XADM : Des messages d'erreur Exchange 2000 sont générés en raison de problèmes liés au droit SeSecurityPrivilege et à Policytest

Traductions disponibles Traductions disponibles
Numéro d'article: 314294 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F314294
Agrandir tout | Réduire tout

Symptômes

Il se peut que vous soyez dans l'incapacité d'installer les bases de données du magasin d'informations Exchange 2000. En outre, un ou plusieurs des messages d'erreur suivants peuvent être enregistrés dans le journal d'événements de l'application :
Type de l'événement : Erreur
Source de l'événement : MSExchangeDSAccess
Catégorie de l'événement : (3)
ID de l'événement : 2102
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Processus MAD.EXE (PID=1088). Aucun des serveurs contrôleurs de domaine en cours d'utilisation ne répond :
dc1.company.com
dc2.company.com
dc3.company.com
Type de l'événement : Erreur
Source de l'événement : MSExchangeSA
Catégorie de l'événement : (1)
ID de l'événement : 9004
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Impossible de démarrer le service de mise à jour de la métabase, erreur '80040a01'.
Type de l'événement : Erreur
Source de l'événement : MSExchangeSA
Catégorie de l'événement : (1)
ID de l'événement : 1005
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Erreur inattendue. Une erreur inconnue s'est produite. ID n° : 80040a01. Une erreur s'est produite au niveau du surveillant système Microsoft Exchange.
Type de l'événement : Erreur
Source de l'événement : MSExchangeMU
Catégorie de l'événement : (1)
ID de l'événement : 1002
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Impossible de démarrer l'agent de mise à jour de la métabase. Le code d'erreur est 80040a01.
Type de l'événement : Erreur
Source de l'événement : MSExchangeIS
Catégorie de l'événement : (6)
ID de l'événement : 9519
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Erreur 0x80004005 au démarrage de la base de données "First Storage
Group\Mailbox Store(EXCHANGE1)" sur le magasin d'informations Microsoft Exchange. Impossible de configurer MDB. Le service Magasin d'informations Microsoft Exchange n'a pas pu trouver l'objet spécifié. ID n° : c1041722
Type de l'événement : Erreur
Source de l'événement : MSExchangeMU
Catégorie de l'événement : Général
ID de l'événement : 1029
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Impossible de dupliquer le descripteur de sécurité sur la métabase. Les utilisateurs risquent de ne pas pouvoir lire ou écrire des données dans la métabase. Le code d'erreur est 8000500d.
Type de l'événement : Erreur
Source de l'événement : MSExchangeSA
Catégorie de l'événement : Interface RFR
ID de l'événement : 9074
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : L'interface DSR (Directory Service Referral) n'a pas pu honorer la requête d'un client. RFRI retourne le code d'erreur :[0x3f0].
Type de l'événement : Erreur
Source de l'événement : MSExchangeIS
Catégorie de l'événement : Général
ID de l'événement : 1121
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Erreur 0x80004005 à la connexion avec le service Microsoft Active Directory.
Type de l'événement : Erreur
Source de l'événement : MSExchangeMTA
Catégorie de l'événement : Configuration
ID de l'événement : 125
Date : 1/1/2002
Heure : 00:00:00
Utilisateur : S/O
Ordinateur : EXCHANGE1
Description : Une erreur fatale s'est produite à la lecture d'une valeur de l'annuaire. Aucun nom MTA n'a été trouvé. Contactez le Support technique Microsoft. [MTA MAIN BASE 1 12] (16)

Cause

Ce problème peut se produire si le droit "Gérer l'audit et le journal de sécurité" (SeSecurityPrivilege) a été supprimé pour le groupe de domaines local Serveurs Exchange Enterprise ou sur une partie ou l'ensemble des contrôleurs de domaine.

Lors de l'installation du premier ordinateur Exchange dans un domaine ou de l'exécution du programme d'installation Exchange avec le commutateur /domainprep, le groupe de serveurs Exchange Enterprise reçoit le droit SeSecurityPrivilege.

En cas de suppression ultérieure du droit SeSecurityPrivilege, les ordinateurs Exchange qui utilisent des contrôleurs de domaine dans le domaine arrêtent de fonctionner, mais pas immédiatement. Ces problèmes deviennent manifestes lors de l'expiration des intervalles entre deux actualisations de la sécurité Kerberos ou lorsque les services Exchange sont redémarrés sur des serveurs particuliers.

Résolution

Pour résoudre ce problème, servez-vous de l'utilitaire Policytest.exe pour contrôler l'état du droit SeSecurityPrivilege sur l'ensemble des contrôleurs de domaine d'un domaine spécifique. L'utilitaire Policytest.exe est inclus sur le CD-ROM d'installation d'Exchange 2000.

Pour déterminer si un serveur Exchange 2000 Enterprise dispose ou non du droit SeSecurityPrivilege sur un contrôleur de domaine, procédez comme suit :
  1. Ouvrez une session sur le contrôleur de domaine en tant qu'administrateur de domaine, puis démarrez la console Stratégie de sécurité des contrôleurs de domaine. (Par défaut, cette console se trouve dans le menu Démarrer, sous le groupe Outils d'administration.)
  2. Développez Paramètres de sécurité, puis Stratégies locales. Développez Attribution des droits utilisateur, puis ouvrez les propriétés de Gérer l'audit et le journal de sécurité .
Vous pouvez accorder le droit SeSecurityPrivilege directement à des serveurs Exchange 2000 Enterprise, ou vous pouvez exécuter à nouveau le programme d'installation d'Exchange 2000 avec le commutateur /domainprep pour accorder automatiquement le droit SeSecurityPrivilege.

Si vous exécutez Setup.exe avec le commutateur /domainprep, vous n'interrompez pas le service sur les ordinateurs Exchange existants. Un autre avantage de cette méthode est qu'elle contrôle et restaure les autres droits et appartenances de groupe par défaut qui peuvent avoir été modifiés.

Si le groupe Serveurs Exchange Enterprise s'est vu récemment accorder le droit SeSecurityPrivilege, cette modification ne prend effet qu'après que la stratégie de sécurité a été actualisée sur le contrôleur de domaine. L'intervalle de temps nécessaire à l'actualisation de la stratégie de sécurité dépend de la topologie et de la configuration du domaine. Par défaut, une duplication de stratégie sur d'autres contrôleurs de domaine se fait dans l'intervalle de cinq minutes, l'application de la modification de stratégie nécessitant cinq minutes supplémentaires.

Même si un domaine particulier ne contient aucun ordinateur Exchange, les ordinateurs Exchange présents dans d'autres domaines peuvent utiliser les contrôleurs de domaine de ce domaine. Si vous voulez que Exchange 2000 soit en mesure d'effectuer des consultations de catalogue globales et d'apporter des modifications au conteneur de configurations lorsqu'il utilise ces contrôleurs de domaine, procédez comme suit pour le domaine concerné :
  1. À partir du CD-ROM d'installation d'Exchange 2000, exécutez le programme d'installation avec le commutateur /domainprep (Setup.exe /domainprep). Cela configure les groupes et les droits appropriés pour les communications Exchange inter-domaines.
  2. Dans l'Administrateur système Exchange, créez un service de mise à jour de destinataires pour le domaine. Ce service a la charge, pour chaque domaine, de garnir le groupe local Serveurs Exchange Enterprise avec des groupes globaux provenant d'autres domaines. Il a également d'autres tâches à sa charge.

Plus d'informations

Le groupe Serveurs Exchange Enterprise est un groupe de domaines local. Ce groupe prend en charge les communications inter-domaines nécessaires entre les ordinateurs Exchange et entre Exchange et Active Directory. L'appartenance au groupe Serveurs Exchange Enterprise doit inclure les groups globaux Serveurs de domaine Exchange de chaque domaine où il existe des ordinateurs Exchange.

Le droit SeSecurityPrivilege est nécessaire pour prendre en charge les différentes fonctions de sécurité Exchange, comme la possibilité de signaler quels comptes Windows sont utilisés pour accéder aux boîtes à lettres.

Par défaut, après avoir installé un domaine, le seul compte ayant les droits SeSecurityPrivilege est le groupe Administrateurs intégré pour chaque domaine. Si vous réappliquez le modèle Security.inf au domaine, le droit SeSecurityPrivilege est restauré sur sa valeur par défaut. Il y a d'autres possibilités pour supprimer les droits du groupe Serveurs Exchange Enterprise. D'autres outils d'audit et de configuration de la sécurité peuvent restaurer la stratégie. Les administrateurs Active Directory qui suivent les recommandations générales de sécurité peuvent également supprimer le groupe Serveurs Exchange Enterprise.

Si le droit SeSecurityPrivilege est restauré plusieurs fois de suite, et que vous ne pouvez pas en déterminer la cause, vous pouvez analyser les modifications apportées à la stratégie de sécurité des contrôleurs de domaine :
  1. Sur chaque contrôleur de domaine, modifiez les paramètres de taille et de substitution pour le journal de sécurité autant que nécessaire pour prendre en charge le volume croissant d'informations de journalisation.

    AVERTISSEMENT : si vous activez l'option Arrêter immédiatement le système si l'enregistrement des audits de sécurité est impossible dans la section Options de sécurité de la stratégie du contrôleur de domaine par défaut, le contrôleur de domaine s'arrête immédiatement en cas de saturation du journal de sécurité.
  2. Démarrez la console Stratégie de sécurité des contrôleurs de domaine.
  3. Développez Stratégies locales, Stratégie d'audit, puis activez audit des Succès pour les Modifications d'accès Active Directory et de stratégie.
Après avoir suivi la procédure ci-dessus, des messages d'événement ID 608 (compte ajouté) et ID 609 (compte supprimé) sont enregistrés en cas de changements de stratégie apportés au contrôleur de domaine. La catégorie de ces deux messages d'événement est Stratégie. La source de ces messages est Sécurité. Les messages ID 608 sont de ce type :
Type de l'événement : Audit des succès
Source de l'événement : Sécurité
Catégorie de l'événement : Changement de stratégie
ID de l'événement : 608
Date : 12/12/2001
Heure : 16:32:20
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : DC1
Description : Attribution de droit utilisateur :
Droit utilisateur : SeSecurityPrivilege
Attribué à : DOMAIN\USER
Attribué par :
Nom d'utilisateur : DC1$
Domaine : DOMAIN
ID d'ouverture de session : (0x0,0x3E7)
CONSEIL : dans l'Observateur d'événements, cliquez avec le bouton droit sur l'objet Journal de sécurité. Cliquez sur Afficher, puis recherchez le mot "SeSecurityPrivilege" (sans les guillemets) dans la boîte de dialogue Rechercher.

Le système effectuant lui-même le changement de stratégie, vous ne pouvez par utiliser la journalisation Stratégie pour déterminer le compte utilisateur à l'origine de la modification. Cependant, la journalisation Accès Active Directory identifie ce compte utilisateur.

En général, un changement de stratégie d'un contrôleur de domaine résulte dans un événement Accès Active Directory immédiat sur le contrôleur de domaine objet du changement, suivi, plusieurs minutes après, par un événement Changement de stratégie. Ce deuxième événement se produit lors de l'actualisation effective de la stratégie et de son application au contrôleur de domaine. La stratégie étant dupliquée sur les autres contrôleurs de domaine, elle est actualisée et appliquée au bout de plusieurs minutes, et un événement Changement de stratégie est également enregistré sur ces serveurs.

Après avoir trouvé une modification aux paramètres SeSecurityPrivilege, remontez dans le journal Sécurité pour rechercher des événements Accès Active Directory qui contiennent un champ Utilisateur contenant un utilisateur autre que le compte SYSTEM ou qu'un compte SERVERNAME$, comme par exemple :
Type de l'événement : Audit des succès
Source de l'événement : Sécurité
Catégorie de l'événement : Accès Active Directory
ID de l'événement : 565
Date : 12/12/2001
Heure : 17:52:53
Utilisateur : DOMAIN\adam
Ordinateur : DC1
Description : Ouverture d'un objet :
Serveur de l'objet : DS
Type de l'objet : groupPolicyContainer
Nom de l'objet : CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
ID du nouveau descripteur : 0
ID de l'opération : {0,63067624}
ID du processus : 280
Nom de l'utilisateur principal : DC1$
Domaine principal : DOMAIN
ID d'ouverture de session principale : (0x0,0x3E7)
Nom de l'utilisateur client : adam
Domaine client : DOMAIN
ID d'ouverture de session client : (0x0,0x3C255DB)
Accès Propriété d'écriture
Privilèges -
Propriétés :
Propriété d'écriture %{00000000-0000-0000-0000-000000000000}
versionNumber
Le champ "Nom de l'utilisateur client" dans le message d'événement précédent identifie le compte d'utilisateur à l'origine de la modification. Le champ "Nom de l'objet" identifie la stratégie qui a été modifiée.

Dans l'exemple précédent, le nom de la stratégie dans Active Directory est :
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
Vous pouvez utiliser la commande LDIFDE pour résoudre les noms de stratégie en une forme plus conviviale, de façon à vous assurer que l'événement est bien associé à la stratégie pour laquelle vous effectuez un suivi des modifications :
LDIFDE -F POLICIES.LDF -D "CN=POLICIES,CN=SYSTEM,DC=DOMAIN,DC=COM" -L DISPLAYNAME -R (OBJECTCLASS=GROUPPOLICYCONTAINER)
Le fichier Policies.ldf file identifie chaque stratégie et son nom convivial dans un format semblable à celui-ci :
dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype : ajout
displayName : Stratégie du domaine par défaut

dn: CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=domain,DC=com
changetype : ajout
displayName : Stratégie des contrôleurs de domaine par défaut
Pour éviter tout refus par inadvertance du droit SeSecurityPrivilege à des serveurs Exchange 2000 Enterprise, vous pouvez créer une stratégie personnalisée pour l'application du droit SeSecurityPrivilege par les contrôleurs de domaine :
  1. Démarrez la console MMC (Microsoft Management Console) du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
  2. Ouvrez les propriétés du conteneur Contrôleurs de domaine.
  3. Cliquez sur l'onglet Stratégie de groupe, puis sur Nouveau. Attribuez un nom à la nouvelle stratégie ("Droits d'audit de DOMAIN_NAME", par exemple).
  4. Cette étape est facultative. Elle permet de charger la stratégie plus rapidement. Cliquez avec le bouton droit sur le nouvelle stratégie, cliquez sur Propriétés, puis désactivez l'option Configuration utilisateur.
  5. Cliquez sur la nouvelle stratégie, puis sur Modifier. Développez Configuration ordinateur, Paramètres Windows, puis développez Paramètres de sécurité. Développez Stratégies locales, développez Attribution des droits utilisateur, puis configurez tous les comptes qui requièrent le droit SeSecurityPrivilege.

    IMPORTANT : tous les paramètres que vous configurez dans cette stratégie remplacent les paramètres correspondants dans les autres stratégies au lieu de les fusionner avec ceux-ci. Les options non configurées continuent à s'appliquer à partir des autres stratégies.
  6. Paramétrez la nouvelle stratégie sur une priorité plus élevée que celle de la stratégie du contrôleur de domaine par défaut. Si vous ne le faites pas, la stratégie n'aura aucun effet puisque la stratégie par défaut configure le même paramètre.

Propriétés

Numéro d'article: 314294 - Dernière mise à jour: mercredi 22 mai 2002 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange 2000 Server Standard Edition
Mots-clés : 
kberrmsg kbprb KB314294
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com