Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2564 connectés 

  FORUM HardWare.fr
  Windows & Software

  dcpromo=>accès refusé

 
 


Dernière réponse
Sujet : dcpromo=>accès refusé
CK Ze CaRiBoO J'ai eu ce problème hier, mais la cause et la résolution sont différentes.
En fait lorsque j'ai voulu joindre mon serveur 2003 au domaine 2000 en tant que serveur membre, j'ai fait l'erreur de l'avoir renommé juste avant et sans redémarrer.
Celà provoque un message d'erreur lorsque l'on joint le serveur au domaine, disant que le contrôleur n'est pas disponible (faux) et que l'ordinateur a été joint au domaine avec son ancien nom (vrai, sauf que le nouveau existe aussi, et qu'il est désactivé).
Donc arrivé au DCPROMO, l'assistant tente de mettre à jour un compte d'ordinateur désactivé, et peu importe les droits de l'admin, tant qu'on l'aura pas activé y'aura rien à faire.
Le mieux étant tout simplement de retirer le serveur du domaine, supprimer les 2 comptes foireux dans AD, et rejoindre proprement, en redémarrant à chaque fois.
Une fois l'ajout au domaine correctement effectué, le dcpromo passe comme une lettre à la poste.
Voilà pour l'info complémentaire

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
CK Ze CaRiBoO J'ai eu ce problème hier, mais la cause et la résolution sont différentes.
En fait lorsque j'ai voulu joindre mon serveur 2003 au domaine 2000 en tant que serveur membre, j'ai fait l'erreur de l'avoir renommé juste avant et sans redémarrer.
Celà provoque un message d'erreur lorsque l'on joint le serveur au domaine, disant que le contrôleur n'est pas disponible (faux) et que l'ordinateur a été joint au domaine avec son ancien nom (vrai, sauf que le nouveau existe aussi, et qu'il est désactivé).
Donc arrivé au DCPROMO, l'assistant tente de mettre à jour un compte d'ordinateur désactivé, et peu importe les droits de l'admin, tant qu'on l'aura pas activé y'aura rien à faire.
Le mieux étant tout simplement de retirer le serveur du domaine, supprimer les 2 comptes foireux dans AD, et rejoindre proprement, en redémarrant à chaque fois.
Une fois l'ajout au domaine correctement effectué, le dcpromo passe comme une lettre à la poste.
Voilà pour l'info complémentaire
PJD_BE Remarque: ne pas oublier de réactiver les GPO après le dcpromo, sinon Aie pour la sécurité du domaine !!!
 
@+
 
PJD
PJD_BE C'est exactement ce qui est écrit dans le KB250874... mais il faut avoir accès au paramètre de déléguation... voir mon précédent post.
PsYKrO_Fred EN fait, j'ai été tellement bloqué et j'étais super pressé que j'ai du faire appel à un ingenieur microsoft 300€  ca fait mal et c'est pour ca que je vous donne la réponse pour ne pas vous embeter....
 
Si le contrôleur de domaine est un contrôleur supplémentaire, il faut lui donner des droits à l’administrateur.(he oui, l'admin n'a pas tout les droits, c'est un comble)
 
Sur le serveur où se trouve déjà le contrôleur de domaine, Outils d’administration > Paramètres de Sécurité du Contrôleur de Domaine > Paramètres de Sécurité > Stratégies locales >  Attribution des droits utilisateurs > Autoriser que l’on fasse confiance aux comptes ordinateur et utilisateur pour la délégation > choisir administrateurs
 
Voilà :) j'espere que ca va aider  
PJD_BE Bonjour, J'ai eu le même problème... mais après 2 jours de recherche, j'ai trouvé la solution... C'est de la haute voltige en Adinistration. Je vais expliqué dans les grandes lignes la solution. Pour plus de détails, faites-le moi savoir.
 
La solution au problème, c'est KB250874... mais cette article de la KB nétait pas directement applicable dans mon cas. Bien qu'étant administrateur de la foret, je n'avais pas de droit sur certains paramètres de la "Stratégie de sécurité locale" , je ne pouvais pas ajouter des utilisateurs ou des groupes pour la déléguation! Il y avait donc une restriction dans la stratégie globale du domaine. Laquelle ? Je ne sais pas, je ne l'ai jamais trouvée mais j'ai trouvé une solution plus radicale! Dans mon cas (de nouveau), mon domaine a évolué de la façon suivant: NT4 ==> AD2000 mixte ==> AD2000 natif. J'ai donc cherché si il ne trainait d'anciennes GPO de NT4... et effectivement, il en restait une! J'ai installé GPMC.msi SP1 (Http://www.microsoft.com/downloads), ouvert la console gpmc.msc, désactivés toutes les GPO, même celles par défaut (locale et domaine) et forcé la synchro des DC (ou attendre une nuit).  
 
Grace à cela, j'ai pu activé la délégation dans la "Stratégie de sécurité locale" et faire mon dcpromo... C.Q.F.D.
 
Bonne chance à Vous,
 
PJD
PsYKrO_Fred Mais peux t on pas dire que c'est l'autre active directory celui  qui est sur 2003 qui accepte le controleur de domaine?
sidewinder Hormis le ADPREP, il y a aussi le FORESTPREP à effectuer pour convertir le schéma de la forêt afin qu'il accepte des DC 2003
Dans l'ordre FORESTPREP puis ADPREP.
 
Le site microsoft comporte une procédure à suivre pour effectuer ces modifs mais je ne la trouve plus ...
 
Sidewinder
PsYKrO_Fred Je me permet de faire un GRAND UP de un an loool car j'ai exacetement le meme problème mise à part que moi  
j'ai 2 AD un sous 2003 l'autre 2000 et je rajoute un 3eme et apres j'enleverai le 2000
i'm philou jetes un oeil ici ... http://www.fr.ixus.net/resume_messages.php?topic=8792
 
 ;)
i'm philou

rififi a écrit :

tu veux dire sur mon DC 2000, car sur mon 2003 il n'y aucune GPO...


 
si, il y en a, mais elles sont locales et je parlais bien de ton serveur 2003 et de ses GPO locales (je pars du principe que ton 2003 server est serveur autonome).
 
je te parlais des appels RPC anonymes car sur le SP2 d'XP, ces appels parfois necessaires ne sont plus par défaut acceptés.
alors , j'ai imaginé que peut etre , sur 2003 server, y'avait la même philosophie. Ce service RPC est utilisé pendant les replications AD.
 
ton probleme est surement lié à un probleme GPO quelque part, reste à trouver ou.
Wolfman Je suis pas sûr, mais pour rajouter un contrôleur de domaine, ne faut-il pas des droits plus élevés qu'un simple Admin du domaine ? Genre Admin d'entreprise, ou Admin de schéma ou un truc dans le genre ? Vérifie alors que ton compte Administrateur fasse bien partie de ces groupes...on ne sait jamais.
rififi Résultat d'un DCDIAG pour ceux que ça intéressent...
 
 
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
 
C:\Documents and Settings\Administrateur>dcdiag
 
Domain Controller Diagnosis
 
Performing initial setup:
   Done gathering initial info.
 
Doing initial required tests
 
   Testing server: Premier-Site-par-defaut\DC1
      Starting test: Connectivity
         ......................... DC1 passed test Connectivity
 
Doing primary tests
 
   Testing server: Premier-Site-par-defaut\DC1
      Starting test: Replications
         ......................... DC1 passed test Replications
      Starting test: NCSecDesc
         ......................... DC1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... DC1 passed test NetLogons
      Starting test: Advertising
         ......................... DC1 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... DC1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... DC1 passed test RidManager
      Starting test: MachineAccount
         ......................... DC1 passed test MachineAccount
      Starting test: Services
         ......................... DC1 passed test Services
      Starting test: ObjectsReplicated
         ......................... DC1 passed test ObjectsReplicated
      Starting test: frssysvol
         Error: No record of File Replication System, SYSVOL started.
         The Active Directory may be prevented from starting.
         There are errors after the SYSVOL has been shared.
         The SYSVOL can prevent the AD from starting.
         ......................... DC1 passed test frssysvol
      Starting test: kccevent
         ......................... DC1 passed test kccevent
      Starting test: systemlog
         ......................... DC1 passed test systemlog
 
   Running enterprise tests on : entreprise.local
      Starting test: Intersite
         ......................... entreprise.local passed test Intersite
      Starting test: FsmoCheck
         ......................... entreprise.local passed test FsmoCheck
[][/]
rififi

i'm philou a écrit :

j'y pense d'un coup  :D  :
sur ton 2003, verifies dans les GPO machines, si tu n'as une ligne relative aux appels RPC anonymes.
si oui, actives là puis parametres sur "aucun" et refais un test.


 
tu veux dire sur mon DC 2000, car sur mon 2003 il n'y aucune GPO...
Après recherche de ce que tu évoques, je n'ai pas trouvé de traces d'appels RPC anonymes.

i'm philou

petoulachi a écrit :

A vérifier alors :D
 
Non, il y a bien un compte administrateur sur l'AD, et d'ailleurs la premiere chose à faire c'est de le renommer ;)


 
je l'ai jamais utilisé, donc jamais remarqué  :D
edit : apres reflexion, ça parait logique qu'il y ait un compte admin par défaut !  :D , ... je fatigue  :pt1cable:

i'm philou

rififi a écrit :


Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : DC2


j'y pense d'un coup  :D  :
sur ton 2003, verifies dans les GPO machines, si tu n'as une ligne relative aux appels RPC anonymes.
si oui, actives là puis parametres sur "aucun" et refais un test.
 
petoulachi

i'm philou a écrit :


à verifier mais Il me semble qu'il n'y a pas de compte "administrateur" dans l'AD


A vérifier alors :D
 
Non, il y a bien un compte administrateur sur l'AD, et d'ailleurs la premiere chose à faire c'est de le renommer ;)

i'm philou l' acces refusé, c'est clairement un probleme de droits, soit sur ton controleur actuel, soit sur ton DC2 (je pense plutot au DC2).
Verifies dans les strategies machine si tu n'as pas une restriction.
 
à verifier mais Il me semble qu'il n'y a pas de compte "administrateur" dans l'AD, donc, je pense que ton compte "administrateur", c'est l'admin local du serveur DC2, qui n'as pas de droits dans le domaine.
rififi J'utilise LE compte administrateur, et j'ai essayé dans les 2 cas , c'est à dire: en étant serveur membre, et en étant pas du tout intégré au domaine... Toujours la même choses... je désespère
i'm philou

petoulachi a écrit :

alors qu'il est déjà membre du domaine ?


 

rififi a écrit :

oui, il est en serveur autonome pour le moment.


c'est plutot "non" la réponse   ;)  
as tu essayé de faire le DC promo avec le serveur dans le domaine ?
ça me parait plus logique comme procédure.
 
quand tu dis que tu utilises le compte administrateur, tu veux dire :
- le compte "administrateur"
- un compte administrateur
??
Wolfman

petoulachi a écrit :

Pas de trace de cette erreur sur eventid.net :/
 
Pour ton DC2, tu réalises le DCpromo alors qu'il est déjà membre du domaine ?


Et si tu le fais sans qu'il soit déjà membre du domaine ?!
rififi oui il se place bien dans l'OU "computers". Je comprends vraiment pas d'ou peut venir ce problème!! :heink:
petoulachi Et ton serveur remonte bien dans la mmc utilisateurs et ordinateurs active directory ?
rififi oui tout est ok pour les DNS.
petoulachi Tu as bien configuré comme DNS primaire le DNS de ton AD ?
rififi oui, il est en serveur autonome pour le moment.
petoulachi Pas de trace de cette erreur sur eventid.net :/
 
Pour ton DC2, tu réalises le DCpromo alors qu'il est déjà membre du domaine ?
rififi Bonsoir,
 
voici mon problème:
 
j'ai actuellement un domaine avec un DC en 2000 et je souhaiterai ajouté un second DC mais en 2003. J'ai effectué un adprep sur mon DC 2000 et tout s'est bien passé.
Lorsque je lance le dcpromo sur le 2003, tout se passe bien jusqu'au moment de la réplication. Voici le message d'erreur : "L'opération a échoué car : L'Assistant Installation Active Directory n'a pas pu convertir le compte ordinateur DC2$ vers un compte de contrôleur de domaine. "Accès refusé."
Ensuite il me demande d'utiliser un compte qui a des droits pour ajouter un contrôleur au domaine.
Bien evidemment j'utilise le compte administrateur qui fait parti de tous les groupes admin possible.
 
Voici ce que j'obtient dans l'obs. d'événement :
 
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Traitement interne
ID de l'événement : 1168
Date : 22/03/2005
Heure : 12:30:07
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : DC2
Description :
Erreur interne : Une erreur Active Directory s'est produite.
 
Données supplémentaires
Valeur de l'erreur (décimale) :
183
Valeur de l'erreur (hexadécimale) :
b7
ID interne :
300112d
 
Quelqu'un a déjà eu ce souci?
 
Merci d'avance

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)