Erro no Exchange 2007: MSEXCHANGEADTOPOLOGYSERVICE.EXE

Recentemente fizemos uma manutenção no Exchange e entre elas atualizamos as policies do dominio.

Após a alteração o Exchange não mais enviava emails entre os servidores nem externo, mas recebia normalmente.

Os serviços "System Attendant", "Information Store" e "Transport" ficavam em estado "Starting" ou não subiam. No Event Viewer apareciam erros diversos, mas destacamos o primeiro deles, que era o causador do problema:

Microsoft Exchange Active Directory Topology Service

Process MSEXCHANGEADTOPOLOGYSERVICE.EXE (PID=2068). Topology discovery failed, error 0x80040a02 (DSC_E_NO_SUITABLE_CDC). Look up the Lightweight Directory Access Protocol (LDAP) error code specified in the event description. To do this, use Microsoft Knowledge Base article 218185, "Microsoft LDAP Error Codes." Use the information in that article to learn more about the cause and resolution to this error. Use the Ping or PathPing command-line tools to test network connectivity to local domain controllers.

Após procurar no KB citado não encontramos qualquer referencia de como resolver o problema, mas em um outro KB descobrimos que o Exchange precisa ter autorização na leitura e gerenciamento dos logs de segurança. Portanto, basta ter a permissão na politica da figura abaixo.

Porem, na referencia que encontramos havia uma maneira absurda de resolver, colocar a conta do computador Exchange no grupo Domain Admins, o que obviamente é uma brecha de segurança enorme pensando que um virus ou outro software instalado no Exchange poderia detonar todo o AD ou o ambiente sem precisar de mais nada.

O ideal neste caso é colocar a conta do COMPUTADOR do Exchange na politica "Manage auditing and security log", o que dá ao Exchange o direito necessário para auditar seus serviços no Event Log do Windows sem compromoter a segurança. Se o seu servidor estiver em uma rede com mais do que Exchange 2007 coloque ele no grupo "Exchange Enterprise Server".

Portanto, uma recomendação: NUNCA DÊ PERMISSÃO A DOMAIN ADMINS SÓ PORQUE ALGUEM FALOU OU ALGO NÃO ESTÁ FUNCIONANDO, ANALISE E UTILIZE UMA SOLUÇÃO MAIS CONSISTENTE E SEGURA.