E2K/E2K3: 데이터베이스에 잘못된 권한 설정으로 인한 데이터베이스 서비스 장애 해결방법

  • Article

개요

이 문서에서는 특정 사용자에게 Send as, Receive as 권한 부여를 위해 데이터베이스의 권한을 수정하거나, 보안상의 이유로 데이터베이스의 권한을 수정하던 중 관리자의 실수로 데이터베이스이 기본 권장을 제거함으로 인해서 데이터베이스가 ESM (Exchange System Manager)에서 보이지 않게 되고, 서비스 장애를 초래하는 경우의 문제를 해결하기 위한 방법을 설명 합니다.

원인

잘못된 권한 수정을 인한 서비스 장애가 초래됨

장애 증상

1. 기본적으로 Exchange서버의 각 사서함 저장소에는 저장서 관리를 위해서 관리자를 비롯한 서버 및 계정들에 아래와 같이 보안권한이 부여되어 있습니다. 이 권한에 대한 잘못된 수정으로 인해서 데이터베이스를 관리하지 못하게 될 수 있습니다.

clip_image002

2. 아래와 같이 ESM 에서 데이터베이스가 더 이상 보이지 않게 됩니다.

clip_image004

3. ADSI Editor 를 통해서 데이터베이스 위치로 이동하면 아래와 같이 Class 가 표시되지 않게 됩니다.

clip_image006

속성 정보를 선택하면 ‘잘못된 디렉터리 경로 및 파일 이름이 전달되었습니다’라는 경고 문구가 나옵니다.

clip_image008

ADSI Editor 사용을 위한 자세한 설치 및 툴에 대한 설명은 아래의 링크에서 참고하실 수 있습니다.

https://support.microsoft.com/kb/892777

Windows Server 2003 서비스 팩 1 지원 도구

4. 서비스 재시작 시 이벤트 로그에 Event ID 1005 가 발생합니다.

clip_image010

해결 방법

위 문제를 해결하기 위해서는 제거된 데이터베이스 권한을 다시 복구해야 합니다. 이를 위해서는 DSACLS 툴을 통해서 권한이 제거된 데이터베이스에 Full 권한을 다시 부여해야 합니다.

1. ADSI Editor 를 통해서 ‘공용 폴더 저장소’에 대한 distinguished name 을 복사합니다.clip_image012

2. 아래와 같이 명령 프롬프트에서 명령을 수행합니다.

(1번에서 복사한 고유이름 (DistinguishedName) 은 ‘공용 폴더’에 대한 것입니다. 해당 내용을 참고해서 ‘사서함 저장소’로 이름을 변경해서 사용합니다.)

DSACLS "CN= 사서함 저장소(Exchange 서버이름),CN=First Storage
Group,CN=InformationStore,CN=Exchange 서버이름,CN=Servers,CN=First Administrative
Group,CN=Administrative Groups,CN=조직이름,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=도메인명,DC=COM" /G
도메인명\administrator:GA

참고 : DSACLS 툴은 장애 증상 3에서 언급한 Windows 2003 혹은 서비스팩 CD 내에 있는 support tool 을 설치하셔야 사용할 수 있습니다.

3. 명령을 수행하고 나면 아래와 같은 답변과 함께 관리자에게 해당 ‘사서함 저장소’에 대해서 모든 권한 (GA:Generic ALL)이 부여됩니다.

clip_image014

4. 명령수행 완료 후 ADSI Editor 를 다시 시작하면 아래와 같이 Class 정보가 확인되고

clip_image016

ESM 에서 사서함 저장소 정보가 확인됩니다.

clip_image018

5. 하지만, 현재 상태로는 여전히 데이터베이스 마운트가 되지 않습니다.

clip_image020

clip_image022

6. 사서함 저장소 속성에 ‘보안’ 탭으로 이동합니다. Administrator 계정이 ‘권한’ 탭에서 확인됩니다. ‘고급’을 통해서 상속된 권한을 추가로 부여 받아야 합니다.

clip_image024

‘상속 가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에 전파할 수 있음(여기에서 명시적으로 정의한 항목을 가진 개체 포함)(A)’을 선택합니다.

clip_image026

아래와 같은 오류가 나타날 수 있습니다.

clip_image028

7. ‘사서함 저장소’가 탑재 가능하게 되고 아래와 같이 권한을 확인할 수 있습니다.

clip_image030

추가 정보

DSACLS 툴에 대한 자세한 사용법을 아래의 링크에서 확인할 수 있습니다.

https://support.microsoft.com/kb/281146/EN-US/

How to Use Dsacls.exe in Windows Server 2003 and Windows 2000

데이터베이스에 대한 권한수정 문제와 같이 ‘전체 주소 목록’ (Global Address List)에 대한 권한 수정 문제에 대해서는 아래의 KB를 통해서 문제를 해결할 수 있습니다.

https://support.microsoft.com/kb/286296/en-us

Unable to access the Default Global Address Lists container in Exchange System Manager

written by kyunghl