J'ai un problème tordu sur des serveurs Windows Server 2003. Je m'explique.
 
Tout d'abord, nous sommes plusieurs à être administrateurs du domaine.
 
J'administre une ferme de serveurs Citrix Metaframe sous Windows Server 2003. Sur un certain nombre de ces serveurs, si je tente d'accéder au partage administratif C$, le serveur ne me reconnaît pas : depuis un poste Win2000 il me rejette carrément, depuis un poste WinXP, il me demande mon mot de passe utilisateur. Ca fait la même chose, quel que soit le compte admin du domaine utilisé...donc ce n'est pas lié à mon seul compte.
 
Admettons maintenant que depuis le poste WinXP je mette mon mot de passe, c'est bon je peux rentrer. Si je reviens plus tard dans la journée, il me reconnait toujours. De même, après m'être "signé" de cette manière, si un autre admin du domaine se connecte au partage administratif, il rentre sans problème.
 
Et si je retente le lendemain, c'est fini. Il faut à nouveau que je rentre le mot de passe et tout...
 
Quelqu'un a une idée de ce que ça peut être ?  C'est particulièrement gênant sachant que j'exécute des scripts pour mettre à jour certains fichiers de configuration sur ces serveurs.
 
Edit du 06/09/2004 : Info supplémentaire
Si j'ouvre la Gestion de l'ordinateur depuis mon poste, et que de là je me connecte à la Gestion de l'ordinateur du serveur, il me refuse l'accès à certaines pages (comptes notamment). Si je "m'identifie" en ouvrant un partage administratif avant, aucun problème, il me reconnaît bien.

Tu n'aurais pas tenté de te connecter avant sur les serveurs en questions avec un login std ?
 
Et comme les logins sous multiples identités sont proscris... il te jette.

Non, je ne me suis pas connecté encore sur les serveurs.

up

allez hop, je suis sûr que vous êtes en forme ce soir

Oui je sais mes topics sont toujours tordus...mais on aime ça

up

Oui oui je suis têtu

up

Tu te connectes bien à un nom de serveur type A et non à un CNAME de ce serveur ?

 
Je suis sur que tu te connectes au véritable nom du serveur, mais je ne trouve tjrs pas de solution, ni meme l'origine de ton prob.
 
En tout cas ca désactive l'autentification NT

Je me connecte bien au serveur. D'ailleurs, ça marchait bien pendant un moment, donc y'a pas de raison.
 
Bon finalement, il apparaît qu'il y a peut-être un problème avec les comptes ordinateur de ces serveurs. J'ai dû faire une réinitialisation de leur compte dans AD. Je verrai lundi matin ce que ça donne quand ils auront rebootés. Je vous tiendrai au courant : avec de la chance ça fonctionnera, avec moins de chance il faudra que je les sorte du domaine et que je les remette.

Suite aux problème rencontrés vendredi, j'ai du sortir les serveurs du domaine, et les réintégrés. Mais toujours le même problème : quand je me connecte au C$, il me demande mon mot de passe ... help

Tu a un domaine, tout le monde est sur le domaine bien comme il faut.
Tu est sur une machine cliente et tu essaye d'acceder a un server membre avec les DC qu'il faut pas loin.
Tu essaye de te loguer avec ton compte qui est membre du groupe 'domaine admins' et ca ne fonctionne pas.
C'est bien ca?
Sur XP tu a le prompt pour utilisateur/mdp et sur 2000 il ne demande rien est ce contente de te refuser l'accé. Quel est le msg d'erreur? rien d'interressant? met le ici on sait jamais ca va ptete aider.
 
Il y'a peut etre qq chose au niveau gpo et strat de secu locale qui gene, tout est bien normal?
Tu n'a le prob que sur un server ou sur tout tes servers membre?
 
Je vais regarder un peu avec VMware voir ce qu'il ce passe dans une situation similaire. je dirais qu'il faut regader du coter de kerberos voir comment ca fonctionne en details, apres quoi ca sera limpide comme de l'eau de roche et le prob va disparaitre de lui mme je suis sur

C'est exactement ça ! bon résumé de la situation
 

Justement, aucun message d'erreur particulier. Même pas d'événements dans l'observateur d'événements du serveur
 
 

En principe, je n'ai pas de stratégie particulière. D'autant plus que chaque serveur est monté et configuré STRICTEMENT à l'identique. Je dirais pas à l'octet près, mais pas loin
 
 
C'est effectivement un truc franchement bizarre. Je rappelle que ça ne le fait pas qu'avec mon compte, mais avec tout compte d'admin du domaine. Une fois que l'un des admins s'est "authentifié" en y rentrant son ID/pass, tous les autres admins peuvent y rentrer sans problème pendant quelques heures. Mêmes symptômes avec la Gestion de l'ordinateur en distant.
 
Je rappelle enfin que les comptes de domaine des machines avaient pêté. Je les repassé en groupe de travail, et réintégrés au domaine : toujours pareil. C'est à se taper le cul par terre !!  

Tu a activé les audit de securité sur les servers et les workstations? fais le et balance nous le resultat des logs quand le prob ce pose, il ce passe forcement qq chose quand tu essaye de te loguer il faudrait savoir quoi avec precision. Surtout sur le 2000 qui t'interdit l'accé.
 
Sinon je pense que ca ne serait pas inutile de comparer les GPO active sur tes servers qui posent prob avec un server qui va bien, histoire d'etre sur, surtout au niveau param de secu. Peut etre verifier au niveau local policy plutot que domain policy aussi.
 
Tu n'aurais pas des lecteurs reseaux sur ces servers depuis les profiles admins? ou des services sur les stations qui sont reliés a tes servers et qui tourne sur un compte different?
 
Personne n'aurait d'autre idee?

Je pense qu'avec l'audit on devait voir une autentification refusée, entrainant l'invite de login.

Je testerai effectivement de faire un petit audit sécurité pour surveiller les ouvertures / fermetures de session.
 
Concernant les GPO, il n'y a aucune stratégie définie en local sur les serveurs. Tout est géré au niveau d'AD. Et comme je l'ai dit, tous les serveurs sont montés à l'identique. La seule chose qui peut éventuellement les différencier, c'est sur certains serveurs sont installés depuis plus longtemps que d'autres.
 
Sinon, aucun lecteur réseau connecté sur ces serveurs. A part les partages administratifs, il n'y a aucun partage défini.  
Niveau service, rien de particulier non plus. J'ai juste un script qui tourne chaque nuit en tâche planifiée sur les serveurs Metaframe pour aller récupérer des fichiers sur un serveur de ressources.