Vérification des attributs Active Directory obligatoires

Article
10/25/2013

Dernière rubrique modifiée : 2005-05-24

Lorsque vous résolvez un problème de rapport de non-remise, vérifiez que tous les attributs à extension messagerie requis par le catégoriseur de messages existent pour ce destinataire dans Active Directory. Dans Exchange 2000, plusieurs attributs doivent être corrects pour permettre la catégorisation des messages :

homeMDB
homeMTA
legacyExchangeDN
mail
mailNickname
msExchHomeServerName
msExchMailboxGuid
msExchMailboxSecurityDescriptor
proxyAddresses

Cette liste d'attributs obligatoires n'est valide que si le destinataire est un objet avec boîte aux lettres dans Active Directory (par exemple, un destinataire Exchange 2003). Cependant, s'il s'agit d'un destinataire Exchange Server 5.5, les seuls attributs indispensables sont :

legacyExchangeDN
homeMDB
homeMTA

Pour les objets à extension messagerie (par exemple, un destinataire personnalisé) et les adresses de remplacement, l'attribut targetAddress est obligatoire. En l'absence d'attribut targetAddress, la solution de repli est l'attribut mail.

Si un message électronique ne présente pas l'un ou l'autre des attributs obligatoires ou s'ils ne sont pas corrects, il peut rester dans le catégoriseur et aucun événement n'est créé dans l'Observateur d'événements. Si le message fait l'objet d'un suivi, il apparaît dans le catégoriseur de messages ou génère un rapport de non-remise en fonction de l'attribut manquant. Si vous souhaitez vérifier ces attributs pour un utilisateur dans Active Directory, utilisez l'outil LDP ou ADSI Edit. Pour plus d'informations sur l'outil LDP ou ADSI Edit, voir la documentation en ligne de Windows.

Remarque :
Si vous utilisez le composant logiciel enfichable ADSI Edit, l'outil LDP ou tout autre client LDAP version 3, et que vous modifiez de façon incorrecte les attributs des objets Active Directory, des problèmes graves peuvent se produire. Ces problèmes peuvent exiger une réinstallation de l'un ou l'autre des éléments suivants : Windows 2000 Server ou Windows Server 2003, ou encore Exchange Server 2003. Il se peut que vous ne puissiez pas résoudre les problèmes liés à la modification incorrecte des attributs des objets Active Directory. La modification de ces attributs relève de votre responsabilité.

Si vous utilisez le composant logiciel enfichable ADSI Edit, l'outil LDP ou tout autre client LDAP version 3, et que vous modifiez de façon incorrecte les attributs des objets Active Directory, des problèmes graves peuvent se produire. Ces problèmes peuvent exiger une réinstallation de l'un ou l'autre des éléments suivants : Windows 2000 Server ou Windows Server 2003, ou encore Exchange Server 2003. Il se peut que vous ne puissiez pas résoudre les problèmes liés à la modification incorrecte des attributs des objets Active Directory. La modification de ces attributs relève de votre responsabilité.

Le tableau suivant fournit quelques exemples d'attributs requis par Active Directory.

Attributs Active Directory d'Exchange 2003 à extension messagerie

Attribut Exchange 2003 à extension messagerie	Exemple
homeMDB	CN=Banque de boîtes aux lettres (CONTOSO-MSG-01),CN=Premier groupe de stockage,CN=Banque d'informations,CN=CONTOSO-MSG-01,CN=Serveurs,CN=Premier groupe d'administration,CN=Groupes d'administration,CN=Première organisation,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com
homeMTA	CN=MTA Microsoft,CN=CONTOSO-MSG-01,CN=Serveurs,CN=Premier groupe d'administration,CN=Groupes d'administration,CN=Première organisation,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com
legacyDN	/o=Première organisation/ou=Premier groupe d'administration/cn=Destinataires/cn=pierre
mail	pierre@contoso.com
mailNickname	pierre
msExchHomeServerName	/o=Première organisation/ou=Premier groupe d'administration/cn=Configuration/cn=Serveurs/cn=CONTOSO-MSG-01
msExchMailboxGuid	0x06 0x4f 0x69 0xcc 0x5e 0xfe 0x79 0x4f 0x8c 0x6e 0x7b 0x67 0x57 0x92 0x51 0xd2
msExchMailboxSecurityDescriptor	Cet attribut est un blob binaire qui n'affiche pas de valeur dans ADSIEdit ni dans LDP.
proxyAddresses	SMTP: serge@contoso.com X400:c=us;a= ;p=Première organisation=Exchange;s=Lopez;g=Pierre;

L'exemple suivant illustre un fichier de l'image mémoire provenant de l'outil LDP avec tous les attributs Active Directory d'Exchange 2003 à extension messagerie requis par le catégoriseur :

Expanding base 'CN=Ted Bremer,CN=Users,DC=contoso,DC=com'...

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn: CN=Ted Bremer,CN=Users,DC=contoso,DC=com

1> homeMDB: CN=Mailbox Store (CONTOSO-MSG-01),CN=First Storage Group,CN=InformationStore,CN=CONTOSO-MSG-01,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com;

1> memberOf: CN=Sales Team,CN=Users,DC=contoso,DC=com;

1> accountExpires: 9223372036854775807;

1> badPasswordTime: 0;

1> badPwdCount: 0;

1> codePage: 0;

1> cn: Ted Bremer;

1> countryCode: 0;

1> displayName: Ted Bremer;

1> mail: ted@contoso.com;

1> givenName: Ted;

1> instanceType: 4;

1> lastLogoff: 0;

1> lastLogon: 126416003544864704;

1> legacyExchangeDN: /o=First Organization/ou=First Administrative Group/cn=Recipients/cn=ted;

1> logonCount: 19;

1> distinguishedName: CN=Ted Bremer,CN=Users,DC=contoso,DC=com;

1> objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=contoso,DC=com;

4> objectClass: top; person; organizationalPerson; user;

1> objectGUID: fdd08ce8-be92-4652-96db-f44785ef49e4;

1> objectSid: S-15-C2EF2A3A-4F67EE69-69068D04-64A;

1> primaryGroupID: 513;

2> proxyAddresses: SMTP:ted@contoso.com; X400:c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted;;

1> pwdLastSet: 126415962391597356;

1> name: Ted Bremer;

1> sAMAccountName: ted;

1> sAMAccountType: 805306368;

2> showInAddressBook: CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; CN=All Users,CN=All Address Lists,CN=Address Lists Container,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com;

1> sn: Bremer;

1> textEncodedORAddress: c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted;;

1> userAccountControl: 512;

1> userPrincipalName: ted@contoso.com;

1> uSNChanged: 16820;

1> uSNCreated: 16814;

1> whenChanged: 8/6/2001 11:31:17 Pacific Standard Time Pacific Daylight Time;

1> whenCreated: 8/6/2001 11:30:38 Pacific Standard Time Pacific Daylight Time;

1> homeMTA: CN=Microsoft MTA,CN=CONTOSO-MSG-01,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com;

1> msExchMailboxGuid: <ldp: Binary blob>;

1> msExchMailboxSecurityDescriptor: <ldp: Binary blob>;

1> msExchALObjectVersion: 56;

1> msExchHomeServerName: /o=First Organization/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=CONTOSO-MSG-01;

1> mailNickname: ted;

1> mDBUseDefaults: TRUE;

1> msExchPoliciesIncluded: {E7B464D2-65EF-4B3E-8AF4-8EB84BA7088E},{26491CFC-9E50-4857-861B-0CB8DF22B5D7};

1> msExchUserAccountControl: 0;

Mise à jour d'attributs par le service de mise à jour de destinataire

Le service de mise à jour de destinataire applique trois stratégies système pour les destinataires à extension messagerie, les utilisateurs avec boîtes aux lettres et l'appartenance aux groupes de distribution masquée, qui sont installées par défaut lors de l'installation d'Exchange 2003. Ces trois stratégies ont le même but : mettre à jour quelques attributs d'objets dans Active Directory dans certaines circonstances.

Lorsque des utilisateurs, des contacts ou des groupes de distribution sont créés à l'aide d'outils personnalisés, le service de mise à jour de destinataire tente de corriger les omissions éventuelles dans les cas où un outil ne crée pas tous les attributs nécessaires pour un objet. Si des attributs obligatoires d'un utilisateur, d'un contact ou d'un groupe de distribution font défaut, des problèmes peuvent se produire.

Pour un destinataire à extension messagerie, un ensemble minimal d'attributs est requis pour que tous les composants Exchange puissent fonctionner correctement. Par exemple, une entrée à extension messagerie (un utilisateur, un contact, un groupe ou un dossier public) doit avoir au moins les attributs suivants : mailNickname, legacyExchangeDN et displayName. Sans l'attribut mailNickname, un objet n'est pas considéré comme ayant une extension messagerie. Dès lors qu'un objet a un attribut mailNickname, les deux autres attributs doivent être définis.

Stratégie de destinataire à extension messagerie

Si le service de mise à jour de destinataire identifie une entrée nouvelle ou modifiée et dotée de l'attribut mailNickname mais dépourvue de l'attribut legacyExchangeDN ou displayName, il tente de créer ces attributs.

L'attribut displayName est copié tel quel à partir de l'attribut mailNickname. L'attribut legacyExchangeDN est traité par un algorithme qui identifie l'organisation et le groupe d'administration de cette entrée, puis crée une valeur au format suivant :

/o=MyCompany/ou=MyAdminGroup/cn=Recipients/cn=MailNickname

Stratégie d'utilisateur avec boîte aux lettres

Pour un utilisateur avec boîte aux lettres, deux attributs doivent être présents. Le premier est l'attribut mailNickname et le deuxième est l'un des suivants :

msExchHomeServerName
homeMDB
homeMTA

Si l'un de ces attributs est présent et que l'utilisateur a un attribut mailNickname, l'utilisateur est considéré comme ayant une boîte aux lettres.

Dans ce cas, le service de mise à jour de destinataire tente de compléter quelques-uns des attributs suivants s'ils sont absents :

msExchHomeServerName
homeMDB
homeMTA
legacyExchangeDN
displayName
msExchMailboxGuid

Ces attributs sont complétés dans l'ordre suivant :

S'il est absent, l'attribut msExchHomeServerName est créé en fonction de l'attribut présent : homeMDB ou homeMTA. S'il ne peut pas être créé, le processus s'arrête.
Une fois l'attribut msExchHomeServerName défini, les attributs homeMDB et homeMTA sont complétés si l'un d'eux est manquant. Si votre serveur comporte plusieurs banques de boîtes aux lettres ou Agents de transfert des messages (MTA), le service de mise à jour de destinataire sélectionne le premier rencontré au cours d'une recherche Active Directory. Par conséquent, la sélection peut être considérée comme un choix aléatoire.
Pour créer les attributs legacyExchangeDN et displayName, le service de mise à jour de destinataire procède de la même façon que pour un destinataire à extension messagerie.
Enfin, si l'attribut msExchMailboxGuid est absent, le service de mise à jour de destinataire crée cet attribut en générant un identificateur globalement unique (GUID).

Stratégie d'appartenance aux groupes de distribution masquée

Pour la stratégie d'appartenance aux groupes de distribution masquée, le service de mise à jour de destinataire ne s'exécute pas uniquement lorsqu'une entrée est créée (comme un groupe de sécurité ou un groupe de distribution). Ce service s'exécute également lorsque vous modifiez l'état de l'attribut hideDLMembership.

Si l'attribut a la valeur TRUE, le service de mise à jour de destinataire ajoute une partie non canonique au descripteur de sécurité, qui empêche quiconque de voir l'attribut « membre » de cette entrée. Ceci s'applique à n'importe quel type de client qui parcourt l'annuaire à l'aide de MAPI ou de LDAP.

Si l'attribut a la valeur FALSE, le service de mise à jour de destinataire supprime le descripteur de sécurité non canonique, qui expose à nouveau l'attribut « membre ».

Pour plus d'informations sur l'appartenance aux groupes masquée, voir l'article 253827 de la Base de connaissances Microsoft XADM: How Exchange Hides Group Membership in Active Directory. Bien que cet article soit destiné à Exchange 2000, les mêmes principes s'appliquent également à Exchange 2003.