Ce forum Internet est fermé. Merci beaucoup pour vos contributions.

Remove From My Forums

Problème avec l'accès au journal d'applications sur un DC sous 2008 server R2

Discussion générale
0

Connectez-vous pour voter
Bonjour à tous,
j'ai un problème étrange (et inquiétant) sur un de mes serveurs (DC sous Windows 2008 R2).
Lorsque je regarde le journal d'applications j'ai 0 év. J'ai regardé à l'emplacement du journal (%systemroot%system32\winevt\logs\) et je n'ai pas d'application.evtx !
Je ne vois pas comment ça a pu arriver car je n'ai pas l'habitude de "bidouiller" sur mes serveurs.
N'ayant pas trouvé de procédure pour recréer le journal j'ai copié le fichier d'un autre serveur mais le résultat ne semble pas très concluant car je n'y accède toujours pas..
Je précise au cas où que j'ai d'autres problèmes non résolus encore sur ce serveur (au cas où les problèmes pourraient être liés) :
- problème au niveau du client DHCP : au niveau du journal système j'ai en permanence des erreurs au niveau du client DHCP (7023, 50038, 1004). Le DHCP est désactivé au niveau du serveur (j'utilise des adresses statiques).
- impossible de faire un Windows Update : ça tourne en rond au niveau du téléchargement des maj et je suis obligé d'annuler l'action.

J'ai essayé de redémarrer le service journal d'évènements Windows mais impossible : j'ai une erreur 5 accès refusé. J'ai donc fait d'autres recherches et je suis tombé sur la KB971256 qui indique que c'est un problème de droits. J'ai vérifié et je n'ai pas eventlog au niveau des utilisateurs autorisés. J'ai essayé de le rajouter mais le système ne le trouve pas. Est-ce que quelqu'un sait comment je peux faire ?

Anthony.
- Type modifié Florin Ciuca mercredi 16 mai 2012 09:18 attente de feedback
mercredi 9 mai 2012 15:39

Toutes les réponses

1

Connectez-vous pour voter

Bonsoir,

Veuillez bien vérifier si la journalisation est activée, cliquez à droite sur le journal puis sur Propriétés, et vérifiez l’option Activer la journalisation. Pour vérifier si le journal a été effacé, recherchez dans le journal système un événement avec une valeur de 104. Cet événement est généré lorsqu’un journal est effacé. concernant le "erreur 5 accès refusé" rencontré lor de redémarrage de service journal d'évènements Windows éssayé d'ajouté le compte utilisateur au groupe administrateur local et testé de nouveau le rédémarrage de service , jet un coup d'oeil sur ce thread il peut vous aidez à résoudre ce probléme : http://translate.google.fr/translate?hl=fr&langpair=en%7Cfr&u=http://social.technet.microsoft.com/Forums/en-US/w7itprosecurity/thread/44479c49-55e6-4bd7-b25e-3f2a6497306e
Oussama Oueslati | System Engineer | vNext Consulting

mercredi 9 mai 2012 22:43
0

Connectez-vous pour voter

Bonjour et merci pour votre aide,

j'ai vérifié et la journalisation est bien activée. Je confirme que le journal a été effacé mais le problème c'est que depuis plus rien ne s'enregistre.

Pour l'erreur 5 accès refusé c'est lorque j'essaye de redémarrer le service journal d'évènements. Le service est déjà lancé. J'essaye de le redémarrer pour voir si ça change quelque chose. Ce qui est étrange c'est que je n'ai aucun problème sur les journaux système ou sécurité ou autres, c'est juste sur le journal d'applications.

Le compte utilisateur utilisé est déjà le compte administrateur. J'ai finalement pu rajouter le compte eventlog pour les droits d'accès (j'ai du mettre NT SERVICE\eventlog) mais ça n'a rien changé.

J'ai regardé le thread mais il concerne visiblement Windows 7 et pas 2008 server R2. Je vais quand même essayer d'installer Process monitor et regarder si je vois quelques chose.

Auriez-vous d'autres idées ?

Merci.

Anthony.

jeudi 10 mai 2012 07:59
0

Connectez-vous pour voter
Salut,

si vous pouvez vérifier qu'il n y a pas des filtres apliqué au niveau de journal d'application .

Oussama Oueslati | System Engineer | vNext Consulting
- Modifié Oussama Oueslati jeudi 10 mai 2012 12:09
jeudi 10 mai 2012 10:48
0

Connectez-vous pour voter

Rebonjour,

il n'y a pas de filtre mis sur le journal d'application.

Je viens d'utiliser process monitor pour essayer de voir quelque chose mais impossible de trouver quelque chose qui se rapporte à access denied ou accès refusé dans la liste d'évenements.

Je viens de m'apercevoir aussi qu'il doit y avoir une GPO qui modifie les droits sur le répertoire (%systemroot%system32\winevt\logs\) car après un gpupdate /force sur le serveur les droits redeviennt comme avant (pas dec ompte evenlog ...). Pourtant je n'ai aucune GPO pour les DC hormis la GPO de base qui n'a pas été touchée ("Domain controller policy").

Là je ne vois plus quoi essayer. Avez-vous une autre idée ?*

Cordialement,

Anthony.

jeudi 10 mai 2012 13:34
2

Connectez-vous pour voter

Salut,

je vous recommande de résoudre le probléme de Windows Update tout d'abord , on éspirant qu'il y a des mis à jour qui résoudre le probléme de journalle d'évenements d'application .
Oussama Oueslati | System Engineer | vNext Consulting

lundi 14 mai 2012 11:02
0

Connectez-vous pour voter

Bonjour,

désolé de ne pas avoir donné de nouvelles plus tôt. Mon problème est que pour windows Update j'ai essayé tout ce qui était possible et le problème est toujours là. Je pense plutôt que c'est le fait qu'il y ait un problème sur le journal d'applications qui cause le problème sur Windows Update. Je vais donc me résoudre à faire intervenir une SSII pour régler le problème.

Merci quand même pour votre aide.

Anthony.

lundi 21 mai 2012 12:24