[RESOLU] event id 1053, source userenv

event id 1053, source userenv [RESOLU] - Win NT/2K/XP - Windows & Software

Marsh Posté le 07-02-2007 à 08:39:31    

salut tout le monde!
 
je viens vers vous car j'ai un gros problème, et je n'ai pas trouvé comment le résoudre, google n'a pa voulu être mon ami!!  :transpi:  
 
je suis dans une boite ou il y a un controleur de domaine avec un Active Directory, et je n'arrive plus, depuis un moment, à passer des utilisateurs dans le groupe local "administrateurs" de n'importe quel PC...
 
Ce qui me fais dire que ça ne vient pas des postes, vu que ça le fait sur tous les postes, mais bien d'un serveur, et je pense plus particulièrement au contrôleur de domaine (qui est en Windows Server 2003 SP1).
 
voilà l'erreur que j'ai :  
http://crevettesofi.free.fr/depot/erreur.bmp
 
et dans l'observateur d'évènements:
http://crevettesofi.free.fr/depot/obs.bmp
 
si quelq'un a déjà rencontré ce problème, ça m'aiderais grandement  :-D  :transpi:  
 
merci,


Message édité par k1ll23l0l0 le 08-02-2007 à 13:16:38
Reply

Marsh Posté le 07-02-2007 à 08:39:31   

Reply

Marsh Posté le 07-02-2007 à 09:06:31    

Reply

Marsh Posté le 07-02-2007 à 11:16:21    

salut,
 
merci pour ta réponse..
 
mais j'ai déjà regardé sur ce site, et je n'ai rien trouvé de concluant.... :(

Reply

Marsh Posté le 07-02-2007 à 11:19:50    

ah oui, et un truc bizarre que je viens de trouver:
 
quand je me connecte sur le Controleur de Domaine, que je fais gérer, se connecter à un autre ordinateur, je me connecte sur mon PC et je peux mettre n'importe quel utilisateur dans le groupe admin local de mon PC!!!
 
c'est louche ça!!

Reply

Marsh Posté le 08-02-2007 à 11:19:16    

ça y est les jeunes!! c'est résolu!! j'ai pas trouvé tout seul mais c'est ok maintenant (merci Romain :D )
 
 
déjà ça ne vient pas d'une erreur DNS: les erreurs DNS que j'ai cité dans mon premier message était en fait les conséquences d'une autre erreur, à laquelle je n'avais pas porté beaucoup d'attention, car dans ce n'était qu'un avertissement dans l'observeteur d'évènement, et pas une erreur...
 
voici cette erreur:  
 
Type de l'événement : Avertissement
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 6
Date :  07/02/2007
Heure :  21:51:33
Utilisateur : N/A
Ordinateur : PC250
Description :
The kerberos SSPI package generated an output token of size 2FB1 bytes, which was too large to fit in the 2FB0 buffer buffer provided by process id 0.  If the condition persists, please contact your system administrator.
 
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: 23 00 00 c0               #..À    

 
la taille de la clé Kerberos (en gros celle qui permet de s'authentifier) était trop petite...
Pourquoi?? Parce-que le groupe "admin du domaine", dont fait parti mon login administrateur, était membre de plus de 450 groupes locaux!!
 
en fait je faisais une erreur lorsque je créais mes groupes locaux pour une ressource (imprimante ou répertoire): je créais 2 groupes, un en lecture seule (R) et un en Contôle Total (CT), je mettais le groupe global "admin du domaine" membre du groupe qui était en CT, et dans l'onglet "sécurité" de la ressource, supprimais tous les autres groupes et ne mettais que les 2 que je venais de créer (R et CT)...
 
et il ne faut pas faire ça, surtout si vous avez beaucoup de droits à instaurer, donc beaucoup de groupes locaux..
 
il faut toujours créer les 2 groupes R et CT, mais il faut mettre le groupe global "admin du domaine" directement sur la ressource et non pas membre d'un groupe local, ce qui donnera dans l'onglet sécurité de la ressource: R, CT, et "admin du domaine".
 
ensuite il faut modifier ou créer la clé "MaxTokenSize" dans la base de registre:
faire regedit, aller dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] et créer la clé DWORD "MaxTokenSize" avec pour valeur décimale 65535.
 
fermer regedit et rebooter: le problème doit être réglé.
 
le truc, c'est que pour ne plus avoir cette erreur sur les PC, il faut créer cette clé sur TOUS les PC du domaine!! alors si vous en avez beaucoup comme moi, mieux vaut le faire par GPO à l'ouverture de session, sinon il y en a pour 10 ans!!
 
il existe un article sur la KB de microsoft (http://support.microsoft.com/kb/327825/en-us) mais cette erreur n'est connue que pour Windows 2000 !! faut qu'il se mette à jour Bilou!! :D
 
bon en tout cas, on en a bien chié pour trouver la solution, mais maintenant c'est ok!!  
 
et encore merci Romain, t'es trop fort :D
 
j'espère que ça pourra servir à d'autres personnes...
 
chao!!


Message édité par k1ll23l0l0 le 08-02-2007 à 11:28:57
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed