• Artikel

MSExchangeIS 5000 (0x80004005): Datenbank kann aufgrund eines falschen Dienstkontos, fehlender "SeSecurityPrivilege"-Berechtigungen oder falscher Gruppenmitgliedschaft nicht bereitgestellt werden

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2009-08-17

Das Microsoft Exchange-Tool Datenbank-Problembehandlung hat im Anwendungsprotokoll ein oder mehrere MSExchangeIS 5000-Ereignisse mit dem Fehlercode 0x80004005 festgestellt. Das Ereignis bedeutet, dass auf dem Server mit Exchange eine oder mehrere Datenbanken aufgrund eines falschen Dienstkontos, fehlender "SeSecurityPrivilege"-Berechtigungen oder falscher Gruppenmitgliedschaft nicht bereitgestellt werden können.

Erklärung

Dieses Ereignis kann auftreten, wenn eine der folgenden Bedingungen vorliegt:

  • Die Berechtigung Überwachungs- und Sicherheitsprotokoll verwalten (SeSecurityPrivilege) wurde auf einem oder mehreren Domänencontrollern aus der Gruppe Exchange Enterprise Servers entfernt. Die Gruppe Exchange Enterprise Servers benötigt die Berechtigung Überwachungs- und Sicherheitsprotokoll verwalten auf allen Domänencontrollern in der Domäne. Wenn diese Bedingung zutrifft, können ein oder mehrere Exchange Server-bezogene Dienste nicht gestartet werden.
  • Der Microsoft Exchange-Informationsspeicherdienst wird mit einem anderen Konto als Lokales System gestartet, oder die Domänencontroller-, Domänen- oder lokale Sicherheitsrichtlinie enthält nicht das Konto Lokaler Dienst in der Richtlinie Sicherheitsüberprüfung generieren. Liegt diese Bedingung vor, wird der Exchange-Informationsspeicherdienst nicht gestartet.
  • Die Gruppe Exchange Enterprise Servers in der übergeordneten Domäne enthält nicht die Gruppe Exchange Domain Servers in der untergeordneten Domäne.

Das Ereignis kann auch als MAPI_E_CALL_FAILED auftreten. Dieses Ereignis tritt in den folgenden Versionen von Exchange Server auf:

  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2003
  • Microsoft Exchange 2000 Server

Benutzeraktion

Um das Problem zu beheben, führen Sie einen oder mehrere der folgenden Schritte aus:

  • Wenn die Berechtigung zum Verwalten des Überwachungs- und Sicherheitsprotokolls (SeSecurityPrivilege) auf einem oder mehreren Domänencontrollern aus der Gruppe Exchange Enterprise Servers entfernt wurde, führen Sie diese Schritte aus.
    So fügen Sie Berechtigungen auf einem oder mehreren Domänencontrollern hinzu

    1. Verwenden Sie Policytest.exe zum Beheben von Problemen mit Berechtigungen. Policytest.exe befindet sich im Ordner Support\Utils\I386 auf der Exchange 2000 Server-CD bzw. im Ordner Support\ExDeploy auf der Exchange Server 2003-CD. Ermitteln Sie mithilfe von Policytest.exe, ob die Berechtigung zum Verwalten des Überwachungs- und Sicherheitsprotokolls für die Gruppe Exchange Enterprise Servers auf einem Domänencontroller fehlt. Ein erfolgreiches Ergebnis gibt Informationen ähnlich den folgenden zurück:

      Local domain is "<contoso.com>" (contoso) Account is "CONTOSO\Exchange Enterprise Servers" DC = "<ComputerName>" In site = "<Default-First-Site-Name>" Right found: "SeSecurityPrivilege"

      Hinweis   Ein erfolgreiches Ergebnis zeigt, dass die Berechtigung zum Verwalten des Überwachungs- und Sicherheitsprotokolls vorliegt. Zum Ausführen von Policytest.exe müssen Sie über Berechtigungen der Gruppe Domänenadministratoren verfügen. Weitere Informationen über das Dienstprogramm Policytest.exe finden Sie im Microsoft Knowledge Base-Artikel 281537, XADM: Beschreibung des Dienstprogramms "Policytest.exe".

      Hinweis   Das Tool Policytest.exe kann nicht in einer systemeigenen Exchange 2007-Umgebung ausgeführt werden.

    2. Setzen Sie die Exchange Enterprise Server-Standardberechtigungen auf Domänenebene zurück. Führen Sie dazu die folgenden Schritte durch:

      1. Führen Sie den Befehl setup /domainprep von der Exchange Server-CD oder von einem Netzwerkinstallationspunkt aus. Der Befehl setup /domainprep fügt die Gruppe Exchange Enterprise Servers zur Domäne mit den Standardberechtigungen hinzu. Wenn Sie den Befehl setup /domainprep ausführen, werden die Berechtigungen sofort zu einem Domänencontroller hinzugefügt. Anschließend wird die Änderung auf die anderen Domänencontroller repliziert.
      2. Stellen Sie die Berechtigungsvererbung auf andere Organisationseinheiten wieder her. Warten Sie anschließend, bis die Änderungen von den Domänencontrollern in der gesamten Domäne repliziert wurden.
      3. Führen Sie Policytest.exe aus. Achten Sie darauf, welche Domänencontroller das folgende erfolgreiche Ergebnis zurückgeben:
        Right found: "SeSecurityPrivilege"
        Wenn alle Domänencontroller über die korrekten Berechtigungen verfügen, starten Sie die Exchange Server-Dienste neu. Wenn kein Domänencontroller über die korrekten Berechtigungen verfügen, lesen Sie unter Schritt 3 weiter.

    3. Überprüfen Sie die Richtlinie des Standarddomänencontrollers. Führen Sie dazu die folgenden Schritte durch:

      1. Starten Sie das Snap-In Active Directory-Benutzer und -Computer.
      2. Klicken Sie mit der rechten Maustaste auf den Container Domänencontroller, und klicken Sie dann auf Eigenschaften.
      3. Klicken Sie auf die Registerkarte Gruppenrichtlinie, und stellen Sie dann sicher, das Standard-Domänencontrollerrichtlinie im Feld Gruppenrichtlinienobjekt-Verknüpfungen aufgelistet wird. Hinweis   Wenn Standard-Domänencontrollerrichtlinie nicht aufgelistet wird, klicken Sie auf Hinzufügen, klicken Sie auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf OK. Warten Sie, bis diese Änderung auf alle anderen Domänencontroller repliziert wurde.
      4. Führen Sie den Befehl setup /domainprep von der Exchange Server-CD oder von einem Netzwerkinstallationspunkt aus. Der Befehl setup /domainprep fügt die Gruppe Exchange Enterprise Servers zur Domäne mit den Standardberechtigungen hinzu.
      5. Führen Sie Policytest.exe aus. Achten Sie darauf, welche Domänencontroller das folgende erfolgreiche Ergebnis zurückgeben:

      Right found: "SeSecurityPrivilege"

      Wenn alle Domänencontroller über die korrekten Berechtigungen verfügen, starten Sie die Exchange Server-Dienste neu. Wenn einige Domänencontroller nicht über die korrekten Berechtigungen verfügen, lesen Sie unter Schritt 4 weiter.

    4. Fügen Sie manuell Berechtigungen zum Domänencontroller hinzu. Möglicherweise wird die aktualisierte Sicherheitsrichtlinie vom Dateireplikationsdienst (FRS) nach Ausführen des Befehls setup /domainprep auf einen oder mehrere Domänencontroller nicht repliziert. Wenn dieses Problem auftritt, müssen Sie der Gruppe Exchange Enterprise Servers die korrekten Berechtigungen manuell zuweisen. Wenn einige oder alle Domänencontroller nicht über die korrekten Berechtigungen verfügen, weisen Sie der Gruppe Exchange Enterprise Servers die Berechtigung zum Verwalten des Überwachungs- und Sicherheitsprotokolls zu. Warten Sie, bis diese Einstellung auf die anderen Domänencontroller repliziert wurde. Führen Sie dazu die folgenden Schritte durch:

      1. Starten Sie das Snap-In Active Directory-Benutzer und -Computer.
      2. Klicken Sie mit der rechten Maustaste auf den Container Domänencontroller, und klicken Sie dann auf Eigenschaften.
      3. Klicken Sie auf die Registerkarte Gruppenrichtlinie, klicken Sie dann auf Standard-Domänencontrollerrichtlinie im Feld Gruppenrichtlinienobjekt-Verknüpfungen, und klicken Sie schließlich auf Bearbeiten.
      4. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.
      5. Doppelklicken Sie im rechten Bereich auf Verwalten von Überwachungs- und Sicherheitsprotokollen, klicken Sie auf Hinzufügen, klicken Sie auf Durchsuchen, und fügen Sie dann die Gruppe Exchange Enterprise Servers hinzu.
      6. Klicken Sie im Dialogfeld Benutzer oder Gruppe hinzufügen auf OK. Klicken Sie noch einmal auf OK.
      7. Beenden Sie das Gruppenrichtlinien-Snap-In, und klicken Sie dann im Eigenschaftendialogfeld Domänencontroller auf OK. Hinweis   Manchmal ist die Gruppe Exchange Enterprise Servers nicht sichtbar, wenn im Dialogfeld Benutzer hinzufügen oder Gruppe hinzufügen auf Durchsuchen klicken. Tritt dies auf, fügen Sie die Gruppe Exchange Domain Servers hinzu. Führen Sie den Befehl setup /domainprep anschließend erneut aus. Hierdurch wird die Hinzufügung der Gruppe Exchange Enterprise Servers auf alle Domänencontroller übernommen.

  • Wird der Exchange-Informationsspeicherdienst mit einem anderen Konto als Lokales System gestartet, oder enthält die Domänencontroller-, Domänen- oder lokale Sicherheitsrichtlinie nicht das Konto Lokaler Dienst in der Richtlinie Sicherheitsüberprüfung generieren, befolgen Sie die hier beschriebene Auflösung.
    Der Exchange-Informationsspeicherdienst verwendet standardmäßig das Konto Lokales System, um den Informationsspeicherdienst (MACHINENAME$) zu starten. Überprüfen Sie mithilfe des Snap-Ins Services.msc, mit welchem Konto der Informationsspeicherdienst gestartet wird. Handelt es sich bei dem Konto um Lokales System, müssen Sie diesem Konto das Recht Sicherheitsüberprüfung generieren erneut erteilen. Befolgen Sie dazu eine der folgenden Methoden:
    So erteilen Sie dem Konto "Lokales System" das Recht "Sicherheitsüberprüfung generieren" erneut

    1. Führen Sie auf dem aktuellen Computer den Exchange-Befehl Setup /domainprep erneut aus.

    2. Erteilen Sie dem Konto Lokales System manuell das Recht Sicherheitsüberprüfung generieren für eine der folgenden Richtlinien:

      • Richtlinie des Domänencontrollers
      • Domänenrichtlinie
      • Lokale Sicherheitsrichtlinie

    So erteilen Sie der lokalen Sicherheitsrichtlinie eines Mitgliedsservers erneut das Recht "Sicherheitsüberprüfung generieren"

    1. Klicken Sie auf Start, dann auf Verwaltung und anschließend auf Lokale Sicherheitsrichtlinie.

    2. Erweitern Sie Sicherheitseinstellungen, klicken Sie auf Lokale Richtlinien und anschließend auf Zuweisen von Benutzerrechten.

    3. Doppelklicken Sie im rechten Bereich auf Sicherheitsüberprüfung generieren, klicken Sie auf Hinzufügen, geben Sie die MACHINENAME$ ein, und klicken Sie anschließend zweimal auf OK.

    4. Beenden Sie das Snap-In Gruppenrichtlinie. Wenn Sie den Informationsspeicherdienst mithilfe eines anderen Kontos als Lokales System starten, müssen Sie zum Konto Lokales System (MACHINENAME$) zurückkehren. Versuchen Sie anschließend, den Informationsspeicherdienst zu starten. Weitere Informationen zu den Gründen, warum Exchange 2000 Server und Exchange Server 2003 das Konto Lokales System zum Starten von Exchange-Diensten verwenden, finden Sie im Microsoft Knowledge Base-Artikel 239762, Exchange-Dienste werden unter LocalSystem ausgeführt.

  • Wenn die Gruppe Exchange Enterprise Servers in der übergeordneten Domäne nicht die Gruppe Exchange Domain Servers in der untergeordneten Domäne enthält, fügen Sie die Exchange Domain Servers in der untergeordneten Domäne der Gruppe Exchange Enterprise Servers in der übergeordneten Domäne hinzu. Sie können dieses Problem auch beheben, indem Sie in der Stammdomäne den Empfängeraktualisierungsdienst erstellen.
    Zum Beheben dieses Problems führen Sie das Exchange-Setup mit der Option /domainprep auf einem Server in der Windows-Remotedomäne aus. Verwenden Sie dann auf dem Exchange-Server den Exchange-System-Manager, um einen Empfängeraktualisierungsdienst für die Remotedomäne zu erstellen. Führen Sie dazu die folgenden Schritte durch:
    So erstellen Sie eine Empfängeraktualisierungsdienst für die Remotedomäne

    1. Klicken Sie auf Start, klicken Sie auf Programme, klicken Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager.

    2. Erweitern Sie das Objekt Organisation, und erweitern Sie dann den Container Empfänger.

    3. Klicken Sie auf Empfängeraktualisierungsdienst.

    4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Neu, und klicken Sie dann auf Empfängeraktualisierungsdienst.

    5. Klicken Sie auf die Domäne, die Benutzer enthält, die von Exchange aktualisiert werden müssen, aber über keine Instanz des Empfängeraktualisierungsdiensts verfügt.

    6. Klicken Sie auf Weiter.

    7. Wählen Sie den Server aus, auf dem Sie den Empfängeraktualisierungsdienst ausführen und alle erforderlichen Benutzer mit den Exchange-Attributen verarbeiten möchten.

    8. Klicken Sie auf Weiter.

    9. Klicken Sie auf Fertig stellen.

    10. Um eine Aktualisierung der Empfänger in dieser Domäne manuell durchzuführen, klicken Sie mit der rechten Maustaste auf Empfängeraktualisierungsdienst, und klicken Sie dann auf Jetzt aktualisieren, um eine Aktualisierung zu erzwingen. Weitere Informationen finden Sie in Microsoft Knowledge Base-Artikel 253770 Tasks, die vom Empfängeraktualisierungsdienst von Exchange ausgeführt werden.