Por Daniel Seveso

En Exchange 2000/2003 el grupo “Exchange Enterprise Servers” necesita el derecho SeSecurityPrivilege sobre los controladores del dominio, para que el servicio de DSAccess (acceso al directorio) pueda operar correctamente con el directorio activo. Este derecho equivale a la opción “Manage auditing and security log” dentro de la asignación de derechos de usuario para las políticas de computador.

image

Que este derecho no esté otorgado a “Exchange Enterprise Servers” en la política “Default Domain Controllers Policy” hace que el servicio de System Attendant falle al iniciar. Este es un problema muy común recibido en nuestro centro de soporte. La causa más común de que este derecho no esté presente, es la modificación, por parte de los administradores, de las políticas de grupo de controladores de dominio, ya que el mismo es otorgado automáticamente por el programa de instalación de Exchange.

Algunos de los eventos que indican la falta de este derecho son:

Event Type: Error
Event Source: MSExchangeIS
Event Category: General
Event ID: 9518
Description: Error 0x80004005 starting Storage Group /DC=local/DC=root/CN=Configuration/CN=Services/CN=Microsoft Exchange/CN=Root/CN=Administrative Groups/CN=PureExchange2003/CN=Servers/CN=EX1/CN=InformationStore/CN=First Storage Group on the Microsoft Exchange Information Store. MDB failed to start.

Event Type: Error
Event Source: MSExchangeIS Event Category: (6)
Event ID: 9519
Description: Error 0x80004005 starting database "First Storage Group\Mailbox Store(<Server>)" on the Microsoft Exchange Information Store. Failed to configure MDB.

Event Type: Error
Event Source: MSExchangeDSAccess
Event Category: (3)
Event ID: 2102, 2103
Description: Process MAD.EXE (PID=1088). All Domain Controller Servers in use are not responding:
dc1.example.com
dc2.example.com
dc3.example.com

The Microsoft Exchange Information Store service could not find the specified object. ID no:c1041722

Event Type: Error
Event Source: MSExchangeSA
Event Category: (2)
Event ID: 9098
Description: The MAD monitoring thread was unable to read its configuration from the DS, error '0x80041001'.

 

En Exchange 2007/2010 se introdujo un cambio en este sentido. El programa de instalación de Exchange, otorga el derecho SeSecurityPrivilege al grupo universal “Exchange Servers” (en lugar de Exchange Enterprise Servers”). Este grupo contiene todos los servidores Exchange 2007/2010 (exceptuando Edge Servers) de la organización, simplificando de este modo la aplicación de servicios.  En un ambiente mixto encontrarás ambos grupos con el derecho SeSecurityPrivilege.

En Exchange 2007 algunos de los eventos que puedes observar si falta este derecho son:

Log Name:      Application
Source:        MSExchange ADAccess
Event ID:      2080
Task Category: Topology
Level:         Information
Description:
Process MAD.EXE (PID=1188). Exchange Active Directory Provider has discovered the following servers with the following characteristics:

(Server name | Roles | Enabled | Reachability | Synchronized | GC capable | PDC | SACL right | Critical Data | Netlogon | OS Version)

In-site:
DC.contoso.com           CDG 1 7 7 1 0 0 1 7 1
Out-of-site:

 

Log Name:      Application
Source:        MSExchange ADAccess
Event ID:      2114
Task Category: Topology
Level:         Error
Description:
Process MAD.EXE (PID=1188). Topology discovery failed, error 0x80040a02 (DSC_E_NO_SUITABLE_CDC). Look up the Lightweight Directory Access Protocol (LDAP) error code specified in the event description. To do this, use Microsoft Knowledge Base article 218185, "Microsoft LDAP Error Codes." Use the information in that article to learn more about the cause and resolution to this error. Use the Ping or PathPing command-line tools to test network connectivity to local domain controllers.

Recomendación

Si en tu directorio activo estás planificando modificar las políticas por default para los controladores de dominio (Default domain controllers policy) o reemplazarlas por políticas de grupo personalizadas, deberás incluir en forma manual los grupos antes mencionados con el derecho “Manage auditing and security log”.

Si en tu empresa hay administradores diferentes para Exchange y el directorio activo, asegúrate que todos estén al tanto de este requerimiento y así evitar perdida de servicio.

Referencias

  • Exchange 2007 Permissions: Frequently Asked Questions
  • 896703    Issues that may occur when the "Manage auditing and security log" permission is removed from the Exchange Enterprise Servers group in Exchange 2000 Server
  • 919089    Exchange services do not start, and event IDs 2114 and 2112 are logged in the Application log in Exchange Server 2003 or in Exchange 2000 Server