Exchange 故障解决笔记

sunkezai

　　前些天客户那边的Exchange服务器重启下后Exchange就没办法用了。跑服务器上去检查了一下发现如下症状：


    1、Exchange system attendant 服务无法启动；
    2、打开Exchange管理工具时出错，提示拒绝访问；（如图）
                          
    3、在dsa中打开用户属性时出错，无法看到Exchange相关的标签页。
一些日志如下：


事件类型: 错误
事件来源: MSExchangeSA
事件种类: 常规
事件 ID: 1005
日期:  2008-4-1
事件:  11:28:53
用户:  N/A
计算机: FJ-MAIL-01
描述:
出现意外错误 拒绝访问。 设备: Win32 ID 号: c0070005 Microsoft Exchange System Attendant 。

有关详细信息，请单击 http://www.microsoft.com/contentredirect.asp。

==============================
事件类型: 错误
事件来源: MSExchangeDSAccess
事件种类: 拓扑
事件 ID: 2114
日期:  2008-4-1
事件:  16:35:56
用户:  N/A
计算机: FJ-MAIL-01
描述:
进程 IISIPM964F518E-D048-4F63-94F9-A80EBE0BAD5C -AP "EXCHANGEAPPLICATIONPOOL (PID=3824)。拓朴发现失败，错误 0x80040a02。

有关详细信息，请单击 http://www.microsoft.com/contentredirect.asp。
============================
事件类型: 错误
事件来源: MSExchangeDSAccess
事件种类: 拓扑
事件 ID: 2114
日期:  2008-4-1
事件:  16:06:09
用户:  N/A
计算机: FJ-MAIL-01
描述:
进程 INETINFO.EXE (PID=2000)。拓朴发现失败，错误 0x80040a02。

有关详细信息，请单击 http://www.microsoft.com/contentredirect.asp。
　　试了很多方法包括检查邮件服务器机器帐户的权限设置是否丢失，折腾了半天都没结果，后来怀疑问题是出在活动目录上，无奈之下于是决定把服务器重新加入域试下（这个方法存在一定风险，不建议同学们这样做）；
1、先把服务器退出域然后再加入域。
做完之后发现 exchange 管理工具可以正常打开了，Active Directory用户和计算机中查看用户属性时也能够看到exhcange相关的标签页了，但是Exchange system attendant服务仍然没法启动。
2、重新检查并设置邮件服务器机器帐户的权限：
具体内容：


1、打开【Active Directory用户和计算机】，在Users容器中找到Exchange Domain Servers组，右击选择属性。在【成员】选项卡中点击添加按钮，将Exchange服务器的计算机帐户添加进去，点击确定退出。

2.打开Exchange系统管理器，展开管理组，找到当前的服务器，右击选择属性。在安全选项卡中点击添加按钮将Exchange服务器的计算机帐户添加进去，并且赋予完全控制的权限，点击确定退出。
3、
3.1打开adsiedit.msc
3.2. 依次展开配置、配置 (CN=Configuration,DC=domain,DC=com)、服务和 Microsoft Exchange。
3.3. 右键单击 YourOrganization，然后单击属性。
3.4. 单击安全选项卡，验证服务器对象在帐户列表中的权限，然后验证“创建所有子对象和删除所有子对象”所对应的允许复选框是否已选中。如果没有选中这些权限，请单击以选中“创建所有子对象和删除所有子对象”所对应的允许复选框，然后单击确定。
3.5. 依次展开管理组、站点和服务器。
3.6. 右键单击服务器，然后单击属性。
3.7. 单击安全选项卡，验证服务器对象在帐户列表中的权限，然后验证完全控制所对应的允许复选框是否已选中。如果没有选中此权限，请单击以选中完全控制所对应的允许复选框，然后单击确定。
　　 确认所有权限设置都正常后，打开服务一看所有服务都正常了，心中爆喜，测试一下邮件一切正常，最后决定重启一次服务器看看，结果让人郁闷，重启完毕后exchange服务器的状态又变回之前的样子，错误依旧。极度郁闷。
    在微软工程师的帮助下让我检查下Exchange服务器SMB签名设置，具体检查位置如下：




HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

下注册表键值：

enablesecuritysignature [REG_DWORD] = 0x1

requiresecuritysignature [REG_DWORD] = 0x0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

下注册表键值：

enablesecuritysignature [REG_DWORD] = 0x0

requiresecuritysignature [REG_DWORD] = 0x0　　检查中发现我的服务器 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters下注册表键值：enablesecuritysignature [REG_DWORD] = 0 于是将其改为1 之后重新启动Workstation服务和Server服务(以及依赖这些服务的所有服务)。
到此一切恢复正常问题的正真原因终于找到。修改这个键值也解决了--远程桌面连接服务器时无法用域帐户登陆这个困扰我多时的问题。

至于究竟什么原因导致域环境中的机器这个注册表项被修改我还是不太明白，希望高人指点。