Compartir a través de


Impact des liens persistants sur le processus de génération du carnet d’adresses en mode hors connexion...

Article d'origine publié le mercredi 14 septembre 2011

Au sein d'Exchange, tous les groupes de distribution ou groupes de sécurité avec messagerie électronique qui contiennent des liens persistants auront des répercussions sur le processus de génération du carnet d'adresses en mode hors connexion, dans la mesure où ils n'en permettront pas la réplication correcte. Même si ce problème existe depuis les débuts d'AD avec Windows 2000, il s'agit d'un problème assez méconnu lié à la façon dont le processus de génération du carnet d'adresses en mode hors connexion fonctionne.

Plusieurs options existent pour corriger ce problème. Vous devrez soit supprimer et recréer les groupes concernés, soit héberger à nouveau la partition Active Directory qui contient les groupes avec des liens persistants.

Que sont les liens persistants ?

Il convient d'abord de comprendre ce qu'est un lien dans Active Directory :

Certaines références entre les objets dans Active Directory requièrent des références ascendantes à des fins d'utilisabilité ou d'administration. Par exemple, si managedBy est un attribut d'objet, vous pouvez examiner ObjetA afin de déterminer qu'ObjetA est géré par ObjetB. De même, il s'avère parfois utile de pouvoir examiner ObjetB pour déterminer les objets qu'il gère (les valeurs de l'attribut managedObjects par exemple). Active Directory garantit l'intégrité référentielle entre les objets qui se référencent l'un l'autre afin que lorsqu'un objet est déplacé dans l'arborescence des répertoires, la référence qui existe entre lui et d'autres objets soit maintenue. Ce référencement s'accomplit par l'intermédiaire d'attributs liés.

Deux attributs qui sont liés sont marqués dans le schéma comme ayant le même identificateur de paire de liens, l'un est marqué en tant que lien descendant et l'autre en tant que lien ascendant. Par exemple, dans la paire de liens managedBy / managedObjects, managedBy est le lien descendant. Par conséquent, pour ajuster l'attribut managedObjects sur un objet utilisateur, vous devez accéder aux objets que vous voulez ajouter ou supprimer de la valeur managedObjects de l'utilisateur afin de modifier la valeur managedBy de chaque objet. Les attributs de lien ascendant sont calculés lorsqu'ils sont demandés par une action de l'utilisateur.

Pour trouver tous les objets qu'ObjetB gère, les liens sont examinés pour tous les enregistrements dans lesquels la paire de liens est managedBy / managedObjects et l'attribut de lien ascendant identifie ObjetB. Les paires de liens de ces enregistrements fournissent les identificateurs de base de données de tous les enregistrements (objets) gérés par ObjetB.

L'appartenance à des listes de distribution est implémentée à la fois sous forme de lien descendant et de paire de liens ascendants. Les objets du lien ascendant sont les objets qui stockent l'attribut isMemberOfDl. L'attribut member du lien ascendant est un attribut à valeur multiple, qui permet à un utilisateur d'être membre de plusieurs listes de distribution. Le lien ascendant doit toujours être un lien à valeur multiple car il est impossible de restreindre les personnes qui créent des liens vers des objets divers.

Un lien persistant est un attribut lié d'un lien ascendant qui contient le nom unique d'un objet qui n'existe plus dans Active Directory. Ces problèmes sont dus aux serveurs de catalogues globaux (et à la partition en lecture seule qui réside sur les catalogues globaux) qui ne reçoivent pas une réplication saine des contrôleurs de domaine inscriptibles de la part des domaines qui rencontrent un problème. C'est pourquoi les catalogues globaux conservent généralement la valeur du lien persistant qui est rompue et que les contrôleurs de domaine inscriptibles ne rencontrent pas nécessairement le problème.

Symptômes du problème

Le processus de génération du carnet d'adresses en mode hors connexion utilise une fonction QueryRows pour renvoyer des valeurs d'attribut à partir d'Active Directory. Si des données non valides sont renvoyées, des événements d'erreur peuvent être renvoyés dans l'observateur d'événements d'application et le processus de génération ne se termine pas.

Événements d'erreur associés à ce problème :

Source de l'événement

ID de l'événement

Chaîne de l'événement

MSExchangeSA

9126

L'erreur 8004010e s'est produite dans OABGen lors du calcul de la liste d'adresses en mode hors connexion \Global Address List.

MSExchangeSA

9330

L'erreur 8004010e (ID interne 8004010e) s'est produite dans OALGen lors de l'accès à l'annuaire Active Directory ContosoHUB03 pour « \Global Address List ».

MSExchangeSA

9339

L'annuaire Active Directory HubServer a renvoyé l'erreur 8004010e lors de la génération de la liste d'adresses en mode hors connexion pour \Global Address List. Le dernier destinataire renvoyé par l'annuaire Active Directory était UserName. Cette liste d'adresses en mode hors connexion ne sera pas générée.

Un article récemment publié dans la base de connaissances, rédigé par Justin Turner, est à présent disponible pour plus d'informations sur la manière dont les liens persistants s'appliquent à Exchange :

Échecs de la génération du carnet d'adresses en mode hors connexion d'Exchange dus à des attributs contenant des données erronées ou périmées : événements 9126 9330 et 9339 avec erreur 8004010e cités
https://support.microsoft.com/kb/2553698

Dépannage

En interne, les ingénieurs Active Directory nettoient régulièrement les objets persistants à l'aide de l'outil en ligne de commande repadmin, ce qui constitue un processus assez simple. Le programme Microsoft ADRAP (AD Risk Assessment Program, un service pour nos clients Premier) permet de signaler les objets persistants dans votre environnement Active Directory. Tandis que le nettoyage des objets persistants est un processus bien connu, les liens persistants ne sont pas facilement identifiés du côté d'AD. Il existe cependant un outil Exchange qui peut identifier des liens persistants : oabvalidate.exe https://oabvalidate.codeplex.com/. L'auteur de cet outil (Bill Long) met activement à jour l'outil sur Codeplex. L'outil OABValidate est peu volumineux (moins de 800 ko) et s'exécute sur un contrôleur de domaine spécifié, ce qui en général ne prend pas longtemps (selon le nombre d'objets dans votre environnement AD) et vous permet d'obtenir la liste de tous les groupes contenant des liens persistants à traiter.

Que se passe-t-il une fois qu'Exchange est installé et s'exécute et que des liens persistants existent dans votre environnement ? Vous obtenez des erreurs de génération du carnet d'adresses en mode hors connexion pouvant indiquer que vous avez des liens persistants à traiter.

Mike O’Neill

Ce billet de blog a été traduit de l’anglais. L’article d’origine est disponible à la page How Lingering Links can impact OAB generation process...