Bonjour,
 
J'ai un de nos utilisateur qui a des problèmes d'authentification.
C'est sur un site avec un RODC, et c'est le seul impacté.
 
Au niveau du journal d'évènement : La pré-authentification kerberos a échoué 0x18
Au niveau de son poste : La relation d'approbation entre ce poste et un controleur de domaine a échoué.
 
Il reboot, et ca fonctionne à priori.
 
Par contre, même quand ca marche, cela me crée 10 évènement pré-authentification kerberos échoué au niveau de mon RODC.
 
C'est le seul impacté par ce problème, les autres utilisateur n'ont pas rencontré ca.
 
A première vu, il n'a rien de plus ou de moins que ses collègues.
 
J'ai tenté de réinitialisé le compte ordinateur au niveau de l'AD, mais ca ne change rien.
 
J'ai uniquement des messages d'erreurs qui parlent du compte ordinateur, donc ce que je me dis c'est que le mot de passe d'authentification du compte ordinateur et celui présent dans l'AD pour ce compte ordinateur sont différents.

Apres la suppression du domaine et la réintegration -> ok
 

Bon alors, en réalité, je pense pas que ce soit résolu.

J'ai trop d'erreurs sur les pcs qui se situe sur ce site physique.

Donc, je récapitule :

J'ai crée un nouveau site dans sites et service + nouveau réseau.
J'ai crée un lien vers mon site principal.
La réplication se passe bien aucun soucis avec repadmin et dcdiag.

Cependant :

-Les pcs de ce site ne sont plus présents dans le dns je ne pense pas que ce soit normal...
-Je me retrouve avec des synchronisation de mot de passe de compte ordinateur différent entre le PC et l'AD ce qui fait qu'a terme j'ai des soucis d'authentification.

Voici quelque exemple d'erreur que j'ai dans le journal d'évènement :

La résolution du nom fqdn du pc a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu.

Cet ordinateur n’a pas pu configurer une session sécurisée avec un contrôleur de domaine dans le domaine mondomaine pour la raison suivante :
Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session.
Cela peut entraîner des problèmes d’authentification. Vérifiez que cet ordinateur est connecté au réseau. Si le problème persiste, contactez votre administrateur de domaine.  
INFORMATIONS SUPPLÉMENTAIRES
Si cet ordinateur est un contrôleur de domaine pour le domaine spécifié, il installe la session sécurisée sur l’émulateur de contrôleur de domaine principal dans le domaine spécifié. Sinon, cet ordinateur installe la session sécurisée sur n’importe quel contrôleur de domaine du domaine spécifié.

Le traitement de la stratégie de groupe a échoué. Windows n’a pas pu résoudre le nom de l’ordinateur. Cet incident peut avoir une ou plusieurs des causes suivantes :
a) Échec de la résolution de nom sur le contrôleur de domaine.
b) Latence de réplication Active Directory (un compte créé sur un autre contrôleur de domaine n’a pas été répliqué sur le contrôleur actuel).

NtpClient n’a pas pu définir de domaine homologue utilisable comme source de temps en raison d’une erreur de découverte. Il réessaiera dans 3473457 minutes, puis doublera l’intervalle d’attente pour les tentatives suivantes. L’erreur était : Rubrique introuvable. (0x800706E1)

Il n'y a aucun firewall entre les 2 sites.
Si je me mets sur le rodc et que je fais w32tm /query / source j'ai bien mon serveur PDC
un ipconfig /all du pc renvoit bien pour dns le RODC en premier puis 2 DC ensuite.
Je ping les pc uniquement depuis le RODC, si je prends un pc qui est hors de ce réseau, je ne ping pas (llmnr qui fonctionne uniquement je suppose)
mon RODC a pour serveur DNS lui meme et ensuite un DC. C'est peut etre ca le problème ? Enfin, il avait 127.0.0.1 donc deja je viens de mettre son ip a la place

Ah oui avec 127.0.0.1 aucune chance que ça fonctionne. Mets tes deux DC en serveurs DNS d'abord puis l'IP de ton RODC ensuite puis 127.0.0.1, puis un clearcache + registerdns, ça devrait aller beaucoup mieux.

Ils sont pas sur le même site géographique c est pas gênant ?

C'est quoi le rapport ?

aucun en effet .

Bon apres avoir changé le dns donc pour mettre 2 DC comme primaire et secondaire puis lui meme en 3 eme -> Aucune différence au niveau du ping des pc pour l'instant.

Je ne peux toujours pas depuis mon site pinger un pc de ce site.

EDIT : si je fais un ipconfig /registerdns sur le pc -> enregistrement dans le dns ok je peux donc pinguer le pc maintenant.

Je vais voir demain sur un pc que je ne pingais pas aujourd'hui ce qu'il se passe.

regarde qui enregistre dans le dns, si c'est le client ou le dhcp. Là tu as forcé donc bon.

oui, j'attends demain quand le pc redémarrera et qu'il va récupérer son bail dhcp normalement il devrait se mettre a jour non ?

ok, donc après reboot d'un poste, il s'enregistre bien dans le dns via le dhcp normalement.
 
Merci beaucoup pour l'aide nebulios  
Ca va nous créer moins de problème à priori maintenant !

Essaie quand même d'apprendre un peu le DNS, c'est juste indispensable quand tu administres aussi de l'AD...

Je suis d'accord avec toi.
 
Et je t'assure même si je ne suis pas excusable que je souhaitais faire ca mais un tuto que j'avais trouvé disais de mettre le rodc lui même et mon responsable me disait on s'en fou donc j'ai pas créusé même si trouvé ca bizarre.
 
Après tu as raison, je suis sensé en connaitre plus, le soucis de mon poste c'est que je dois tout savoir sur tout. A moins de 30 ans, ce n'est pas forcément chose facile.  
 
C'est une base, mais les kb pour la sécurité c'est une basé aussi, savoir créer un poste téléphonique aussi, savoir régler un antivirus aussi, savoir mettre en place de la supervision aussi, savoir déployer un poste via sccm dans notre cas également...  
Au final, il y en a tellement dans tous les sens, que t'as des choses j'y touche plus, et quand je dois me replonger dedans, bé j'ai oublié un peu comment ca fonctionnait...

Bon alors apres un peu de temps qui s'écoule, il semblerait que le problème ne vienne pas de la...

De nouveau, je peux pinguer le poste en étant sur le même réseau que lui, mais depuis un autre réseau, je ne le ping pas, il n'y a pas d'enregistrement DNS qui est crée...
Je ne comprends pas vraiment pourquoi la du cou.....

Depuis qu'on a mis ce RODC en place, on a que des soucis d'authentification pourtant en regardant sur internet, ca n'avait pas l'air bien compliqué à mettre en place...

Pour rappel :

Installation du RODC avec dnc + dhcp
Création d'un nouveau site + attribution du bon réseaux
Création d'un groupe avec tous les utilisateur et tous les compte machine. Ajout de ce groupe dans le groupe objet dont le mot de passe est autorisé à être en cache.
Le DNS1 du RODC pointe vers 1 DC

les commande dcdiag et repadmin /showrepl ne retournent aucune erreur.
Si je crée un enregistrement sur un DC il est bien répliqué sur le DNS.
Par contre, on dirait bien que mes postes clients n'arrivent jamais à contacter le DC. Cependant, les utilisateur n'y voit que du feu et ont toujours accés à leur espace de travail habituel (lecteur réseau sur un autre sous réseaux etc...).

Le problème c'est que la station ne parvient plus à contacter un DC et donc le mot de passe du compte ordinateur ne se synchronise pas avec celui de l'AD et tous les 60 jours ou 30 jours je ne sais plus de mémoire, on a le droit de sortir puis remettre le poste dans le domaine car la station d'approbation entre le poste et un controleur de domaine a échoué.

Perso mes rodc ont pour premier dns leur propre ip (par tradition je ne met pas 127.0.0.1 mais la vraie IP), puis en 2eme celle d'un des DC. je gère une quinzaine de site comme ca en rodc depusi de nombreuses années (500 postes dans le domaine), jamais eu le moindre soucis
 
nslookup donne quoi sur le rodc ?

Je viens de trouver le problème je pense. ..
Il y avait un des postes qui n était pas dans le groupe dont le mot de passe est autorisé à être replique