Message d'erreur : Les stratégies de sécurité sont propagées avec avertissement. 0x534

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Datacenter Server

Symptômes

Toutes les cinq minutes, les messages d'erreur d'événement suivants sont ajoutés au journal Application dans l'Observateur d'événements :

Type d'événement : Avertissement
Source de l'événement : SceCli
Catégorie de l'événement : Aucune
ID de l'événement : 1202
Date : 10/16/1999
Heure : 10:13:10
Utilisateur : N/D
Ordinateur : POSTE DE TRAVAIL

Description : les stratégies de sécurité sont propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué. Consultez les informations détaillées dans la section Dépannage dans l'Aide sur la sécurité.

- et -

 

Type d'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1000
Date : 16/10/1999
Heure : 10:13:11
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : POSTE DE TRAVAIL

Description : l'extension du côté client de la stratégie de groupe Sécurité a obtenu les indicateurs (17) et a renvoyé un code d'état d'erreur de (1332).

Cause

Ce problème peut se produire pour une des raisons suivantes :

·         Vous installez un programme qui crée des comptes d'utilisateurs et leur attribue des droits. Par la suite, vous supprimez le programme, qui supprime à son tour les comptes d'utilisateurs, mais qui ne supprime pas les droits de la stratégie avant de supprimer les comptes.

- ou -

·         Vous ajoutez un compte d'utilisateur et lui attribuez des droits. Par la suite, vous supprimez le compte, mais vous ne supprimez pas le compte de la stratégie des droits de l'utilisateur.

Résolution

Pour résoudre ce problème, procédez comme suit :

1.       Ajoutez la valeur DWORD ExtensionDebugLevel avec la valeur 2 à la clé de Registre suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtension\{827...}

REMARQUE : dans la la clé de Registre, tout identificateur GUID commençant par "{827".

2.       Sous la fenêtre de commande, tapez secedit /refreshpolicy machine_policy /enforce pour générer le fichier Winlogon.log dans le dossier dossier_Windows\Security\Logs.

3.       Redémarrez le service Netlogon.

4.       Analysez le fichier Winlogon.log à la recherche de comptes d'utilisateurs supprimés.

5.       Confirmez que ce compte d'utilisateur ne se situe pas dans une Attribution des droits utilisateur dans la stratégie Contrôleurs de domaine par défaut ou dans la Stratégie de sécurité locale, sous la colonne des paramètres effectifs.

Pour plus d'informations sur la Stratégie des droits d'utilisateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

234237 Affectation de droits "Ouvrir une session localement" à un contrôleur de domaine Windows

REMARQUE : l'article précédent décrit comment ajouter un utilisateur à la liste. Dans ce cas, vous utilisez la même procédure, sauf que vous supprimez un compte d'utilisateur de la liste.

 

Statut

Microsoft a confirmé l'existence de ce problème dans Microsoft Windows 2000.

 

Dernière modification le : 04/04/2003 Mot(s) clé(s) : kbenv kberrmsg kbprb KB247482

 

 

ID de l'événement : 1000 en raison d'un espace en fin de chaîne dans le chemin d'accès du profil de l'utilisateur

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Professional

·         Microsoft Windows 2000 Datacenter Server

·         Microsoft Windows NT Server 4.0

Symptômes

Lorsque vous ouvrez une session sur un domaine Windows, le message d'erreur suivant peut s'afficher :

Votre profil itinérant n'est pas disponible. Vous êtes connecté avec le profil stocké localement. Les modifications apportées au profil ne seront pas copiées sur le
serveur. Contactez votre administrateur réseau.

DÉTAIL - Le système ne peut pas trouver le chemin d'accès spécifié.

Si vous cliquez sur OK, ou après un délai de 30 secondes, un autre message d'erreur s'affiche :

Windows ne peut pas trouver le profil local et tente de vous connecter avec un profil temporaire. Les modifications effectuées sur ce profil seront perdues lorsque vous vous déconnecterez.

Le serveur enregistre un code d'erreur associé au profil de l'utilisateur.

ID de l'événement : 1000
Source : Userenv
Catégorie : Aucune
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : nom_serveur

Description :
Votre profil itinérant n'est pas disponible. Vous êtes connecté avec le profil stocké localement. Les modifications apportées au profil ne seront pas copiées sur le
serveur. Contactez votre administrateur réseau.

DÉTAIL - Le système ne peut pas trouver le chemin d'accès spécifié.



Un message d'erreur semblable au suivant peut s'afficher dans Windows NT 4.0 :

Votre profil itinérant n'est pas disponible, le système d'exploitation tente de vous connecter avec votre profil local.

Cause

Ce problème peut survenir si vous configurez un enregistrement utilisateur avec un espace de fin de chaîne dans le chemin d'accès du profil de l'utilisateur.

Résolution

Pour résoudre ce problème, supprimez les espaces de fin de chaîne, puis reconnectez-vous.

REMARQUE : l'espace de fin de chaîne n'est visible que si vous mettez le chemin d'accès du profil en surbrillance.

Par exemple, si vous utilisez le chemin d'accès de profil suivant :

D:\Profiles\User

les sous-dossiers ressemblent à ceci :

D:\Profiles\User \Cookies

REMARQUE : vous pouvez placer des espaces en début de chaîne ou les intégrer à celle-ci, mais vous ne pouvez pas les placer en fin de chaîne. Ce comportement est cohérent avec celui de Windows NT 4.0.

Un administrateur peut spécifier où stocker la structure de dossier du profil d'un utilisateur en modifiant le chemin d'accès du profil contenu dans la structure de l'enregistrement de l'utilisateur. Vous pouvez utiliser l'utilitaire Utilisateurs et ordinateurs Active Directory pour modifier la structure de l'enregistrement de l'utilisateur.

Statut

Ce problème est voulu par la conception même du produit.

 

Dernière modification le: 30/04/2003 Mot(s) clé(s) : kbenv kberrmsg kbprb KB248368

 

Group Policy Error Message When Appropriate Sysvol Contents Are Missing

The information in this article applies to:

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Datacenter Server

This article was previously published under Q253268

SYMPTOMS

When you are trying to edit the Group Policy object in Group Policy Editor, you may receive the following error message:

Failed to open the Group Policy Object. You may not have appropriate rights.

Details:
The system cannot find the path specified.

CAUSE

This behavior can occur if any one of the the following folder structures is missing:

·         %SystemRoot%\Sysvol\Sysvol\DomainName

·         %SystemRoot%\Sysvol\Sysvol\DomainName\Policies

·         %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}

·         %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\Machine

·         %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\User

RESOLUTION

There are two ways to recover from this situation if you have a single-domain environment. If you have multiple domain controllers in the domain, you can obtain the information from a replica domain controller.

·         Restore the Sysvol contents from a backup tape.

·         Re-create the folder structures within the Sysvol container. The {GUID} folder names must include both the leading brace - "{" and the trailing brace - "}"

NOTE: If you re-create the folder structure, a blank policy is created. The files and folders in the Machine and User folders are re-created after a modification is made to the policy file by using the Group Policy snap-in.

MORE INFORMATION

To locate the Globally Unique Identifier (GUID) for the associated group policy objects (GPOs) in the directory, use either of the following methods.

 

Using the Active Directory Users and Computers Snap-in

1.       Start the Active Directory Users and Computers snap-in in Microsoft Management Console (MMC).

2.       On the View menu, click Advanced Features.

3.       Click the plus sign (+) next to the System folder.

4.       Click the plus sign (+) next to the Policies folder.

The GUIDs for the GPOs are listed as folders.

 

Using Ldp.exe

1.       Start Ldp.exe from the Support\Reskit\Netmgmt\Dstool folder on the retail Windows 2000 CD-ROM.

2.       On the Connection menu, click Connect.

3.       Type the server name, verify that the port setting is set to 389, click to clear the Connectionless check box, and then click OK. When the connection is complete, server-specific data is displayed in the right pane.

4.       On the Connection menu, click Bind. Type the user name, password, and domain name (in DNS format) in the appropriate boxes (you may need to click to select the Domain check box), and then click OK. If the binding is successful, you should receive a message similar to "Authenticated as dn:'YourUserID'" in the right pane.

5.       On the View menu, click Tree.

6.       In the Base DN box, type dc=mydomain,dc=mydomain, replacing mydomain and mydomain with the appropriate domain name.

7.       Click the plus sign (+) next to the System container.

8.       Click the plus sign (+) next to the Policies container.

There should be a container with a GUID for every policy object created in the directory.

 

Last Reviewed: 10/11/2002 Keywords: kbenv kberrmsg kbprb KB253268

 

 

 

Résolution du problème des partages SYSVOL et NETLOGON manquants sur les contrôleurs de domaine Windows 2000

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Datacenter Server

Ancien nº de publication de cet article : F257338

Résumé

Le service de réplication de fichiers (FRS, File Replication Service) est un moteur de réplication multithread à plusieurs maîtres qui remplace le service LMREPL dans Microsoft Windows NT 3.x et 4.0. Les serveurs et contrôleurs de domaine Microsoft Windows 2000 utilisent FRS pour répliquer les stratégies système et les scripts de connexion pour les clients Windows 2000 et de bas niveau.

Le service de réplication de fichiers peut également répliquer le contenu entre des serveurs Windows 2000 hébergeant les mêmes racines DFS à tolérance de pannes ou réplicas de noeud enfant.

Cet article décrit comment résoudre les problèmes concernant les contrôleurs de domaine Windows 2000 pour lesquels les partages netlogon et sysvol sont manquants.

Plus d'informations

Les partages netlogon et sysvol sont généralement manquants sur des contrôleurs de domaine répliqués d'un domaine existant, mais peuvent également l'être sur le premier contrôleur d'un nouveau domaine. La procédure suivante concerne plutôt le scénario des contrôleurs de domaine répliqués, mais peut être appliquée au premier contrôleur d'un domaine en ignorant les étapes spécifiques à la réplication.

1.       Les objets de connexion NTDS existent dans le service d'annuaire de chaque partenaire de réplication.

Les connexions NTDS sont des connexions à sens unique utilisées par le service d'annuaire pour répliquer Active Directory et par le service FRS pour répliquer la partie système de fichiers de la stratégie système dans le dossier SYSVOL. Le Vérificateur de cohérence des données est responsable de la création des objets de connexion NTDS pour élaborer une topologie disposant de connexions rapides entre les contrôleurs du domaine et la forêt. À la place des connexions automatiques, les administrateurs peuvent également créer des objets de connexion manuelle.

Utilisez le composant logiciel enfichable "Sites et services" (Dssite.msc) pour examiner les objets de connexion qui existent entre l'ordinateur problématique et les contrôleurs de domaine existants. Pour effectuer la réplication entre l'ordinateur \\M1 et \\M2, \\M1 doit posséder un objet de connexion entrante à partir de \\M2 et \\M2, un objet de connexion entrante à partir de \\M1. Utilisez la commande "Se connecter au contrôleur de domaine..." de Dssites.msc pour afficher et comparer la perspective de chaque contrôleur de domaine par rapport aux objets de connexion entre les domaines.

Si aucun objet de connexion n'existe pour le nouveau membre répliqué, utilisez la commande Vérification de la topologie de réplication de Dssites.msc pour forcer le Vérificateur de cohérence des données à créer les objets de connexion automatique nécessaires (appuyez sur F5 pour actualiser ensuite l'affichage).

Si le Vérificateur de cohérence des données est incapable de créer des connexions automatiques, les administrateurs doivent intervenir en créant des objets de connexion manuelle pour les contrôleurs de domaine sans connexion entrante ou sortante vers ou depuis les autres contrôleurs du domaine. La création d'un seul objet de connexion manuelle de travail permet souvent au Vérificateur de cohérence des données de générer les objets de connexion automatique souhaités. Les connexions manuelles et/ou automatiques dupliquées à partir du même contrôleur du domaine doivent être supprimées pour éviter une configuration qui bloquerait la réplication, comme décrit dans l'article suivant de la Base de connaissances Microsoft :

251250 L'ID d'événement NTFRS 13557 est enregistré lorsqu'il existe des objets de connexion NTDS dupliqués

2.       La réplication Active Directory se produit entre les contrôleurs de domaine nouveaux et existants dans le domaine.

Utilisez Repadmin.exe pour confirmer que la réplication Active Directory a lieu entre les contrôleurs source et de destination du même domaine dans l'intervalle de réplication planifié. Les intervalles de réplication par défaut sont de cinq minutes entre les contrôleurs de domaine du même site et d'une fois toutes les trois heures entre les contrôleurs de domaine de sites différents (15 minutes au minimum).

REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%

La réplication FRS dépend d'Active Directory pour répliquer les informations de configuration nécessaires entre les contrôleurs du domaine. Si la réplication semble problématique, examinez les événements de réplication dans l'Observateur d'événements après avoir défini l'entrée "événements de réplication" dans

HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\

à "5" sur des ordinateurs source potentiels (\\M1) et sur l'ordinateur de destination (\\M2), puis en forçant la réplication à partir de \\M1 vers \\M2 et à partir de \\M2 vers \\M1 à l'aide de la commande "Répliquer maintenant" dans Dssites.msc ou de son équivalent dans REPLMON.

3.       Le serveur utilisé comme source pour Active Directory et le dossier SYSVOL doit avoir créé lui-même des partages NETLOGON et SYSVOL.

Une fois que le programme Dcpromo.exe a redémarré l'ordinateur, le service de réplication de fichiers essaie tout d'abord d'utiliser le partage SYSVOL à partir de l'ordinateur identifié dans la clé de Registre "Replica Set Parent" sous :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\ Nom de domaine

REMARQUE : Cette clé est temporaire et est supprimée une fois que le dossier SYSVOL est défini comme source, ou que les informations qu'il contient ont été répliquées avec succès.

La version 2195 de Ntfrs.exe empêche que la réplication ne se produise à partir de ce serveur de source initial, en retardant la réplication SYSVOL jusqu'à ce que le service de réplication de fichiers puisse tenter d'effectuer une réplication à partir d'un partenaire de réplication entrante dans le domaine sur un objet de connexion NTDS manuelle ou automatique.

Tous les contrôleurs source du domaine potentiels doivent avoir eux-mêmes partagé les partages NETLOGON et SYSVOL et appliqué des domaines et une stratégie de contrôleurs de domaine par défaut.

Structure du répertoire SYSVOL :

·   domain

·  

§       DO_NOT_REMOVE_NtFrs_PreInstall_Directory

§       Les stratégies

§      

o          {GUID}

o        

§               Adm

§               MACHINE

§               UTILISATEUR

o          {GUID}

o        

§               Adm

§               MACHINE

§               UTILISATEUR

o          {etc.,}

§       scripts

·   test

·   zones de test

·  

§       votre_nom_domaine.com

·   scripts

·   sysvol(sysvol share)

·  

§       votre_nom_domaine.com

§      

o          DO_NOT_REMOVE_NtFrs_PreInstall_Directory

o          Les stratégies

o        

§               {GUID}

§          

§                   Adm

§                   MACHINE

§                   UTILISATEUR

§               {GUID}

§          

§                   Adm

§                   MACHINE

§                   UTILISATEUR

§               {etc.,}

o          scripts(NETLOGON share)

Pour plus d'informations sur les problèmes affectant la source du réplica initial, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

250545 Le répertoire SYSVOL est lent à synchroniser, il retarde la création du partage SYSVOL et l'enregistrement du contrôleur de domaine

4.       Le droit "Accéder à cet ordinateur à partir du réseau" doit être attribué au groupe "Contrôleurs de domaine pour entreprises" dans la stratégie des contrôleurs de domaine par défaut sur les contrôleurs de domaine OU.

La réplication Active Directory lors de l'utilisation du programme Dcpromo.exe se sert des informations d'autorisation indiquées dans l'Assistant Installation de Active Directory. Lors du redémarrage, la réplication se produit dans le contexte du compte d'ordinateur du contrôleur de domaine. Tous les contrôleurs source du domaine doivent répliquer et appliquer avec succès la stratégie en attribuant au groupe "Contrôleurs de domaine pour entreprises" le droit "Accéder à cet ordinateur à partir du réseau". Pour effectuer une vérification rapide, recherchez l'événement 1704s dans le journal des applications des contrôleurs de domaine potentiels. Pour une vérification détaillée, exécutez l'analyse de la configuration de la sécurité avec le modèle Basicdc.inf qui requiert la définition des variables d'environnement pour SYSVOL, DSLOG et DSIT comme décrit dans l'article suivant :

250454 Erreur retournée lors de l'importation du modèle de sécurité BASICDC dans l'éditeur de configuration de la sécurité

et examinez les lignes du fichier journal obtenues.

Le droit "Accéder à cet ordinateur à partir du réseau" est souvent manquant pour les domaines Windows NT 4.0 mis à niveau vers Windows 2000, ce qui peut provoquer l'échec de la réplication d'Active Directory et du service de réplication de fichiers avec des messages d'erreur de type "Accès refusé".

5.       Chaque contrôleur de domaine doit pouvoir vérifier (à l'aide de la commande Ping) les noms complets (%nom_ordinateur%.<nom_domaine>) des ordinateurs participant au jeu de réplicas.

Pour SYSVOL, cela revient à exécuter la commande Ping sur le nom d'ordinateur complet de tous les contrôleurs du domaine. Confirmez que l'adresse renvoyée par la commande Ping correspond à l'adresse IP renvoyée par IPCONFIG sur la console de chaque partenaire du jeu de réplicas.

6.       Le service de réplication de fichiers doit avoir créé une base de données Jet NTFRS.

Exécutez une commande "DIR \\<nom_ordinateur>\admin$\ntfrs\jet" sur chaque contrôleur du domaine pour vérifier la présence du fichier NTfrs.jdb. La date et la taille de la base de données Jet peuvent être incorrectes pendant que le service NTFRS est en cours d'exécution (par nature).

7.       Chaque contrôleur de domaine doit être un membre du jeu de réplicas SYSVOL.

Exécutez "NTFRSUTL DS [NOM_ORDINATEUR]" sur tous les membres du jeu de réplicas. Vérifiez que tous les contrôleurs du domaine s'affichent sous la partie "SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)" du résultat NTFRSUTL. Le jeu de réplicas SYSVOL et ses membres peuvent également s'afficher sous cn="domain system volume",cn=file replication service,cn=system,dc=<FQDN> dans le composant logiciel enfichable Utilisateurs et ordinateurs (Dsa.msc) lorsque l'option "Fonctionnalités avancées" est activée sous le menu Affichage.

8.       Chaque contrôleur de domaine doit être un abonné du jeu de réplicas.

Exécutez "NTFRSUTL DS [NOM_ORDINATEUR]" sur tous les membres du jeu de réplicas. L'objet de l'abonné apparaît dans cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<FQDN>. Pour cela, l'objet de l'ordinateur doit exister et avoir été répliqué. NTFRSUTL affiche les informations suivantes lorsque l'objet de l'abonné est manquant :

SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN : cn=ntfrs subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid :
5c44b60b-8f01-48c6-8604c630a695dcdd
En cours : f:\winnt\ntfrs
Actuellement en cours : f:\winnt\ntfrs
WIN2K-PDC N'EST PAS UN MEMBRE DU JEU DE RÉPLICAS !

9.       L'horaire de réplication doit être activé.

10.   Le lecteur logique qui héberge le partage SYSVOL et le dossier de test dispose d'une quantité importante d'espace disque disponible sur les partenaires en amont et en aval. Par exemple, 50 pour cent de la quantité de contenu que vous essayez de répliquer et trois fois la taille du fichier le plus volumineux en cours de réplication.

11.   Consultez les dossiers de destination et de test (affichés dans "NTFRSUTL DS") du nouveau réplica pour vérifier si les fichiers sont en cours de réplication. Les fichiers situés dans le dossier de test devraient être en cours de transfert vers l'emplacement final. Le fait que le nombre de fichiers figurant dans le dossier de destination ou de test soit constamment en train de changer est un bon signe ; les fichiers sont donc répliqués ou transférés dans le dossier de destination.

REMARQUE : Ntfrsutl.exe est un utilitaire inclus dans le Kit de ressources Windows 2000.

 

Dernière modification le : 03/04/2003 Mot(s) clé(s) : kbhowto kbnetwork kbtshoot KB257338

 

 

Cannot Access Group Policy Objects--Event ID 1000 and Event ID 1001 Logged

The information in this article applies to:

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

This article was previously published under Q258296

SYMPTOMS

If the primary network adapter in a multihomed domain controller does not have File and Printer Sharing bound to it, multiple problems are logged or displayed when you attempt to work with Group Policy objects on the domain controller.

The Application log contains the following error messages:

UserEnv 1000 The Group Policy client-side extension Security was passed flags (17) and returned a failure status code of (3).

SceCli 1001 Security policy cannot be propagated. Cannot access the template. Error code = 3. \\domain name\sysvol\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

UserEnv 1000 Windows cannot access the registry information at \\domain name\sysvol\domain name\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (51).

Attempting to gain access to the Group Policy objects by using the Domain Security policy and the Default Domain Controller Security policy displays a "Group Policy Error" error message. The text of the message states: "Failed to Open Group Policy Object. You may not have appropriate rights. Details: The network path not found."

Attempting to access the Group Policy objects by using the Active Directory Users and Computers snap-in or Group Policy Editor displays a "Domain Controller for Domain domain name not found" error message. There are several options, none of which work.

Attempting to open the Sysvol share by using \\domain name\sysvol causes a "Remote Computer not available" error message.

CAUSE

Windows 2000 is attempting to access its Sysvol share through the primary network adapter to read the group policies. Because the share is unavailable through that adapter, the operation does not work.

RESOLUTION

Change the binding order of the network adapters so that the adapter that is listed at the top of the Connections list has File and Printer Sharing bound to it:

1.       Click Start, point to Settings, click Control Panel, and then double click Network and Dial-up Connections.

2.       On the Advanced menu, click Advanced Settings.

3.       In the Connections box, click the network adapter with File and Printer Sharing bound to it.

4.       Click the arrow buttons on the right side to move the adapter to the top of the list.

5.       Click OK.

 

STATUS

Microsoft has confirmed that this is a problem in the Microsoft products that are listed at the beginning of this article.

 

Last Reviewed: 10/11/2002 Keywords: kbenv kbGPO kbnetwork kbprb w2000grppol KB258296

 

 

ID d'événement 1001 de SceCli et ID d'événement 1000 de UserEnv lorsque le client Dfs est désactivé

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Professional

IMPORTANT : cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

256986 Description du Registre de Microsoft Windows

Symptômes

Il est possible que des stratégies de groupe ne soient pas appliquées et que des messages d'erreur semblables aux suivants soient enregistrés dans le journal Application de l'Observateur d'événements :

Type d'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1000
Date : 7/4/2000
Heure : 4:25:40
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : POSTE DE TRAVAIL
Description : Windows ne peut pas accéder aux informations du Registre sur \\mondomaine.com\sysvol\mondomaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol avec (51).

Type d'événement : Erreur
Source de l'événement : SceCli
Catégorie de l'événement : Aucune
ID de l'événement : 1001
Date : 7/4/2000
Heure : 4:30:46
Utilisateur : N/D
Ordinateur : POSTE DE TRAVAIL
Description : Impossible de propager la stratégie de sécurité. Impossible d'accéder au modèle. Code d'erreur = 3. \\mondomaine.com\sysvol\mondomaine.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

Type d'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1000
Date : 7/4/2000
Heure : 4:30:46
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : POSTE DE TRAVAIL
Description : La sécurité d'extension côté client de la Stratégie de groupe a obtenu les indicateurs (17) et a renvoyé un code d'état d'erreur de (3).

Cause

Le partage \\Nom de domaine Active Directory\Sysvol est un partage spécial qui exige que le client DFS (Distributed File System) établisse une connexion, ainsi qu'un enregistrement de nom de domaine valide dans DNS. Si le client DFS est désactivé, les enregistrements du domaine sont manquants, ou les enregistrements DNS ne sont pas correctement enregistrés, et les messages d'erreur sont générés.

Résolution

AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Vérifiez la valeur de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
DisableDFS : REG_DWORD : plage : 0 ou 1
0 = activé, 1 = désactivé
Par défaut : 0

Assurez-vous que la valeur est égale à zéro pour activer le client Dfs. De plus, la fonction Partage de fichiers et d'imprimantes pour les réseaux Microsoft doit être activée dans l'interface.

Vérifiez que la zone de recherche directe DNS possède les enregistrements A corrects pour le nom de domaine et les contrôleurs de domaine. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

258213 L'inscription des enregistrements gc._msdcs.nom_forêt_dns est nécessaire

Pour vous assurer que les enregistrements DNS sont bien inscrits, vérifiez le paramètre du Registre suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valeur : RegisterDnsARecords
Type de données : REG_DWORD
Valeur par défaut : 1 (1 = activé, 0 = désactivé)

Dernière modification le : 01/05/2003 Mot(s) clé(s) : kbDFS kberrmsg kbprb KB259398

 

Consignation de l'ID d'événement 1000 dans le journal des événements Application

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Professionnel

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Server

Ancien nº de publication de cet article : F261007

Symptômes

L'événement suivant peut être consigné dans le journal des événements Application :

ID de l'événement : 1000
Source de l'événement : Userenv
Description :
Windows ne peut pas déterminer le nom de l'utilisateur ou de l'ordinateur. Valeur renvoyée (1722).

L'ordinateur client peut également être très lent à ouvrir une session.

Cause

Ce problème peut se produire lorsque l'adresse du serveur DNS préféré configuré sur l'ordinateur client est incorrecte ou inaccessible.

Résolution

Pour résoudre ce problème, corrigez l'adresse DNS dans les propriétés du protocole Internet (IP) :

1.       Cliquez avec le bouton droit sur Favoris réseau, puis cliquez sur Propriétés.

2.       Cliquez avec le bouton droit sur Connexion locale, puis cliquez sur Propriétés.

3.       Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.

4.       Tapez l'adresse DNS correcte dans la zone Serveur DNS Préféré.

Dernière modification le : 01/05/2003 Mot(s) clé(s) : kbenv kberrmsg kbprb KB261007

 

Msinfo32.exe entraîne l'événement 1000 de Userenv sur une version traduite de Windows 2000

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Server SP1

·         Microsoft Windows 2000 Advanced Server SP1

·         Microsoft Windows 2000 Professional SP1

Symptômes

Vous pouvez recevoir l'événement 1000 de Userenv dans le journal d'Application lorsque vous exécutez Msinfo32.exe d'une certaine manière. Le texte de l'événement 1000 est le suivant :

Windows ne peut pas décharger votre fichier Registre. Si vous avez un profil itinérant, vos paramètres ne sont pas répliqués. Contactez votre administrateur.

DETAIL - Accès refusé. , Numéro de version ((2195)).

Cause

Winmgmt.exe n'émet pas un handle pour une clé de Registre ; Winlogon.exe ne peut pas décharger le profil utilisateur et enregistre l'erreur dans le journal des événements.

Résolution

Pour résoudre ce problème, procurez-vous le dernier Service Pack de Windows 2000. Pour plus d'informations, cliquez sur le numéro suivant pour afficher l'article correspondant de la Base de connaissances Microsoft :

260910 Procédure pour obtenir le dernier Service Pack de Windows 2000

La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :

   Date      Heure     Taille  Nom de fichier

   -------------------------------------------

   15/08/00  19:34    196 685  Winmgmt.exe                                                      

                              

 

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés au début de cet article. Ce problème a été corrigé dans Service Pack 2 Windows 2000 .

Plus d'informations

Pour plus d'informations sur l'installation simultanée de Windows 2000 et des correctifs pour Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000

 

Dernière modification le : 01/05/2003 Mot(s) clé(s) : kbbug kbfix kbWin2000PreSP2Fix KB269858

 

 

Event ID 1000 and 1001 Repeat Every 5 Minutes in the Event Log

The information in this article applies to:

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

This article was previously published under Q271213

SYMPTOMS

Event ID 1000 and 1001 may be repeatedly be logged in the Application log every five minutes with the following information:

 

Event Type: Error
Event Source: SceCli
Event Category: None
Event ID: 1001
Date: 4/7/2000
Time: 4:30:46 AM
User: N/A
Computer: MYCOMPUTER
Description: Security policy cannot be propagated.
Cannot access the template. Error code = 3. \\mydomain.com\sysvol\mydomain.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1000
Date: 4/7/2000
Time: 4:30:46 AM
User: NT AUTHORITY\SYSTEM
Computer: MYCOMPUTER
Description: The Group Policy client-side extension Security was passed flags (17) and returned a failure status code of (3).

CAUSE

This issue can occur if the %SystemRoot%\SYSVOL\Domain\Policies Group Policy directory structure is missing or is incorrect. The Replication service is trying to replicate the directory but cannot locate it.

RESOLUTION

To resolve this issue, the directory must be restored to allow replication between domain controllers. This directory can either be restored from a backup or it can be recreated. For additional information about how to recreate the policy directory, click the article numbers below to view the articles in the Microsoft Knowledge Base:

253268 Group Policy Error Message Without Appropriate Sysvol Contents

257338 Troubleshooting Missing SYSVOL and NETLOGON Shares

 

Last Reviewed: 10/11/2002 Keywords: kbFRS kbGPO kbprb w2000frs w2000grppol KB271213

 

 

Les messages ID d'événement 1000 et 1202 peuvent apparaître toutes les cinq minutes dans le contrôleur de domaine

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

Symptômes

Après avoir modifié une stratégie de groupe dans un domaine Windows 2000, les messages d'erreur suivants peuvent être enregistrés toutes les cinq minutes dans le journal d'événements Application du contrôleur de domaine :

Type de l'événement : Avertissement
Source de l'événement : SceCli
Catégorie de l'événement : Aucune
ID de l'événement : 1202
Utilisateur : N/A
Ordinateur : Nom_Ordinateur
Description :
Les stratégies de sécurité sont propagées avec avertissement. 0x6fc : La relation d'approbation entre le domaine principal et le domaine approuvé a échoué. Consultez les informations détaillées dans la section Dépannage dans l'Aide sur la sécurité.

- et -

 

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1000
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : SLDN220IN
Description :
L'extension du côté client de la stratégie de groupe Sécurité a obtenu les indicateurs (17) et a renvoyé un code d'état d'erreur de (1788).

 

Les messages d'erreur suivants peuvent également apparaître dans le journal d'événements Application :

 

Type de l'événement : Avertissement
Source de l'événement : SceCli
Catégorie de l'événement : Aucune
ID de l'événement : 1202
Utilisateur : N/A
Ordinateur : nom_ordinateur
Description :
Les stratégies de sécurité sont propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué. Consultez les informations détaillées dans la section Dépannage dans l'Aide sur la sécurité.

- et -

 

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
Heure : 17:31
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : SLDN220IN
Description :
L'extension du côté client de la stratégie de groupe Sécurité a obtenu les indicateurs (17) et a renvoyé un code d'état d'erreur de (1332).

Cause

Ce problème peut se produire si la liaison entre la stratégie Contrôleurs de domaine par défaut et l'unité d'organisation Contrôleurs de domaine a été rompue.

Résolution

Pour résoudre ce problème, ajoutez une liaison de l'objet Stratégie de groupe pour la stratégie Contrôleur de domaine par défaut à l'unité d'organisation Contrôleurs de domaine :

1.       Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

2.       Cliquez avec le bouton droit sur l'unité d'organisation Contrôleurs de domaine et cliquez sur Propriétés.

3.       Cliquez sur l'onglet Stratégie de groupe, puis sur Ajouter.

4.       Cliquez sur l'onglet Toutes, sur Stratégie Contrôleurs de domaine par défaut, puis sur OK.

5.       Quittez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Plus d'informations

Ces messages d'erreur peuvent également se produire si vous déplacez le compte du contrôleur de domaine de l'unité d'organisation Contrôleurs de domaine vers une autre unité d'organisation, sans lier la stratégie Contrôleurs de domaine par défaut à la nouvelle unité d'organisation.

 

Dernière modification le : 18/04/2003 Mot(s) clé(s) : kbenv kberrmsg kbprb KB279432

 

 

Error Messages Every 5 Minutes Report Events 1000, 1001, and 13508, Citing Replication Trouble

The information in this article applies to:

·         Microsoft Windows Server 2003, Datacenter Edition

·         Microsoft Windows Server 2003, Enterprise Edition

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows 2000 Datacenter Server

This article was previously published under Q285923

SYMPTOMS

You may find that the following error messages are recorded in Event Viewer every 5 minutes on domain controller computers and every 20 minutes on member server computers:

Userenv 1000
Windows cannot access the registry information at \\domainname.com\sysvol\domainname.com\Policies\{ file://\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (1398).

 

SceCli 1001
Security policy cannot be propagated. Cannot access the template. Error code=3.

 

Userenv 1000
The Group Policy client-side extension Security was passed flags (17) and returned a failure status code of (3).

 

NtFrs 13508
Description: The File Replication Service is having trouble enabling replication from (computername) to (computername) for c:\winnt\sysvol\domain; retrying.

RESOLUTION

To resolve this issue, synchronize the computers with the domain controller clock time. Follow these steps:

1.       Run the following command on all computers to synchronize the clock time with the domain controller:

net time \\(domain controller name) /set /y

2.       Stop and then restart the File Replication Service on all servers that are experiencing the problem.

3.       Open Event Viewer to make sure that the errors are no longer occurring.

Last Reviewed: 5/29/2003 Keywords: kbprb KB285923

 

Event ID 1000, 1001 Is Logged Every Five Minutes in the Application Event Log

 

The information in this article applies to:

·         Microsoft Windows Server 2003, Enterprise Edition

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

This article was previously published under Q290647

SYMPTOMS

Group Policy settings are not replicated between domain controllers. Therefore, users do not receive Group Policy settings for computers. Event ID 1000, 1001 may be logged in the Application Log every five minutes with the following information:

Type: Error
Event ID: 1000
Source: Userenv
Category: None
User: NT AUTHORITY\SYSTEM

Description: Windows cannot access the registry information at \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (5).

Type: Error
Event ID: 1001
Source: SceCli
Category: None
User: N/A

Description: Security policy cannot be propagated. Cannot access the template. Error code =3. \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

Type: Error
Event ID: 1000
Source: Userenv
Category: None
User: NT AUTHORITY\SYSTEM

Description: The Group Policy client-side extension Security was passed flags (17) and returned a failure status code of (3).

CAUSE

This issue may occur if you assign improper permissions to the %SystemRoot%\Winnt\Sysvol folder or when you assign improper groups to Bypass Traverse Checking User Rights Assignment. Additionally, if the sysvol share permissions are too restrictive, the issue will occur.

RESOLUTION

To resolve this issue:

1.       Set the folder security permissions. To do so:

a.          In Windows Explorer, right-click the %SystemRoot%\Winnt\Sysvol folder, and then click Properties.

b.          On the Security tab, clear the Allow inheritable permissions from parent to propagate to this object check box, and then make sure that the security settings match the following:

Administrators: Full Control
Authenticated Users: Read, Read & Execute, and List Folder Contents
Creator Owner: Nothing selected
Server Operators: Read, Read & Execute, and List Folder Contents
System: Full Control

c.          Click OK.

d.          Right-click the %SystemRoot%\Winnt\Sysvol\Sysvol folder, and then click Properties.

e.          On the Security tab, select the Allow inheritable permissions from parent to propagate to this object check box, and then click OK.

f.           Right-click the %SystemRoot%\Winnt\Sysvol\Sysvol\domain: folder, and then click Properties.

g.          On the Security tab, select the Allow inheritable permissions from parent to propagate to this object check box, and then click OK.

h.          Right-click the %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies folder, and then click Properties.

i.            On the Security tab, clear the Allow inheritable permissions from parent to propagate to this object check box, and then make sure that the security settings match the following:

Administrators: Full Control
Authenticated Users: Read, Read & Execute, and List Folder Contents
Creator Owner: Nothing selected
Group Policy Creator Owners: Read, Read & Execute, List Folder Contents, Modify, and Write
Server Operators: Read, Read & Execute, and List Folder Contents
System: Full Control

j.           Click OK.

k.          For each file or folder that is located in the %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies folder, right-click the file or folder, and then click Properties. On the Security tab, select the Allow inheritable permissions from parent to propagate to this object check box, and then click OK.

2.       Open Active Directory Users and Computers: Click Start, click Programs, and then click Administrative Tools.

3.       Expand Active Directory Users and Computers, and then expand the domain name.

4.       Right-click Domain Controllers, and then click Properties.

5.       On the Group Policy tab, click Default Domain Controllers Policy, and then click Edit.

6.       Expand the folders:

Computer Configuration
Windows Settings
Security Settings
Local Policies

7.       Click User Rights Assignment, and then double-click Bypass traverse checking. The following default settings should be present:

Authenticated Users
Everyone
Administrators

To add these groups if they are not present, click Add, and then click Browse.

8.       At a command prompt, type:

secedit /refreshpolicy machine_policy /enforce

 

9.       Verify that the sysvol share permissions are set correctly.

Default Share permissions are:

Administrators = FC
Authenticated Users = FC
Everyone = Read

NOTE: If this procedure does not resolve the issue, or you have problems accessing the Global Policy, check the Bindings on the server to make sure the internal network adapter is first in the binding order list. To check the binding order, follow these steps:

1.       Right-click My Network Places, and then clickProperties.

2.       Click the Advanced Menu, and then click Advanced Settings.

3.       Under Connections, make sure the internal network adapter is listed first. If it is not, use the arrows to move it to the top of the list.

MORE INFORMATION

For additional information, click the article numbers below to view the articles in the Microsoft Knowledge Base:

271213 Event ID 1000 and 1001 Repeat Every 5 Minutes in the Event Log

259398 SceCli Event ID 1001 and UserEnv Event ID 1000 When Dfs Client Is Disabled

285923 Error Messages Every 5 Minutes Report Events 1000, 1001, and 13508, Citing Replication Trouble

258296 Unbinding File and Printer Sharing from Primary Network Adapter in Multihomed Domain Controller Causes Policy Problems on the Domain Controller

 

Last Reviewed: 6/4/2003 Keywords: kberrmsg kbprb KB290647

 

 

Interprétation des événements USERENV 1000

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·         Microsoft Windows 2000 Professionnel

·         Microsoft Windows 2000 Server

·         Microsoft Windows 2000 Advanced Server

·         Microsoft Windows XP Professionnel

Ancien nº de publication de cet article : F312164

Résumé

Cet article explique comment interpréter les événements USERENV 1000.

Plus d'informations

Le message suivant est un message d'événement typique du journal d'Événements lorsque vous rencontrez des problèmes d'application des Stratégies de groupe :

Type de l'événement : Erreur
Source de l'événement : Userenv
Catégorie de l'événement : Aucune
ID de l'événement : 1000
Date : date
Heure : time (heure)
Utilisateur : NT AUTHORITY\SYSTEM
Ordinateur : nom d'ordinateur

Description : L'extension du côté client de la stratégie de groupe Sécurité a obtenu les indicateurs (17) et a renvoyé un code d'état d'erreur de (1332).

Les indicateurs transmis sont une représentation décimale des indicateurs définis dans le fichier Userenv.h (un extrait de ce fichier suit). Notez que les ordinateurs Windows 2000 n'utilisent pas de codes supérieurs à 0x100, alors que les ordinateurs Windows XP utilisent l'ensemble de la plage.

Extrait du fichier Userenv.h

#define GPO_INFO_FLAG_MACHINE 0x00000001 //
Appliquer la stratégie de l'ordinateur plutôt que la stratégie de l'utilisateur
#define GPO_INFO_FLAG_BACKGROUND 0x00000010 //
Mise à jour en arrière-plan de la stratégie (accord pour le ralentissement des tâches)
#define GPO_INFO_FLAG_SLOWLINK 0x00000020 //
La stratégie est appliquée sur une liaison lente
#define GPO_INFO_FLAG_VERBOSE 0x00000040 //
Sortie commentée du journal d'événements
#define GPO_INFO_FLAG_NOCHANGES 0x00000080 //
Aucune modification n'a été détectée dans les objets de stratégie de groupe
#define GPO_INFO_FLAG_LINKTRANSITION 0x00000100 //
Une modification de la vitesse de la liaison a été détectée entre l'application précédente de la stratégie et l'application actuelle de la stratégie
#define GPO_INFO_FLAG_LOGRSOP_TRANSITION 0x00000200 //
Une modification du journal RsoP a été détectée entre l'application précédente de la stratégie et l'application actuelle de la stratégie
#define GPO_INFO_FLAG_FORCED_REFRESH 0x00000400 //
Mise à jour imposée. Redéfinir les stratégies.
#define GPO_INFO_FLAG_SAFEMODE_BOOT 0x00000800 //
Indicateur de démarrage de Windows en mode sans échec

Si vous convertissez la représentation décimale de la valeur des indicateurs spécifiée dans le message d'événement (17) en valeur hexadécimale, vous obtenez 0x00000011. Ceci signifie que les indicateurs GPO_INFO_FLAG_MACHINE et GPO_INFO_FLAG_BACKGROUND sont définis.

Ce code d'état d'erreur dans l'événement est un code d'erreur Win32. Vous pouvez convertir le message d'erreur en message plus lisible à l'aide de la commande
net helpmsg . Par exemple, si vous tapez net helpmsg 1332 à une invite de commande et que vous appuyez sur ENTRÉE, vous recevez un message "Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué". Cette erreur est provoquée (dans ce cas) par une stratégie un droit d'utilisateur à un ID de sécurité pour un utilisateur qui a été supprimé.

Pour plus d'informations sur le problème décrit dans l'exemple cet article, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

247482 Message d'erreur : Les stratégies de sécurité sont propagées avec l'avertissement. 0x534

 

Dernière modification le : 01/05/2003 Mot(s) clé(s) : kbenv kberrmsg kbGRPPOLICYinfo kbinfo kbtool KB312164

***************************************************************