Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1351 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Probléme de relation d'approbation domaine

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Probléme de relation d'approbation domaine

n°166491
brokop
Posté le 13-11-2019 à 11:35:04  profilanswer
 

Bonjour à tous,  
 
Je cherche des infos sur un pb récurrent sur beaucoup de postes de travail win7 ou win10, de manière aléatoire certains PC sont éjectés du domaine avec comme message "La relation d'approbation entre cette station de travail et le domaine principal a échoué". La seule façon de résoudre le pb est de sortir le pc du domaine et ensuite de le refaire rejoindre.  
 
Je voulais savoir si des personnes ont se pb ? D'où peut-il venir ? (je sais que lorsqu'un pc à le même nom le pb apparaît mais à part ça ?), comment éradiquer ce pb ?  
 
Merci.

mood
Publicité
Posté le 13-11-2019 à 11:35:04  profilanswer
 

n°166493
ShonGail
En phase de calmitude ...
Posté le 13-11-2019 à 11:40:10  profilanswer
 

Les OS des PCs ont-ils été clonés ?

n°166494
brokop
Posté le 13-11-2019 à 11:42:05  profilanswer
 

ShonGail a écrit :

Les OS des PCs ont-ils été clonés ?


 
Salut, les PC ont été déployés depuis le réseau via MDT.  
 
Je sais pas si je rep à ton interrogation, sinon peux tu préciser cloné ?  
 
Merci.

n°166496
ShonGail
En phase de calmitude ...
Posté le 13-11-2019 à 11:46:36  profilanswer
 

L'objectif est de s'assurer qu'ils n'ont pas le même SID.
Si lors de ta création d'image tu as paramétré un sysprep, c'est OK.
Sinon ...
 
Tu peux vérifier les SID des OS avec PSGETSID : https://docs.microsoft.com/en-us/sy [...] s/psgetsid

n°166497
nebulios
Posté le 13-11-2019 à 14:12:35  profilanswer
 

Vérifier la connectivité client <-> DC façon modèle OSI : câble, réseau, DNS, firewall, GPO...regarder les logs côté client et côté DC aussi.
 
Pour péter la relation il faut 2 bons mois d'absence de connectivité, ou bien quelque chose (script, intervention manuelle) qui reset les comptes ordinateurs.

n°166499
brokop
Posté le 13-11-2019 à 14:15:07  profilanswer
 

ShonGail a écrit :

L'objectif est de s'assurer qu'ils n'ont pas le même SID.
Si lors de ta création d'image tu as paramétré un sysprep, c'est OK.
Sinon ...
 
Tu peux vérifier les SID des OS avec PSGETSID : https://docs.microsoft.com/en-us/sy [...] s/psgetsid


 
 
Merci, mais lorsque je lance psgetsid, un invite de commande se lance et pas le temps de voir ce qui est affiché.

n°166500
ShonGail
En phase de calmitude ...
Posté le 13-11-2019 à 14:16:37  profilanswer
 

Il faut le lancer dans une invite de commande déjà ouverte.

n°166501
brokop
Posté le 13-11-2019 à 14:18:23  profilanswer
 

nebulios a écrit :

Vérifier la connectivité client <-> DC façon modèle OSI : câble, réseau, DNS, firewall, GPO...regarder les logs côté client et côté DC aussi.
 
Pour péter la relation il faut 2 bons mois d'absence de connectivité, ou bien quelque chose (script, intervention manuelle) qui reset les comptes ordinateurs.


 
C'est vraiment aléatoire, c'est arrivé sur des poste plusieurs fois d'affiler, certain après avoir reset le mot de passe windows. Les utilisateur n'ont pas de droit admin.

n°166502
brokop
Posté le 13-11-2019 à 14:19:34  profilanswer
 

ShonGail a écrit :

Il faut le lancer dans une invite de commande déjà ouverte.


 
C'est ce que je fais en me placant dans le repertoire où sont les commandes puis en fesant start psgetsid.exe
 
Edit : C'est ok la commande fonctionne correctement.


Message édité par brokop le 13-11-2019 à 14:22:06
n°166503
brokop
Posté le 13-11-2019 à 14:30:31  profilanswer
 

Aprés vérification sur plusieurs postes, ils n'ont pas le même SID.

mood
Publicité
Posté le 13-11-2019 à 14:30:31  profilanswer
 

n°166504
saarh
Posté le 13-11-2019 à 14:38:58  profilanswer
 

Vérifie si tu n'as pas trop d'erreur dans les DNS.....on a eu le même genre de soucis à quelques reprises. Une fois, c'était un de nos DNS qui avait pété un câble. Un reboot, et c'était bon.
L'autre fois, c'était un soucis de décalage horaire avec des postes non calés sur le NTP. Parfois, les causes sont assez "basiques" pour ce problème.

n°166505
ShonGail
En phase de calmitude ...
Posté le 13-11-2019 à 14:39:55  profilanswer
 

Ces postes ont-ils été restaurés à une date précédente ?
 
Sinon pour avancer, il faut faire comme l'indique Nebulios

n°166513
brokop
Posté le 13-11-2019 à 16:25:48  profilanswer
 

ShonGail a écrit :

Ces postes ont-ils été restaurés à une date précédente ?
 
Sinon pour avancer, il faut faire comme l'indique Nebulios


 
Non, ce sont des postes installés il y a X temps et d'autre récemment installés.

n°166519
skoizer
tripoux et tête de veau
Posté le 14-11-2019 à 11:28:00  profilanswer
 

ils ont quoi comme point commun les postes qui quittent le domaine ?
exemple même plan d'adrassage ?
Firewall ?
c'est dur de donner des pistes sans un début de commencement.
si tu peux voir les log sur tes ad ou les postes...


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°166546
brokop
Posté le 15-11-2019 à 09:31:06  profilanswer
 

skoizer a écrit :

ils ont quoi comme point commun les postes qui quittent le domaine ?
exemple même plan d'adrassage ?
Firewall ?
c'est dur de donner des pistes sans un début de commencement.
si tu peux voir les log sur tes ad ou les postes...


 
 
Alors oui les PC sont sur le même plan d'adressage, sur même VLAN et sont concernés par les mêmes règles de firewall.

n°166568
Ryo-Ohki
10th Rabbit
Posté le 16-11-2019 à 09:57:55  profilanswer
 

Euh c'est bête comme question mais personne ne fait des conneries sur ton Active Directory ? Genre toucher aux comptes ordinateurs concernés par le problème (supprimer les comptes, désactiver ou réinitialiser les comptes...)
 
Qui est admin du domaine ? Toi ou quelqu'un d'autre?


---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°166599
brokop
Posté le 18-11-2019 à 17:49:06  profilanswer
 

Ryo-Ohki a écrit :

Euh c'est bête comme question mais personne ne fait des conneries sur ton Active Directory ? Genre toucher aux comptes ordinateurs concernés par le problème (supprimer les comptes, désactiver ou réinitialiser les comptes...)
 
Qui est admin du domaine ? Toi ou quelqu'un d'autre?


 
Nous sommes 3 admin mais utilisateurs averti donc pas de pb de bidouillage sur l'AD

n°166600
nebulios
Posté le 18-11-2019 à 17:53:58  profilanswer
 

Et en 5 jours tu n'as pas encore pu lire les logs ?

n°166604
Ryo-Ohki
10th Rabbit
Posté le 18-11-2019 à 20:07:34  profilanswer
 

Il a été suggéré de vérifier le fonctionnement du service de temps sur les postes, tu l'as fait ?
 
w32tm /query /configuration
w32tm /query /peers
w32tm /query /status
 
Dans les logs des postes la présence d'erreurs venant de la source NETLOGON, des events au démarrage indiquant que le poste ne peut pas appliquer ses stratégies de groupe ?
 
Sur un poste qui marche exécuter la commande nltest /sc_query:nom_de_ton_domaine ça vérifie le secure channel entre ton poste et le domaine.
 
Tu as combien de DC dans ton AD ? Est-ce qu'ils répliquent correctement ? La commande dcdiag (sur chaque dc) renvoie-t-elle des erreurs ?

Message cité 1 fois
Message édité par Ryo-Ohki le 18-11-2019 à 20:08:20

---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°166606
nnwldx
Posté le 18-11-2019 à 22:13:48  profilanswer
 

Vérifie la réplication des AD, si ça se trouve elle ne fonctionne plus.
Tu intégres les pc sur un AD ensuite quand il ira s'authentifier sur l'autre AD alors tu auras l'erreur.
 
Sinon regarde s'il n'y a pas des traces d'un ancien AD dans les enregistrements DNS, dans les SRV et dans les sites.

n°166620
brokop
Posté le 19-11-2019 à 10:58:56  profilanswer
 

Merci pour toutes vos suppositions et pistes à explorer, je fais step by step.

 

Après avoir chécké les logs sur le contrôleur de domaines, je vois des accès refusés pour des pc concernés de ce type :

 

The session setup from the computer "nom du pc" failed to authenticate. The name(s) of the account(s) referenced in the security database is nom du pc$.  The following error occurred:
Access is denied.

 

Et de ce type : The session setup from computer 'nom du pc' failed because the security database does not contain a trust account 'nom du pc$' referenced by the specified computer.  

 

USER ACTION  
If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn't require any action at this time.  If this is a Read-Only Domain Controller and 'nom du pc$' is a legitimate machine account for the computer 'nom du pc' then 'nom du pc' should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller  capable of servicing the request (for example a writable domain controller).  Otherwise, the following steps may be taken to resolve this problem:  

 

If 'nom du pc$' is a legitimate machine account for the computer 'nom du pc', then 'nom du pc' should be rejoined to the domain.  

 

If 'nom du pc$' is a legitimate interdomain trust account, then the trust should be recreated.  

 

Otherwise, assuming that 'nom du pc$' is not a legitimate account, the following action should be taken on 'nom du pc':  

 

If 'nom du pc' is a Domain Controller, then the trust associated with 'nom du pc$' should be deleted.  

 

If 'nom du pc' is not a Domain Controller, it should be disjoined from the domain.

 

Je vais déjà traiter ces messages et voir ce qui est possible de faire, si vous avez des indications n’hésitez pas.

 

Source : NETLOGON

Message cité 1 fois
Message édité par brokop le 19-11-2019 à 11:00:47
n°166621
brokop
Posté le 19-11-2019 à 10:59:33  profilanswer
 

Ryo-Ohki a écrit :

Il a été suggéré de vérifier le fonctionnement du service de temps sur les postes, tu l'as fait ?
 
w32tm /query /configuration
w32tm /query /peers
w32tm /query /status
 
Dans les logs des postes la présence d'erreurs venant de la source NETLOGON, des events au démarrage indiquant que le poste ne peut pas appliquer ses stratégies de groupe ?
 
Sur un poste qui marche exécuter la commande nltest /sc_query:nom_de_ton_domaine ça vérifie le secure channel entre ton poste et le domaine.
 
Tu as combien de DC dans ton AD ? Est-ce qu'ils répliquent correctement ? La commande dcdiag (sur chaque dc) renvoie-t-elle des erreurs ?


 
Merci quand j'ai un moment je regarde et vous tiens au jus

n°166622
brokop
Posté le 19-11-2019 à 10:59:43  profilanswer
 

nnwldx a écrit :

Vérifie la réplication des AD, si ça se trouve elle ne fonctionne plus.
Tu intégres les pc sur un AD ensuite quand il ira s'authentifier sur l'autre AD alors tu auras l'erreur.
 
Sinon regarde s'il n'y a pas des traces d'un ancien AD dans les enregistrements DNS, dans les SRV et dans les sites.


 
Merci quand j'ai un moment je regarde et vous tiens au jus

n°166646
Ryo-Ohki
10th Rabbit
Posté le 19-11-2019 à 20:18:04  profilanswer
 

brokop a écrit :

Merci pour toutes vos suppositions et pistes à explorer, je fais step by step.
 
Après avoir chécké les logs sur le contrôleur de domaines, je vois des accès refusés pour des pc concernés de ce type :  
 
The session setup from the computer "nom du pc" failed to authenticate. The name(s) of the account(s) referenced in the security database is nom du pc$.  The following error occurred:  
Access is denied.
 
Et de ce type : The session setup from computer 'nom du pc' failed because the security database does not contain a trust account 'nom du pc$' referenced by the specified computer.  
 
USER ACTION  
If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn't require any action at this time.  If this is a Read-Only Domain Controller and 'nom du pc$' is a legitimate machine account for the computer 'nom du pc' then 'nom du pc' should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller  capable of servicing the request (for example a writable domain controller).  Otherwise, the following steps may be taken to resolve this problem:  
 
If 'nom du pc$' is a legitimate machine account for the computer 'nom du pc', then 'nom du pc' should be rejoined to the domain.  
 
If 'nom du pc$' is a legitimate interdomain trust account, then the trust should be recreated.  
 
Otherwise, assuming that 'nom du pc$' is not a legitimate account, the following action should be taken on 'nom du pc':  
 
If 'nom du pc' is a Domain Controller, then the trust associated with 'nom du pc$' should be deleted.  
 
If 'nom du pc' is not a Domain Controller, it should be disjoined from the domain.
 
Je vais déjà traiter ces messages et voir ce qui est possible de faire, si vous avez des indications n’hésitez pas.  
 
Source : NETLOGON


 
Cherche pas plus loin la raison de l'éjection des PC du domaine.
 
C'est quasi certainement le scénario évoqué par nnwldx et auquel je pensais quand j'ai parlé de la réplication.
 
Du coup tu as intérêt aussi à regarder les erreurs dans les journaux Active Directory. Des DCs qui ne répliquent plus pendant un intervalle de temps prolongé et des DCs qui vivent leur vie chacun de leur côté peuvent mettre une sacrée belle pagaille dans l'AD. Et au bout de 180 jours, pouf, tombstone.


---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°166737
Wolfman
Modérateur
Lobo'tomizado
Posté le 25-11-2019 à 15:04:41  profilanswer
 

Ça impacte combien de poste ? Toujours les mêmes ?

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Probléme de relation d'approbation domaine

 

Sujets relatifs
Centreon : problème avec les notificationsProblème Migration de rôles Windows Serveur 2012R2
w2k8 probleme ftp.exeUAC et domaine
[IIS - ASP] : ProblèmeProblème récurrent d'application de GPO
Probleme route vlan adminDomaine, clonage et SID
Problème édition calendrier Office 365 Hybridchangement de domaine AD
Plus de sujets relatifs à : Probléme de relation d'approbation domaine


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR