Bonjour à tous,  
 
Je cherche des infos sur un pb récurrent sur beaucoup de postes de travail win7 ou win10, de manière aléatoire certains PC sont éjectés du domaine avec comme message "La relation d'approbation entre cette station de travail et le domaine principal a échoué". La seule façon de résoudre le pb est de sortir le pc du domaine et ensuite de le refaire rejoindre.  
 
Je voulais savoir si des personnes ont se pb ? D'où peut-il venir ? (je sais que lorsqu'un pc à le même nom le pb apparaît mais à part ça ?), comment éradiquer ce pb ?  
 
Merci.

Les OS des PCs ont-ils été clonés ?

 
Salut, les PC ont été déployés depuis le réseau via MDT.  
 
Je sais pas si je rep à ton interrogation, sinon peux tu préciser cloné ?  
 
Merci.

L'objectif est de s'assurer qu'ils n'ont pas le même SID.
Si lors de ta création d'image tu as paramétré un sysprep, c'est OK.
Sinon ...
 
Tu peux vérifier les SID des OS avec PSGETSID : https://docs.microsoft.com/en-us/sy [...] s/psgetsid

Vérifier la connectivité client <-> DC façon modèle OSI : câble, réseau, DNS, firewall, GPO...regarder les logs côté client et côté DC aussi.
 
Pour péter la relation il faut 2 bons mois d'absence de connectivité, ou bien quelque chose (script, intervention manuelle) qui reset les comptes ordinateurs.

 
 
Merci, mais lorsque je lance psgetsid, un invite de commande se lance et pas le temps de voir ce qui est affiché.

Il faut le lancer dans une invite de commande déjà ouverte.

 
C'est vraiment aléatoire, c'est arrivé sur des poste plusieurs fois d'affiler, certain après avoir reset le mot de passe windows. Les utilisateur n'ont pas de droit admin.

 
C'est ce que je fais en me placant dans le repertoire où sont les commandes puis en fesant start psgetsid.exe
 
Edit : C'est ok la commande fonctionne correctement.

Aprés vérification sur plusieurs postes, ils n'ont pas le même SID.

Vérifie si tu n'as pas trop d'erreur dans les DNS.....on a eu le même genre de soucis à quelques reprises. Une fois, c'était un de nos DNS qui avait pété un câble. Un reboot, et c'était bon.
L'autre fois, c'était un soucis de décalage horaire avec des postes non calés sur le NTP. Parfois, les causes sont assez "basiques" pour ce problème.

Ces postes ont-ils été restaurés à une date précédente ?
 
Sinon pour avancer, il faut faire comme l'indique Nebulios

 
Non, ce sont des postes installés il y a X temps et d'autre récemment installés.

ils ont quoi comme point commun les postes qui quittent le domaine ?
exemple même plan d'adrassage ?
Firewall ?
c'est dur de donner des pistes sans un début de commencement.
si tu peux voir les log sur tes ad ou les postes...

 
 
Alors oui les PC sont sur le même plan d'adressage, sur même VLAN et sont concernés par les mêmes règles de firewall.

Euh c'est bête comme question mais personne ne fait des conneries sur ton Active Directory ? Genre toucher aux comptes ordinateurs concernés par le problème (supprimer les comptes, désactiver ou réinitialiser les comptes...)
 
Qui est admin du domaine ? Toi ou quelqu'un d'autre?

 
Nous sommes 3 admin mais utilisateurs averti donc pas de pb de bidouillage sur l'AD

Et en 5 jours tu n'as pas encore pu lire les logs ?

Il a été suggéré de vérifier le fonctionnement du service de temps sur les postes, tu l'as fait ?
 
w32tm /query /configuration
w32tm /query /peers
w32tm /query /status
 
Dans les logs des postes la présence d'erreurs venant de la source NETLOGON, des events au démarrage indiquant que le poste ne peut pas appliquer ses stratégies de groupe ?
 
Sur un poste qui marche exécuter la commande nltest /sc_query:nom_de_ton_domaine ça vérifie le secure channel entre ton poste et le domaine.
 
Tu as combien de DC dans ton AD ? Est-ce qu'ils répliquent correctement ? La commande dcdiag (sur chaque dc) renvoie-t-elle des erreurs ?

Vérifie la réplication des AD, si ça se trouve elle ne fonctionne plus.
Tu intégres les pc sur un AD ensuite quand il ira s'authentifier sur l'autre AD alors tu auras l'erreur.
 
Sinon regarde s'il n'y a pas des traces d'un ancien AD dans les enregistrements DNS, dans les SRV et dans les sites.

Merci pour toutes vos suppositions et pistes à explorer, je fais step by step.

Après avoir chécké les logs sur le contrôleur de domaines, je vois des accès refusés pour des pc concernés de ce type :

The session setup from the computer "nom du pc" failed to authenticate. The name(s) of the account(s) referenced in the security database is nom du pc$.  The following error occurred:
Access is denied.

Et de ce type : The session setup from computer 'nom du pc' failed because the security database does not contain a trust account 'nom du pc$' referenced by the specified computer.  

USER ACTION  
If this is the first occurrence of this event for the specified computer and account, this may be a transient issue that doesn't require any action at this time.  If this is a Read-Only Domain Controller and 'nom du pc$' is a legitimate machine account for the computer 'nom du pc' then 'nom du pc' should be marked cacheable for this location if appropriate or otherwise ensure connectivity to a domain controller  capable of servicing the request (for example a writable domain controller).  Otherwise, the following steps may be taken to resolve this problem:  

If 'nom du pc$' is a legitimate machine account for the computer 'nom du pc', then 'nom du pc' should be rejoined to the domain.  

If 'nom du pc$' is a legitimate interdomain trust account, then the trust should be recreated.  

Otherwise, assuming that 'nom du pc$' is not a legitimate account, the following action should be taken on 'nom du pc':  

If 'nom du pc' is a Domain Controller, then the trust associated with 'nom du pc$' should be deleted.  

If 'nom du pc' is not a Domain Controller, it should be disjoined from the domain.

Je vais déjà traiter ces messages et voir ce qui est possible de faire, si vous avez des indications n’hésitez pas.

Source : NETLOGON

 
Merci quand j'ai un moment je regarde et vous tiens au jus

 
Merci quand j'ai un moment je regarde et vous tiens au jus

 
Cherche pas plus loin la raison de l'éjection des PC du domaine.
 
C'est quasi certainement le scénario évoqué par nnwldx et auquel je pensais quand j'ai parlé de la réplication.
 
Du coup tu as intérêt aussi à regarder les erreurs dans les journaux Active Directory. Des DCs qui ne répliquent plus pendant un intervalle de temps prolongé et des DCs qui vivent leur vie chacun de leur côté peuvent mettre une sacrée belle pagaille dans l'AD. Et au bout de 180 jours, pouf, tombstone.

Ça impacte combien de poste ? Toujours les mêmes ?