• Article

MSExchangeIS 5000 (0x80004005) : Impossible de monter la base de données en raison d'un compte de service incorrect ou d'autorisations SeSecurityPrivilege manquantes ou d'appartenance au groupe incorrecte

[Cette rubrique est destinée à résoudre un problème spécifique signalé par l'outil Exchange Server Analyzer Tool. Ne l'appliquez qu'à des systèmes sur lesquels l'outil Exchange Server Analyzer Tool a été exécuté et qui ont rencontré ce problème spécifique. L'outil Exchange Server Analyzer Tool, disponible sous forme de téléchargement gratuit, collecte à distance des données de configuration de chaque serveur de la topologie et les analyse automatiquement. Il génère un rapport qui détaille les problèmes de configuration importants, les problèmes potentiels et les paramètres du produit qui ne sont pas définis par défaut. En suivant ces recommandations, vous pouvez accroître les performances, l'évolutivité, la fiabilité et la disponibilité. Pour plus d'informations sur l'outil ou pour télécharger les versions les plus récentes, consultez la rubrique sur les analyseurs Microsoft Exchange à l'adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Dernière rubrique modifiée : 2009-08-17

L'outil de dépannage de base de données de Microsoft Exchange a détecté un ou plusieurs événements MSExchangeIS 5000 avec le code d'erreur 0x80004005 dans le journal des applications. L'événement indique qu'une ou plusieurs bases de données sur le serveur Exchange ne peuvent pas être montées en raison d'un compte de service incorrect, d'autorisations SeSecurityPrivilege manquantes ou d'une appartenance au groupe incorrecte.

Explication

L'événement peut se produire si l'une des conditions suivantes est vraie :

  • Le droit Gestion des journaux d'audit et de sécurité (SeSecurityPrivilege) est supprimé du groupe Serveurs d'entreprise Exchange sur un ou plusieurs contrôleurs de domaine. Le groupe Serveurs d'entreprise Exchange doit disposer du droit Gestion des journaux d'audit et de sécurité sur tous les contrôleurs de domaine dans le domaine. Si cette condition est vraie, un ou plusieurs services d'Exchange Server ne démarrent pas.
  • Le service Banque d'informations Microsoft Exchange démarre avec un compte autre que celui du système local ou bien, si le contrôleur de domaine, le domaine ou la stratégie de sécurité de l'ordinateur local n'inclut pas le compte de service local dans la stratégie de génération des audits de sécurité. Si cette condition est vraie, le service Banque d'informations Exchange ne démarre pas.
  • Le groupe Serveurs d'entreprise Exchange du domaine parent ne contient pas le groupe Serveurs de domaine Exchange du domaine enfant.

L'événement peut également être identifié comme MAPI_E_CALL_FAILED. L'événement s'applique aux versions suivantes d'Exchange Server :

  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2003
  • Microsoft Exchange 2000 Server

Action d'utilisateur

Pour résoudre ce problème, effectuez une ou plusieurs des opérations suivantes :

  • Si l'autorisation Gestion des journaux d'audit et de sécurité (SeSecurityPrivilege) est supprimée du groupe Serveurs d'entreprise Exchange sur un ou plusieurs contrôleurs de domaine, procédez comme suit :
    Ajout d'autorisations à un ou plusieurs contrôleurs de domaine

    1. Utilisez l'utilitaire Policytest.exe pour résoudre les problèmes liés aux autorisations. Ce dernier se trouve dans le dossier Support\Utils\I386 sur le CD Exchange 2000 Server, ou dans le dossier Support\ExDeploy sur le CD Exchange Server 2003. L'utilitaire Policytest.exe permet de déterminer si l'autorisation « Gestion des journaux d'audit et de sécurité » pour le groupe Serveurs d'entreprise Exchange est manquante pour un contrôleur de domaine. En cas de résultat positif, des informations semblables à celles qui suivent sont retournées :

      Le domaine local est "<contoso.com>" (contoso) Le compte est "CONTOSO\Exchange Enterprise Servers" DC = "<nom_ordinateur>" Dans le site = "<nom_premier_site_par_défaut>" Droit trouvé : "SeSecurityPrivilege"

      Remarque   Un résultat positif indique que l'autorisation « Gestion des journaux d'audit et de sécurité » existe. Vous devez disposer des droits d'administrateur de domaine pour exécuter l'utilitaire Policytest.exe. Pour plus d'informations sur l'utilitaire Policytest.exe, consultez l'article 281537 de la Base de connaissances Microsoft, XADM: Description of the Policytest.exe Utility (en anglais).

      Remarque   L'outil Policytest.exe ne peut pas être utilisé dans un environnement Exchange 2007 natif.

    2. Réinitialisez les autorisations par défaut du groupe Serveurs d'entreprise Exchange au niveau du domaine. Pour ce faire, procédez comme suit :

      1. Exécutez la commande setup /domainprep depuis le CD Exchange Server ou un point d'installation réseau. La commande setup /domainprep ajoute le groupe Serveurs d'entreprise Exchange au domaine disposant des autorisations par défaut. Lorsque vous exécutez la commande setup /domainprep, les autorisations sont immédiatement ajoutées à un contrôleur de domaine. Puis la modification est appliquée aux autres contrôleurs de domaine.
      2. Restaurez l'héritage des autorisations sur les autres unités d'organisation. Puis, attendez que les contrôleurs de domaine procèdent à la réplication des modifications dans le domaine.
      3. Exécutez l'utilitaire Policytest.exe. Notez les contrôleurs de domaine qui renvoient le résultat positif suivant :
        Droit trouvé : "SeSecurityPrivilege"
        Si tous les contrôleurs de domaine ont les autorisations correctes, redémarrez les services Exchange Server. Si aucun contrôleur de domaine n'a les autorisations correctes, passez à l'étape 3.

    3. Vérifiez la stratégie des contrôleurs de domaine par défaut. Pour ce faire, procédez comme suit :

      1. Démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
      2. Cliquez avec le bouton droit sur le conteneur Contrôleurs de domaine, puis cliquez sur Propriétés.
      3. Cliquez sur l'onglet Stratégie de groupe, puis vérifiez que la stratégie des contrôleurs de domaine par défaut est répertoriée dans la zone Liaisons d'objet de stratégie de groupe. Remarque   Si la stratégie des contrôleurs de domaine par défaut n'est pas répertoriée, cliquez sur Ajouter, Stratégie des contrôleurs de domaine par défaut, puis sur OK. Puis attendez que la modification soit appliquée aux autres contrôleurs de domaine.
      4. Exécutez la commande setup /domainprep depuis le CD Exchange Server ou un point d'installation réseau. La commande setup /domainprep ajoute le groupe Serveurs d'entreprise Exchange au domaine disposant des autorisations par défaut.
      5. Exécutez l'utilitaire Policytest.exe. Notez les contrôleurs de domaine qui renvoient le résultat positif suivant :

      Droit trouvé : "SeSecurityPrivilege"

      Si tous les contrôleurs de domaine ont les autorisations correctes, redémarrez les services Exchange Server. Si aucun contrôleur de domaine n'a les autorisations correctes, passez à l'étape 4.

    4. Ajoutez manuellement les autorisations au contrôleur de domaine. Il se peut que le service de réplication de fichiers ne réplique pas la stratégie de sécurité mise à jour sur un ou plusieurs contrôleurs de domaine après l'exécution de la commande setup /domainprep. Si ce problème survient, vous devez affecter manuellement les autorisations correctes au groupe Serveurs d'entreprise Exchange. Si certains contrôleurs de domaine ou tous les contrôleurs de domaine n'ont pas les autorisations correctes, affectez l'autorisation « Gestion des journaux d'audit et de sécurité » au groupe Serveurs d'entreprise Exchange. Puis attendez que la configuration soit appliquée aux autres contrôleurs de domaine. Pour ce faire, procédez comme suit :

      1. Démarrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
      2. Cliquez avec le bouton droit sur le conteneur Contrôleurs de domaine, puis cliquez sur Propriétés.
      3. Cliquez sur l'onglet Stratégie de groupe, cliquez sur Stratégie des contrôleurs de domaine par défaut dans la zone Liaisons d'objet de stratégie de groupe, puis sur Modifier.
      4. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis cliquez sur Attribution des droits d'utilisateur.
      5. Dans le volet droit, double-cliquez sur Gestion des journaux d'audit et de sécurité, cliquez sur Ajouter, Parcourir, puis ajoutez le groupe Serveurs d'entreprise Exchange.
      6. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur, cliquez sur OK. Cliquez à nouveau sur OK.
      7. Quittez le composant logiciel enfichable Stratégie de groupe, puis cliquez sur OK dans la boîte de dialogue des propriétés des contrôleurs de domaine. Remarque   Il peut arriver que le groupe Serveurs d'entreprise Exchange ne soit pas visible lorsque vous cliquez sur Parcourir dans la boîte de dialogue Ajouter un groupe ou un utilisateur. Si c'est le cas, ajoutez le groupe Serveurs de domaine Exchange. Puis exécutez à nouveau la commande setup /domainprep. Ce processus permet d'ajouter le groupe Serveurs d'entreprise Exchange à tous les contrôleurs de domaine.

  • Si le service Banque d'informations Exchange démarre avec un compte autre que celui du système local ou bien, si le contrôleur de domaine, le domaine ou la stratégie de sécurité de l'ordinateur local n'inclut pas le compte de service local dans la stratégie de génération des audits de sécurité, suivez la résolution indiquée ci-après :
    Par défaut, le service Banque d'informations Exchange utilise le compte Système local pour démarrer le service Banque d'informations (MACHINENAME$). Utilisez le composant logiciel enfichable Services.msc pour contrôler le compte utilisé pour démarrer le service Banque d'informations. Si le compte est le compte Système local, vous devez octroyer à nouveau au compte Système local le droit Générer des audits de sécurité. Pour ce faire, utilisez l'une des méthodes suivantes :
    Nouvel octroi du droit Générer des audits de sécurité au compte Système local

    1. Exécutez de nouveau la commande Setup /domainprep d'Exchange sur cet ordinateur.

    2. Octroyez manuellement au compte Système local le droit Générer des audits de sécurité sur l'une des stratégies suivantes :

      • Stratégie du contrôleur de domaine
      • Stratégie de domaine
      • Stratégie de sécurité de l'ordinateur local

    Nouvel octroi du droit Générer des audits de sécurité à la stratégie de sécurité de l'ordinateur local d'un serveur membre

    1. Cliquez sur Démarrer, Outils d'administration, puis sur Stratégie de sécurité locale.

    2. Développez Paramètres de sécurité, cliquez sur Stratégies locales, puis sur Attribution des droits utilisateur.

    3. Dans le volet droit, double-cliquez sur Générer des audits de sécurité, cliquez sur Ajouter, entrez MACHINENAME$, puis cliquez deux fois sur OK.

    4. Quittez le composant logiciel enfichable Stratégie de groupe. Si vous démarrez le service Banque d'informations à l'aide d'un compte autre que le compte Système local, vous devez le remodifier en compte Système local (MACHINENAME$). Ensuite, tentez de démarrer le service Banque d'informations. Pour plus d'informations sur la raison pour laquelle Exchange 2000 Server et Exchange Server 2003 utilisent le compte Système local pour démarrer les services Exchange, consultez l'article 239762 de la Base de connaissances Microsoft sur les services Exchange exécutés sous LocalSystem.

  • Si le groupe Serveurs d'entreprise Exchange du domaine parent ne contient pas le groupe Serveurs de domaine Exchange du domaine enfant, ajoutez le groupe Serveurs de domaine Exchange du domaine enfant au groupe Serveurs d'entreprise Exchange dans le domaine parent. Vous pouvez également résoudre ce problème en créant le service de mise à jour de destinataire dans le domaine racine.
    Pour résoudre ce problème, exécutez le programme d'installation d'Exchange avec le commutateur /domainprep sur un serveur dans le domaine Windows distant. Puis, sur le serveur Exchange, utilisez le Gestionnaire système Exchange pour créer un service de mise à jour de destinataire pour le domaine distant. Pour ce faire, procédez comme suit :
    Création d'une instance du service de mise à jour de destinataire pour le domaine distant

    1. Cliquez sur Démarrer, Programmes, Microsoft Exchange, puis Gestionnaire système.

    2. Développez l'objet Organisation, puis le conteneur Destinataires.

    3. Cliquez sur Service de mise à jour de destinataire.

    4. Dans le volet droit, cliquez avec le bouton droit sur Nouveau, puis cliquez sur Service de mise à jour de destinataire.

    5. Cliquez sur le domaine sans instance du service de mise à jour de destinataire et disposant d'utilisateurs devant être mis à jour par Exchange.

    6. Cliquez sur Suivant.

    7. Sélectionnez le serveur sur lequel vous voulez exécuter le service de mise à jour de destinataire et traitez tous les utilisateurs requis avec les attributs Exchange.

    8. Cliquez sur Suivant.

    9. Cliquez sur Terminer.

    10. Pour lancer manuellement une mise à jour des destinataires dans ce domaine, cliquez avec le bouton droit sur Service de mise à jour de destinataire, puis cliquez sur Mettre à jour pour forcer la mise à jour. Pour plus d'informations, consultez l'article 253770 de la Base de connaissances Microsoft sur les tâches effectuées par le service de mise à jour de destinataire d'Exchange.