本文记录了在迪拜创建Exchange 2010 DAG时遇到的权限问题及解决方案,包括排除用户权限不足、站点中无全局目录服务器等问题,并提出了两种解决方法。
在迪拜已经快3周了,今天在创建Exchange 2010 的DAG时遇到了一个小问题。
一行熟悉的创建DAG的shell命令下去,居然报错了!
错误内容如下:
c.x.com(客户的域名 ) 上 Active Directory 操作失败。此错误不可重试,其他信息: 拒绝访问。 Active Directory 响应: 000000005:secErr:DSID-031521D0,problem 4003(INSUFF-ACCES-RIGHTS),data 0. 用户没有足够的权限。
震惊些许后,淡定了下来。
开始分析问题原因:
一、排除基础逻辑问题:
1、确定我的操作帐户权限:用户是Domain Admins 、 Eterprise Admins、 Scheme admins、 Exchange organization 组成员。结论:排除用户权限不足的问题;
2、分析AD结构,用户的AD是典型的多域结构,林为x.com,下面的子域为a.x.com、b.x.com、c.x.com;自从AD升级到2008R2后,主要应用的是c.x.com。迪拜的两台DC和4台Exchange Server 正是部署在c.x.com域的DUBAI站点中。此站点中的dc01和dc02都是GC。结论:排除站点中无GC问题;
二、综合分析:
a、多域结构,多站点。复制链路带宽不同,复制周期分三档;
c、Exchange架构是在根域扩展的,Exchange trust subsystem组在根域;
b、Exchange Server 又是在子域安装的,检查Exchange trust subsystem中的成员迪拜站点的4台Exchange Server都在其中;
d、链路情况:北京到迪拜走的是4M国际链路专线,强制AD复制,问题依旧;
初步判断问题原因:应该是多域|多站点|多链路复制|的AD设计结构在缺乏监控维护时容易出现的权限缓存问题。
如何解决此类问题呢?两种办法:
A、常规办法(见效慢,可治本):等待AD复制机制自行解决。(这要考验大家的耐性了!)
B、应急办法(见效快,可治标):将迪拜站点中的两台DC加入到Exchange trust subsystem组后,依次重新启动dc01、dc02和4台Exchange。(DAG创建完毕后一段时间后,可将迪拜站点中的两台DC从Exchange trust subsystem组移除出来。毕竟有点拔苗助长的感觉。)
扫一扫
9万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
