MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2017: 1968387
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Erro no Exchange 2007: MSEXCHANGEADTOPOLOGYSERVICE.EXE

Recentemente fizemos uma manutenção no Exchange e entre elas atualizamos as policies do dominio.

Após a alteração o Exchange não mais enviava emails entre os servidores nem externo, mas recebia normalmente.

Os serviços "System Attendant", "Information Store" e "Transport" ficavam em estado "Starting" ou não subiam. No Event Viewer apareciam erros diversos, mas destacamos o primeiro deles, que era o causador do problema:

Microsoft Exchange Active Directory Topology Service

Process MSEXCHANGEADTOPOLOGYSERVICE.EXE (PID=2068). Topology discovery failed, error 0x80040a02 (DSC_E_NO_SUITABLE_CDC). Look up the Lightweight Directory Access Protocol (LDAP) error code specified in the event description. To do this, use Microsoft Knowledge Base article 218185, "Microsoft LDAP Error Codes." Use the information in that article to learn more about the cause and resolution to this error. Use the Ping or PathPing command-line tools to test network connectivity to local domain controllers.

Após procurar no KB citado não encontramos qualquer referencia de como resolver o problema, mas em um outro KB descobrimos que o Exchange precisa ter autorização na leitura e gerenciamento dos logs de segurança. Portanto, basta ter a permissão na politica da figura abaixo.

Porem, na referencia que encontramos havia uma maneira absurda de resolver, colocar a conta do computador Exchange no grupo Domain Admins, o que obviamente é uma brecha de segurança enorme pensando que um virus ou outro software instalado no Exchange poderia detonar todo o AD ou o ambiente sem precisar de mais nada.

O ideal neste caso é colocar a conta do COMPUTADOR do Exchange na politica "Manage auditing and security log", o que dá ao Exchange o direito necessário para auditar seus serviços no Event Log do Windows sem compromoter a segurança. Se o seu servidor estiver em uma rede com mais do que Exchange 2007 coloque ele no grupo "Exchange Enterprise Server".

Portanto, uma recomendação: NUNCA DÊ PERMISSÃO A DOMAIN ADMINS SÓ PORQUE ALGUEM FALOU OU ALGO NÃO ESTÁ FUNCIONANDO, ANALISE E UTILIZE UMA SOLUÇÃO MAIS CONSISTENTE E SEGURA.

Posted: out 10 2009, 13:18 by msincic | Comentários (3) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Exchange Server
Login