Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2838 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  relation d'approbation HS sur contrôleur de domaine distant

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

relation d'approbation HS sur contrôleur de domaine distant

n°141626
rodrigo35
Posté le 10-08-2016 à 17:57:13  profilanswer
 

Bonjour à tous,
 
j'ai un probleme tordu...
 
un de mes sites distant a eu de gros problemes électriques aujourd'hui, le serveur la bas (qui est DC + DNS + DHCP ...) a redémarré moultes fois...
 
résultat lorsque je veux ouvrir une session dessus il me jette car "la base de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail" -> sauf que c'est un DC ... donc il n'y a pas de compte local auquel je peux me connecter pour pousser les tests ....
 
mon DC1 voit toujours ce DC-distant, idem dans sites et services AD
par contre quand j'essaye de forcer la réplication depuis DC1 vers DC-distant -> l'erreur suivante s'est produite en tentant de contacter le DC-distant: le nom principal de la cible n'est pas correct.
 
coté logs, je n'ai pas acces à ceux de DC-distant, mais sur DC1 j'ai:
 
15h51 - event 1226 - L’objet suivant a été créé sur un service d’annuaire distant avec un nom d’objet qui existe déjà sur le service d’annuaire local.  
 
16h02 - event 1411 - Les services de domaine Active Directory n’ont pas pu créer un nom principal de service d’authentification mutuelle pour le service d’annuaire suivant.  Service d’annuaire : fa99f8a7-a789-4d5c-9a58-6b025d7bdbfb._msdcs.mondomaine.local  
 
 
 
fait étrange, le DC-distant répond toujours aux demandes AD, j'ai un script php qui interroge les comptes AD et tous les comptes users sont biens là, à jour d'aujourd'hui vers 17H environ, seul un compte test créé apres l'identification de cette anomalie est manquant (alors qu'il est bien présent sur les autres DC)
 
 
auriez vous une piste pour:
 
- reprendre la main sur le DC-distant (je dois avoir l'acces en mode console sans echec, ou en mode de restauration AD mais je ne suis pas tres au fait de cette console)
ou
- virer ce DC-distant (mode console dcpromo /forceremoval ??) puis nettoyer l'ad pour ensuite le réintégrer (ntdsutil pour clean les metadata, mais là encore je suis moins à l'aise -> un tuto bien fait à me conseiller ? le technet est un peu rustre sur ce sujet... j'ai peur de faire une connerie)
 
 
d'avance merci pour votre aide :)

mood
Publicité
Posté le 10-08-2016 à 17:57:13  profilanswer
 

n°141630
nnwldx
Posté le 10-08-2016 à 22:27:53  profilanswer
 

commence par un redémarrage en mode sans échec et normal ensuite.

n°141631
rodrigo35
Posté le 11-08-2016 à 10:06:22  profilanswer
 

@nnwldx: redémarrages deja fait, c'est l'un des 1ers trucs testés ^^
 
bilan de ce matin apres un reboot général de tous les DC (23 serveurs):
 
- j'ai a nouveau acces à DC-distant
- je n'ai plus de réplication AD ...............
 
 
 
 
j'ai lancé des outils de diagnostique qui ont retourné l'erreur suivante :
 
 
 
DCDIAG reports that the Active Directory Replications test has failed with error -2146893022: “The target principal name is incorrect."
 
En français : le nom principal de la cible est incorrect
 
Ce message d'erreur m'a orienté vers ce KB microsoft :
 
https://support.microsoft.com/en-us/kb/2090913
 
 
 
 
a priori donc je dois utiliser la commande netdom resetpwd mais je n'ai pas saisi sur quels serveurs...
 
 
 
voici les echanges qui fonctionnent et ceux qui déconnent:
 
site principal (2 DC dont celui qui a les roles FSMO) -> les 2 DC dialoguent bien dans les 2 sens
 
tous les autres sites (1DC par site): le DC dialogue bien avec un DC d'un site distant MAIS PAS avec le DC principal (roles FSMO)
 
 
 
du coup il faut que je reset les PWD des dc distant ou seulement celui du site principal ? (ou de tous les DC et je redémarre tout ??)

n°141632
Je@nb
Modérateur
Kindly give dime
Posté le 11-08-2016 à 10:09:01  profilanswer
 

tu configures quoi comme serveurs dns sur tes dc ? :/

n°141633
rodrigo35
Posté le 11-08-2016 à 10:11:43  profilanswer
 

classiquement en 1er DNS lui même et en 2 le DC secondaire du site principal

n°141634
Je@nb
Modérateur
Kindly give dime
Posté le 11-08-2016 à 10:18:48  profilanswer
 

Ouais donc l'opposé de ce qu'il faut faire en fait :/

n°141635
rodrigo35
Posté le 11-08-2016 à 10:24:39  profilanswer
 

tu préconises quoi du coup ? que je profite de tout ce bordel pour remettre du propre ....
 
j'avoue que sur ce coup là j'ai pris l'existant et j'ai continué dans le même sens (ça fonctionnait jusque là...)

n°141636
Je@nb
Modérateur
Kindly give dime
Posté le 11-08-2016 à 10:26:59  profilanswer
 

Mettre :
- IP d'un autre DC du même site (s'il existe sinon une IP d'un site hub)
- IP d'un site "hub"
- localhost
 

n°141637
rodrigo35
Posté le 11-08-2016 à 10:36:47  profilanswer
 

ok je corrige ça :) merci de l'info.

n°141639
rodrigo35
Posté le 11-08-2016 à 11:15:28  profilanswer
 

Bien, maintenant que mes DNS sont correctement configurés:
 
pour contourner le probleme de réplication j'ai ajouté un lien de site entre le DC2 du site principal (qui lui dialogue toujours tres bien avec DC1) et un autre DC pour que les replications passent par là le temps de corriger mon erreur de nom de cible  
 
ça fonctionne, mes comptes se sont biens répliqués partout, mais le diag de AD replication status tool reste en rouge...
 
une idée ?

mood
Publicité
Posté le 11-08-2016 à 11:15:28  profilanswer
 

n°141640
nebulios
Posté le 11-08-2016 à 11:40:26  profilanswer
 

Tes fichiers host n'ont pas été trafiqués ? Pas de config bizarre sur tes cartes réseau ?
 
Sinon tu as tout ce qu'il faut sur le KB que tu as indiqué.
 
Si c'est toujours KO il faudra faire un seize des rôles FSMO puis un dcpromo /forceremoval. Sous 2008 R2 le metada cleanup est pris en charge automatiquement (il suffit de préciser que le DC est off pour de bon dans l'ADUC).

n°141641
rodrigo35
Posté le 11-08-2016 à 11:49:23  profilanswer
 

nop pas de modif host, pas de conf ip exotique (je viens de les repasser toutes en revue)
 
j'ai lu le kb et j'en arrive à la conclusion de devoir utiliser le netdom /resetpwd mais je n'ai bien saisi dans quel sens il s'utilise: sur DC1 vers tous les autres DC? ou depuis les autres DC en indiquant DC1...

n°141643
nebulios
Posté le 11-08-2016 à 11:58:04  profilanswer
 

Tu réinitialises le mot de passe machine du DC qui pose problème, donc DC1

n°141650
rodrigo35
Posté le 11-08-2016 à 14:08:02  profilanswer
 

Bon, j'ai à nouveau tout redémarré ce midi et laissé tourner entre 12 et 14 bilan: tout est ok sans avoir recours à rien de spécial.... c'est tombé en marche ...
 
par contre je remarque que les liens dans sites et services se sont aussi réorganisés:
 
- avant chaque serveur avait un lien direct entre lui et DC1 et un autre entre lui et un DC à lyon
 
- maintenant chaque serveur n'a plus que le lien vers DC1
 
(une préco particuliere sur ces liens de sites justement ? une action à faire pour sécuriser/redonder les liens ?)

n°141652
nebulios
Posté le 11-08-2016 à 15:41:00  profilanswer
 

Quel est ta topologie niveau sites ? Un principal, deux ? Plusieurs sites distants ? Comment sont ils connectés au premiers, avec quelle bande passante ?
 
Avec les réponses tu pourras modifier les poids de chaque liaison dans la console sites et services. Ensuite le KCC se chargera du reste automatiquement - éviter les actions manuelles au maximum.
 
Et vérifie tous les logs pour être sûr que ta synchro est OK et que le DC1 ne bosse pas de façon split-brain (isolée).

n°141657
Je@nb
Modérateur
Kindly give dime
Posté le 11-08-2016 à 17:35:49  profilanswer
 

rodrigo35 a écrit :

Bon, j'ai à nouveau tout redémarré ce midi et laissé tourner entre 12 et 14 bilan: tout est ok sans avoir recours à rien de spécial.... c'est tombé en marche ...
 
par contre je remarque que les liens dans sites et services se sont aussi réorganisés:
 
- avant chaque serveur avait un lien direct entre lui et DC1 et un autre entre lui et un DC à lyon
 
- maintenant chaque serveur n'a plus que le lien vers DC1
 
(une préco particuliere sur ces liens de sites justement ? une action à faire pour sécuriser/redonder les liens ?)


 
L'AD c'est pas super rapide. Faut surtout pas faire des trucs dans la précipitation.
Tu as bien fait de tout redémarrer, enfin faut redémarrer chaque serveur chacun son tour. Attendre que la topologie se recalcule, que les réplications se mettent en place et c'est bon.
 
Pour ta topologie, ça va dépendre de la topologie de site que tu as fait, les coûts, les schedule, les bridgehead etc.

n°141695
matteu
Posté le 13-08-2016 à 19:03:09  profilanswer
 

nebulios a écrit :

Quel est ta topologie niveau sites ? Un principal, deux ? Plusieurs sites distants ? Comment sont ils connectés au premiers, avec quelle bande passante ?

 

Avec les réponses tu pourras modifier les poids de chaque liaison dans la console sites et services. Ensuite le KCC se chargera du reste automatiquement - éviter les actions manuelles au maximum.

 

Et vérifie tous les logs pour être sûr que ta synchro est OK et que le DC1 ne bosse pas de façon split-brain (isolée).

 

Je tiens juste à préciser que le KCC n'est pas le seul à jouer un rôle dans la réplication.
Il n'agit que pour la réplication intra site.
Pour l'intersite, c'est l'ISTG .

 

Après j'ai du mal à comprendre que les reboot corrigent le problème...

 

le KCC par défaut c'est calculé toutes les 5 min et l'istg mini 15 de mémoire.

 

Par contre, je serai curieux d'avoir un imprim écran de ta console site et service ainsi que tu nous en dise plus sur la configuration de chaque site ou tu as un DC présent.
En principe, on crée 1 site AD par site géographique.


Message édité par matteu le 13-08-2016 à 19:04:46

---------------
Mon Feedback---Mes ventes
n°141700
nebulios
Posté le 14-08-2016 à 05:59:23  profilanswer
 

La base AD était probablement en dirty shutdown, et un reboot (avec des bons DNS) suffit souvent à la remettre d'aplomb.

n°141701
matteu
Posté le 14-08-2016 à 09:55:03  profilanswer
 

Il a tout redémarrer 2 fois si j ai bien suivi.  
Sur un seul reboot j aurai compris mais 2...


---------------
Mon Feedback---Mes ventes

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  relation d'approbation HS sur contrôleur de domaine distant

 

Sujets relatifs
Bloquer domaine avec netasq/stormshieldSe connecter à mon domaine \\
trouver le nom de domaine depuis un poste en workgroupDéport PC & imprimantes sur site distant
Partager nom de domaine, entre Exhange et Office365mise en place d'un poste dans le domaine hors reseau
Virtualisation d'un PC HSImprimer en local depuis un serveur virtuel distant
nom sous domaine 
Plus de sujets relatifs à : relation d'approbation HS sur contrôleur de domaine distant


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR