• Artículo

MSExchangeIS 5000 (0x80004005): no se puede montar la base de datos, la cuenta de servicio es incorrecta, faltan los permisos SeSecurityPrivilege o la pertenencia a grupos es incorrecta

[Este tema tiene como objetivo tratar un problema específico localizado por la herramienta Exchange Server Analyzer. Deberá aplicarlo únicamente a sistemas en los que se haya ejecutado la herramienta Exchange Server Analyzer y que experimenten ese problema específico. La herramienta Exchange Server Analyzer, disponible para descargarla de forma gratuita, recopila de forma remota datos de configuración de cada servidor en la topología y analiza automáticamente los datos. El informe resultante detalla problemas de configuración importantes, posibles problemas y configuración de producto no predeterminada. Siguiendo estas recomendaciones, puede obtener un mejor rendimiento, escalabilidad, confiabilidad y tiempo de actividad. Para obtener más información acerca de la herramienta o para descargar las últimas versiones, consulte "Herramientas de análisis de Microsoft Exchange" en https://go.microsoft.com/fwlink/?linkid=34707.]  

Última modificación del tema: 2009-08-17

La herramienta Solucionador de problemas de la base de datos de Microsoft Exchange ha detectado uno o más eventos de MSExchangeIS 5000 con el código de error 0x80004005 en el registro de la aplicación. El evento indica que no se puede montar una o más bases de datos en el servidor de Exchange porque una cuenta de servicio es incorrecta, faltan permisos SeSecurityPrivilege o la pertenencia a grupos es incorrecta.

Explicación

Se puede producir este evento cuando se da alguna de las condiciones siguientes:

  • Se elimina el permiso Administrar registro de seguridad y auditoría (SeSecurityPrivilege) del grupo Servidores empresariales de Exchange en uno o más controladores de dominio. El grupo Servidores empresariales de Exchange debe disponer del permiso Administrar registro de seguridad y auditoría en todos los controladores de dominio del dominio. Cuando se cumple esta condición, al menos un servicio relacionado con Exchange Server no podrá iniciarse.
  • El servicio Almacén de información de Microsoft Exchange se inicia con una cuenta que no es la cuenta de sistema local o si el controlador del dominio, el dominio o la directiva de seguridad del equipo local no incluye la cuenta de servicio local en la directiva Generar auditorías de seguridad. Cuando se cumple esta condición, el servicio Almacén de información de Exchange no se inicia.
  • El grupo Servidores empresariales de Exchange del dominio principal no contiene el grupo Servidores de dominios de Exchange del dominio secundario.

El evento puede identificarse también como MAPI_E_CALL_FAILED. Se aplica a las siguientes versiones de Exchange Server:

  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2003
  • Microsoft Exchange 2000 Server

Acción del usuario

Para resolver este problema, realice una de las operaciones siguientes:

  • Si se elimina el permiso Administrar registro de seguridad y auditoría (SeSecurityPrivilege) del grupo Servidores empresariales de Exchange en uno o más controladores de dominio, siga estos pasos:
    Para agregar permisos en uno o varios controladores de dominio

    1. Utilice Policytest.exe para solucionar los problemas de permisos. Policytest.exe se ubica en la carpeta Support\Utils\I386 del CD de Exchange 2000 Server o en la carpeta Support\ExDeploy del CD de Exchange Server 2003. Utilice Policytest.exe para determinar si falta el permiso "Administrar el registro de auditoría y seguridad" para el grupo Servidores empresariales de Exchange de un controlador de dominio. Un resultado correcto devuelve una información similar a la siguiente:

      Dominio local es "<contoso.com>" (contoso) Cuenta es "CONTOSO\Exchange Enterprise Servers" DC = "<NombreDeEquipo>" En el sitio = "<Nombre-Primer-Sitio-Predeterminado>" Derecho encontrado: "SeSecurityPrivilege"

      Nota   Un resultado correcto muestra que el permiso "Administrar el registro de auditoría y seguridad" existe. Debe disponer de derechos de administrador del dominio para ejecutar Policytest.exe. Para obtener más información sobre la utilidad Policytest.exe, consulte el artículo 281537 de Microsoft Knowledge Base, XADM: Descripción de la herramienta Policytest.exe.

      Nota   La herramienta Policytest.exe no se puede utilizar en un entorno nativo de Exchange 2007.

    2. Restablezca los permisos predeterminados del Servidor empresarial de Exchange en el nivel de dominio. Para ello, siga estos pasos:

      1. Ejecute el comando setup /domainprep desde el CD de Exchange Server o desde un punto de instalación de red. El comando setup /domainprep agrega el grupo Servidores empresariales de Exchange al dominio que tiene permisos predeterminados. Al ejecutar el comando setup /domainprep, los permisos se agregan de forma inmediata a un controlador de dominio. A continuación, el cambio se replica en el resto de controladores de dominio.
      2. Restaure la herencia de los permisos en el resto de unidades organizativas. A continuación, espere hasta que los controladores de dominio repliquen los cambios en todo el dominio.
      3. Ejecute Policytest.exe. Observe los controladores de dominio que devuelven el siguiente resultado correcto:
        Derecho encontrado: "SeSecurityPrivilege"
        Si todos los controladores de dominio tienen los permisos correctos, reinicie los servicios de Exchange Server. Si no hay controladores de dominio con los permisos correctos, consulte el paso 3.

    3. Compruebe la directiva de los controladores de dominio predeterminados. Para ello, siga estos pasos:

      1. Inicie el complemento Usuarios y equipos de Active Directory.
      2. Haga clic con el botón secundario en el contenedor Controladores de dominio y, a continuación, haga clic en Propiedades.
      3. Haga clic en la ficha Directiva de grupo y, a continuación, asegúrese de que la Directiva predeterminada de controladores de dominio aparece en el cuadro Vínculos de objetos de directiva de grupo.Nota   Si la Directiva predeterminada de controladores de dominio no se encuentra en la lista, haga clic en Agregar, haga clic en Directiva predeterminada de controladores de dominio y, a continuación, en Aceptar. Después, espere hasta que este cambio se replique en el resto de controladores de dominio.
      4. Ejecute el comando setup /domainprep desde el CD de Exchange Server o desde un punto de instalación de red. El comando setup /domainprep agrega el grupo Servidores empresariales de Exchange al dominio que tiene permisos predeterminados.
      5. Ejecute Policytest.exe. Observe los controladores de dominio que devuelven el siguiente resultado correcto:

      Derecho encontrado: "SeSecurityPrivilege"

      Si todos los controladores de dominio tienen los permisos correctos, reinicie los servicios de Exchange Server. Si algún controlador de dominio no tiene los permisos correctos, consulte el paso 4.

    4. Agregue manualmente permisos al controlador de dominio. Es posible que el servicio de replicación de archivos (FRS) no replique la directiva de seguridad actualizada en uno o varios controladores de dominio una vez ejecutado el comando setup /domainprep. Si surge este problema, deberá asignar manualmente los permisos correctos al grupo Servidores empresariales de Exchange. Si algunos o todos los controladores de dominio no disponen de los permisos correctos, asigne el permiso "Administrar el registro de auditoría y seguridad" al grupo Servidores empresariales de Exchange. Después, espere hasta que esta configuración se replique en el resto de controladores de dominio. Para ello, siga estos pasos:

      1. Inicie el complemento Usuarios y equipos de Active Directory.
      2. Haga clic con el botón secundario en el contenedor Controladores de dominio y, a continuación, haga clic en Propiedades.
      3. Haga clic en la ficha Directiva de grupo, haga clic en Directiva predeterminada de controladores de dominio en el cuadro Vínculos de objeto de directiva de grupo y, a continuación, en Editar.
      4. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, por último, haga clic en Asignación de derechos de usuario.
      5. En el panel derecho, haga doble clic en Administrar el registro de auditoría y seguridad, haga clic en Agregar, haga clic en Examinar y, a continuación, agregue el grupo Servidores empresariales de Exchange.
      6. En el cuadro de diálogo Agregar usuario o grupo, haga clic en Aceptar. A continuación, haga clic de nuevo de Aceptar.
      7. Salga del complemento Directiva de grupo y haga clic en Aceptar en el cuadro de diálogo Propiedades de Controladores de dominio.Nota   En ocasiones, es posible que el grupo Servidores empresariales de Exchange esté visible al hacer clic en Examinar en el cuadro de diálogo Agregar usuario o grupo. Si se da este comportamiento, agregue el grupo Servidores de dominio de Exchange. A continuación, ejecute de nuevo el comando setup /domainprep. Este proceso hace que la adición del grupo Servidores empresariales de Exchange permanezca en todos los controladores de dominio.

  • Si el servicio Almacén de información de Exchange se inicia con una cuenta que no es la cuenta de sistema local o si el controlador del dominio, el dominio o la directiva de seguridad del equipo local no incluye la cuenta de servicio local en la directiva Generar auditorías de seguridad, siga la resolución que se aconseja aquí.
    De manera predeterminada, el servicio Almacén de información de Exchange utiliza la cuenta de sistema local para iniciar el servicio Almacén de información (MACHINENAME$). Utilice el complemento Services.msc para comprobar qué cuenta se está utilizando para iniciar el servicio Almacén de información. Si la cuenta es la de sistema local, deberá volver a concederle el derecho Generar auditorías de seguridad. Para ello, utilice uno de los siguientes métodos:
    Para volver a conceder el derecho Generar auditorías de seguridad a la cuenta de sistema local

    1. Vuelva a ejecutar el comando de Exchange Setup /domainprep desde este equipo.

    2. Asigne manualmente a la cuenta de sistema local el derecho Generar auditorías de seguridad en una de las siguientes directivas:

      • La directiva del controlador del dominio
      • La directiva del dominio
      • La directiva de seguridad del equipo local

    Para volver a asignar el derecho Generar auditorías de seguridad a la directiva de seguridad del equipo local de un servidor miembro

    1. Haga clic en Inicio, en Herramientas administrativas y, por último, en Directiva de seguridad local.

    2. Expanda Opciones de seguridad, haga clic en Directivas locales y en Asignación de derechos de usuario.

    3. En el panel derecho, haga doble clic en Generar auditorías de seguridad, haga clic en Agregar, escriba MACHINENAME$ y, a continuación, haga clic en Aceptar dos veces.

    4. Salga del complemento Directiva de grupo. Si inicia el servicio Almacén de información utilizando una cuenta que no sea la de sistema local, deberá volver a cambiarla a ésta (MACHINENAME$). A continuación, pruebe a iniciar el servicio. Para obtener más información acerca de por qué Exchange 2000 Server y Exchange Server 2003 utilizan la cuenta de sistema local para iniciar los servicios de Exchange, consulte el artículo 239762 de Microsoft Knowledge Base, Los servicios de Exchange se ejecutan bajo LocalSystem.

  • Si el grupo Servidores empresariales de Exchange del dominio principal no contiene el grupo de Servidores de dominios de Exchange del dominio secundario, agregue el grupo Servidores de dominios de Exchange del dominio secundario al grupo Servidores empresariales de Exchange del dominio principal. También puede solucionar este problema creando un Servicio de actualización de destinatarios en el dominio raíz.
    Para solucionar este problema, ejecute el programa de instalación de Exchange con el modificador /domainprep en un servidor en el dominio remoto de Windows. A continuación, en el servidor de Exchange, utilice el Administrador del sistema de Exchange para crear un Servicio de actualización de destinatarios para el dominio remoto. Para ello, siga estos pasos:
    Para crear un Servicio de actualización de destinatarios para el dominio remoto

    1. Haga clic en Inicio, Todos los programas, Microsoft Exchange y, por último, en Administrador del sistema.

    2. Expanda el objeto Organización y, a continuación, el contenedor Destinatarios.

    3. Haga clic en Servicio de actualización de destinatarios.

    4. En el panel derecho, haga clic con el botón secundario en Nuevo y, a continuación, haga clic en Servicio de actualización de destinatarios.

    5. Haga clic en el dominio que no tenga una instancia del Servicio de actualización de destinatarios y que tenga usuarios que Exchange deba actualizar.

    6. Haga clic en Siguiente.

    7. Seleccione el servidor donde desea ejecutar el Servicio de actualización de destinatarios y procese todos los usuarios necesarios con los atributos de Exchange.

    8. Haga clic en Siguiente.

    9. Haga clic en Finalizar.

    10. Para iniciar de forma manual una actualización de los destinatarios en ese dominio, haga clic con el botón secundario en Servicio de actualización de destinatarios y, a continuación, haga clic en Actualizar ahora para forzar una actualización. Para obtener más información, consulte el artículo 253770 de Microsoft Knowledge Base Tareas realizadas por el Servicio de actualización de destinatarios de Exchange.