Détection et correction de problèmes avec msExchMasterAccountSid

Dernière rubrique modifiée : 2006-08-16

Une boîte aux lettres qui se trouve sur un serveur exécutant Microsoft® Exchange Server 2003 ou Exchange 2000 Server doit être liée à un compte d'utilisateur du service d'annuaire Active Directory® pour être accessible. Pour créer ce lien, définissez divers attributs Active Directory dans la boîte aux lettres. Le compte Active Directory auquel la boîte aux lettres Exchange est liée peut être activé ou désactivé. Un compte d'utilisateur Active Directory désactivé ne peut pas permettre de se connecter au domaine Active Directory.

La raison la plus courante de la liaison d'une boîte aux lettres Exchange à un compte d'utilisateur Active Directory désactivé est la liaison d'une boîte aux lettres d'une forêt Active Directory à un compte Microsoft Windows® NT ou Active Directory situé en dehors de cette forêt. Vous ne pouvez pas associer directement une boîte aux lettres d'une forêt Active Directory à un compte d'utilisateur externe. Vous devez donc utiliser un compte d'utilisateur désactivé pour y parvenir indirectement. La procédure implique les tâches suivantes, mais pas nécessairement dans l'ordre indiqué :

• Attribuez une boîte aux lettres à un compte Active Directory (Compte A) dans la même forêt Active Directory que le serveur exécutant Exchange.

• Désactivez l'ouverture de session pour le Compte A Active Directory. N'utilisez que des comptes désactivés pour associer une boîte aux lettres à un compte externe.

• Accordez les droits d'accès complet à la boîte aux lettres et les autorisations de lecture à un autre compte (Compte B) qui est extérieur à la forêt ou qui est un identificateur de sécurité (SID) connu. Pour plus d'informations sur les SID connus, voir ci-dessous.
  Le droit d'accès complet à la boîte aux lettres peut être consulté et modifié dans les propriétés de l'objet pour le Compte A. Il s'affiche dans la boîte de dialogue Droits de boîte aux lettres sur la page Exchange – Paramètres avancés. Ce droit peut être accordé à plusieurs comptes, tant internes qu'externes.

  Remarque :
  Pour que la page Exchange – Paramètres avancés apparaisse dans la console Utilisateurs et ordinateurs Active Directory, le Gestionnaire système Exchange doit être installé sur la station de travail d'administration.

• Accordez le droit de compte externe associé au compte externe (Compte B) ou à un SID connu.
  Dans la plupart des cas, les SID dans Windows sont associés de manière unique à un seul compte dans une seule forêt Active Directory. Un SID connu est un SID associé à certains comptes Windows standard et qui est identique pour les mêmes comptes standard dans toutes les forêts. Les comptes Self et Anonymous sont deux exemples de comptes ayant des SID génériques connus. Pour plus d'informations sur les SID connus, consultez l'article 243330 de la Base de connaissances Microsoft, « Identificateurs de sécurité connus dans les systèmes d'exploitation Windows ».

Seuls des comptes extérieurs à la forêt où se trouve le Compte A ou des comptes ayant un SID connu peuvent être définis comme Comptes externes associés. Le paramètre Compte externe associé n'est pas vraiment un droit, même si, par facilité, il apparaît dans la boîte de dialogue Droits de boîte aux lettres. Il s'agit d'un indicateur défini dans le descripteur de sécurité de la boîte aux lettres pour le Compte A, qui identifie le Compte B comme compte externe devant être « propriétaire » de la boîte aux lettres.

Vous pouvez définir un Compte externe associé pour un seul compte à la fois. Vous devez aussi accorder des droits d'accès complet à la boîte aux lettres et les autorisations de lecture au Compte B avant de pouvoir le définir comme compte externe associé. Active Directory n'impose pas l'exécution simultanée de toutes ces tâches ni la suppression du compte externe associé ou de l'attribut msExchMasterAccountSid si un compte Active Directory est réactivé. Il est important de le savoir car seuls des comptes désactivés devraient avoir un utilisateur possédant le droit Compte externe associé ou l'attribut msExchMasterAccountSid. Lorsque ces attributs ne sont pas correctement définis et synchronisés, divers problèmes peuvent se produire. Ces problèmes peuvent être notamment des problèmes de remise de messages aux comptes affectés, d'accès délégué et d'accès à des dossiers publics et, si de nombreux comptes sont affectés, des problèmes généraux de performances du serveur exécutant Exchange. Pour plus d'informations sur ces problèmes, voir les articles suivants de la Base de connaissances Microsoft :

• 812276, "sur la réception d'un message d'erreur « Accès refusé » lorsque vous essayez de supprimer les éléments que vous avez publiés dans un dossier public dans Exchange 2000 ;
• 300456, "sur la disparition des autorisations du client et des délégations après leur affectation dans Exchange 2000"
• 309222, "sur la définition par l'Assistant Nettoyage d'Active Directory de l'attribut « msExchMasterAccountSID » sur les utilisateurs activés dans Exchange 2000"
• 319047, "sur la réception d'un rapport de non-remise lors de l'envoi d'un message à un compte désactivé ;
• 278966, "sur l'impossibilité de déplacer ou d'ouvrir une session sur une boîte aux lettres de ressources Exchange"

N'importe quel SID connu ou compte externe peut être choisi comme Compte externe associé et attribut msExchMasterAccountSid. Toutefois, ces valeurs ne doivent être associées qu'au compte Self ou à un compte externe. La désignation d'autres SID connus comme Comptes externes associés n'est pas prise en charge par Microsoft. En outre, il est impossible de désigner un groupe de sécurité comme Compte associé externe.

Lorsqu'un compte Active Directory activé est associé à une boîte aux lettres Exchange, le SID du compte Active Directory (objectSid) est utilisé pour exécuter des fonctions de sécurité de boîte aux lettres.

Par exemple, imaginez une situation où un utilisateur emploie Microsoft Office® Outlook pour accorder des autorisations de dossier à un autre utilisateur. Dans Outlook, vous accordez des autorisations à d'autres boîtes aux lettres, pas directement à des comptes Active Directory. Cette indirection permet à Outlook de reconnaître des autorisations pour des comptes qui ne sont pas basés sur Active Directory, comme des comptes Exchange 5.5 Server.

Dans Exchange Server 2003 et Exchange 2000 Server, lorsqu'une autorisation d'accès est accordée au dossier d'un autre utilisateur dans Outlook, la méthode normale d'implémentation de cette autorisation consiste à l'accorder au SID du compte Active Directory associé à la boîte aux lettres. Toutefois, si ce compte est désactivé, ces autorisations n'ont aucune utilité. Le compte ne peut pas être utilisé pour se connecter ou pour accorder l'accès aux ressources. C'est là que le Compte externe associé et l'attribut msExchMasterAccountSid s'avèrent utiles. Ils permettent de substituer un autre SID, celui du compte externe qui est le propriétaire de la boîte aux lettres, lorsqu'Exchange évalue les informations d'identification de sécurité.

Si l'indicateur Compte externe associé est activé dans les propriétés Droits de boîte aux lettres du Compte A, le SID répertorié dans msExchMasterAccountSid sera utilisé pour les opérations de sécurité de cette boîte aux lettres, au lieu de l'objectSid du Compte A. Seule exception : si la valeur de msExchMasterAccountSid est le compte connu Self, l'objectSid est quand même utilisé. Si la valeur de msExchMasterAccountSid n'existe pas, que l'indicateur Compte externe associé soit activé ou pas, les opérations de sécurité liées à la boîte aux lettres échoueront. Le Compte externe associé et l'attribut msExchMasterAccountSid vont de pair. Il est donc essentiel de respecter les règles suivantes :

• Un compte doit être désactivé s'il a un Compte externe associé ou un attribut msExchMasterAccountSid. Aucun compte Active Directory ne peut avoir un Compte externe associé ou un msExchMasterAccountSid.
• Tout compte Active Directory désactivé pour la connexion mais ayant une boîte aux lettres doit avoir à la fois un Compte externe associé et un attribut msExchMasterAccountSid.

Vous pouvez rechercher des comptes Active Directory activés ayant un attribut msExchMasterAccountSid en utilisant la requête LDAP suivante :

(&(objectCategory=user)(msExchUserAccountControl=0)(msExchMasterAccountSid=*))

Cette requête peut être utilisée dans divers applications et scripts LDAP. Par exemple, vous pouvez l'employer avec l'outil LDIFDE d'exportation d'annuaire LDAP (Lightweight Directory Access Protocol) au format d'échange LDIF (Lightweight Data Interchange Format) de Windows 2000 Server et Windows Server™ 2003 :

LDIFDE -F BadAccounts.txt -D "DC=CONTOSO,DC=COM" -R "(&(objectCategory=user)(msExchUserAccountControl=0)(msExchMasterAccountSid=*))"

Il convient de vérifier chacun des comptes répertoriés dans BadAccounts.txt et d'en supprimer l'indicateur Compte externe associé.

La suppression du Compte externe associé dans la boîte de dialogue Droits de boîte aux lettres supprimera automatiquement l'attribut msExchMasterAccountSid. La définition du Compte externe associé dans la boîte de dialogue Droits de boîte aux lettres définira automatiquement l'attribut msExchMasterAccountSid. Cette règle est valable pour les comptes Active Directory activés et désactivés.

Vous pouvez également rechercher des comptes d'utilisateurs Active Directory qui n'ont pas de valeur msExchMasterAccountSid :

(&(objectCategory=user)(msExchUserAccountControl=2)(!(msExchMasterAccountSid=*)))

En règle générale, vous risquez davantage d'observer des problèmes dans votre environnement lorsque des comptes Active Directory désactivés n'ont pas de msExchMasterAccountSid que lorsque des comptes activés ont un msExchMasterAccountSid. En effet, aucun événement n'est consigné pour les utilisateurs activés ayant un msExchMasterAccountSid.

Pour plus d'informations

Pour plus d'informations sur Active Directory et les boîtes aux lettres Exchange, voir la rubrique sur l'Utilisation des attributs Active Directory pour activer, désactiver et réassocier des boîtes aux lettres.

Pour plus d'informations sur le déplacement de bases de données de boîtes aux lettres Exchange, voir la rubrique sur le Déplacement d'une base de données de boîtes aux lettres Exchange vers un autre serveur ou groupe de stockage.