服器。

    8. 按 [下一步]。

    9. 按一下 [完成]。

    10. 若要手動啟動該網域中的收件者更新,請以滑鼠右鍵按一下 [收件者更新服務],然後按一下 [立即更新] 強制更新。 如需相關資訊,請參閱 Microsoft 知識庫文章 253770<Exchange 收件者更新服務所執行的工作>(機器翻譯)。