Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1014 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Vérification Client tjrs présent et correct par rapport à l'AD

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Vérification Client tjrs présent et correct par rapport à l'AD

n°115297
akizan
Eye Sca Zi
Posté le 17-10-2013 à 16:55:27  profilanswer
 

Bonjour,
 
Je suis en train de bosser sur les problèmes d'authentification (plusieurs cas différents) de postes clients qui ne peuvent plus s'authentifier sur l'AD.
Par rapport à ce problème spécifique, j'essai de trouver les différentes méthodes et outils capables côté client(le plus possible) de diagnostiquer.
 
Ce que je sais, c'est qu'il faut vérifier que :
- Que le nom machine est bien présent sur l'AD (par la MMC AD)
- le password Machine est synchronisé avec l'AD (par nltest)
- le SID Machine correspond entre le PC et l'AD (par ????)
 
Quoi d'autre peut-on vérifier ?
 
Merci :)


Message édité par akizan le 17-10-2014 à 13:28:31
mood
Publicité
Posté le 17-10-2013 à 16:55:27  profilanswer
 

n°115516
akizan
Eye Sca Zi
Posté le 24-10-2013 à 13:14:04  profilanswer
 

http://social.technet.microsoft.co [...] ailed.aspx
 
PSGETSID permet de diagnostiquer certains problèmes avec l'AD


Message édité par akizan le 24-10-2013 à 14:38:06
n°122296
akizan
Eye Sca Zi
Posté le 07-07-2014 à 13:41:34  profilanswer
 

Je m'auto répond :
NETDOM /VERIFY ainsi que NLTEST.EXE permettent de diagnostiquer les connexions AD avec les clients.

n°122299
nebulios
Posté le 07-07-2014 à 13:55:15  profilanswer
 

Test-ComputerSecureChannel en Powershell
 
ou sinon l'analyse des trames Kerberos notamment

n°122300
akizan
Eye Sca Zi
Posté le 07-07-2014 à 14:00:32  profilanswer
 

Jamais fait de l'analyse de trames mais ça peut m'intéresser.
Sinon tout simplement je test un accès ipc$

n°122356
PsYKrO_Fre​d
Posté le 08-07-2014 à 17:48:48  profilanswer
 

ensuite je vérifie le réseau :  
le classique : ipconfig /all
l'activation du firewall ou non : je le désactive
le bon nslookup pour vérifier le dns
Vérifier la liste des suffixes dns
Vérifier dans le pire des cas si le fichier host du pc n'est pas rempli.
Vérifier l'heure de la machine.
 
Sur l'ad, regarde si le compte n'est pas déjà crée en faisant une recherche.
 
En général, rien qu'avec ça tu résolues 80% des problèmes si conf réseau OK.
 
Mais quand tu parles de postes qui ne s'authentifie plus. Tu parles bien au sens ordinateurs et non au sens utilisateurs ?
 


Message édité par PsYKrO_Fred le 08-07-2014 à 17:50:46
n°122357
akizan
Eye Sca Zi
Posté le 08-07-2014 à 18:27:03  profilanswer
 

oui au sens ordinateur :)

n°124969
akizan
Eye Sca Zi
Posté le 14-10-2014 à 16:21:39  profilanswer
 

J'ai toujours de temps en temps des postes qui ne se connectent plus au domaine avec du ACCESS_DENIED quand je lance du NLTEST...
 
Pour la recherche des causes de ce dysfonctionnement, je pars de cet article :
http://windowsitpro.com/security/u [...] l-problems

n°124974
nebulios
Posté le 14-10-2014 à 16:46:28  profilanswer
 

Un simple décalage niveau horloge peut générer ça aussi.

n°124976
akizan
Eye Sca Zi
Posté le 14-10-2014 à 17:26:11  profilanswer
 

J'ai déjà vérifié ce point et le timing est correct.
Évidemment, j'ai des erreurs dans l'event viewer car le PC ne peut plus dans l'état où il est se synchroniser avec le contrôleur de domaine en NTP mais l'heure est bonne entre un "PC secure broken channel" et un PC sur le domaine.


Message édité par akizan le 14-10-2014 à 17:26:42
mood
Publicité
Posté le 14-10-2014 à 17:26:11  profilanswer
 

n°124977
akizan
Eye Sca Zi
Posté le 14-10-2014 à 17:55:43  profilanswer
 

Voila le résultat des quelques tests :
 

Code :
  1. C:\>nltest /sc_verify:mondomaine
  2. Indicateurs : 80
  3. Nom du contrôleur de domaine approuvé
  4. Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_ACCESS_DENIED
  5. Vérification de l'approbation Status = 5 0x5 ERROR_ACCESS_DENIED
  6. La commande a été correctement exécutée
  7. C:\>


 

Code :
  1. C:\>nltest /sc_query:mondomaine
  2. Indicateurs : 0
  3. Nom du contrôleur de domaine approuvé
  4. Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_ACCESS_DENIED
  5. La commande a été correctement exécutée
  6. C:\>


 

Code :
  1. C:\>nltest /dclist:mondomaine
  2. Obtenez la liste des contrôleurs du domaine « mondomaine » à partir de
  3. « \\DC.mondomaine ».
  4. Vous n'avez pas accès à DsBind pour mondomaine (\\DC.mondomaine) (essai avec NetServerEnum).
  5. I_NetGetDCList a échoué : Status = 87 0x57 ERROR_INVALID_PARAMETER


 

Code :
  1. C:\>netdom verify mamachine /Domain:mondomaine
  2. Le canal sécurisé de mamachine vers mondomaine n'est pas valide.
  3. Accès refusé.
  4. Accès refusé.
  5. L'opération ne s'est pas bien déroulée.


 

Code :
  1. C:\>nltest /server:mamachine /sc_query:mondomaine
  2. Indicateurs : 0
  3. Nom du contrôleur de domaine approuvé
  4. Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_AC
  5. CESS_DENIED
  6. La commande a été correctement exécutée


 

Code :
  1. PS C:\> Test-ComputerSecureChannel
  2. False
  3. PS C:\>


 

Code :
  1. C:\>nltest /cdigest:MESSAGETOHASH /domain:mondomaine
  2. L'obtention du RID d'approbation a échoué : Status = 1789 0x6fd ERROR_TRUSTED_RE
  3. LATIONSHIP_FAILURE


 

Code :
  1. C:\>nltest /sc_reset:mondomaine
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 
Toutes les commandes ont été exécutées à partir de la machine en question et avec un compte admin local.


Message édité par akizan le 15-10-2014 à 08:40:26
n°124991
skoizer
tripoux et tête de veau
Posté le 15-10-2014 à 09:42:45  profilanswer
 

l'admin local d'une machine 'na pas de droit sur le domaine....


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°124992
nebulios
Posté le 15-10-2014 à 09:46:05  profilanswer
 

Et quand tu fais un test-computerchannel -repair (dans une invite en admin) il se passe quoi ?

n°125032
akizan
Eye Sca Zi
Posté le 15-10-2014 à 15:15:51  profilanswer
 

skoizer a écrit :

l'admin local d'une machine 'na pas de droit sur le domaine....


 
D'un côté, cela parait logique mais je vois pas comment nltest à partir d'un autre machine sur le domaine va pouvoir tester si tout va bien...
Je vais refaire les tests quand même en utilisant systématiquement "nltest /server:mamachine" à partir d'un PC sur le domaine = OK et mamachine = le PC broken channel.
 

nebulios a écrit :

Et quand tu fais un test-computerchannel -repair (dans une invite en admin) il se passe quoi ?


 
J'essai ça en plus.
 
Merci ^^


Message édité par akizan le 15-10-2014 à 15:16:24
n°125139
akizan
Eye Sca Zi
Posté le 17-10-2014 à 13:25:25  profilanswer
 

Voila le résultat des derniers tests :
 

Code :
  1. PS C:\> Test-ComputerSecureChannel -repair
  2. Test-ComputerSecureChannel : Impossible de réinitialiser le mot de passe du
  3. canal de sécurité pour le compte de l'ordinateur dans le domaine. L'opération
  4. a échoué avec l'exception suivante: Échec d'ouverture de session: nom
  5. d'utilisateur inconnu ou mot de passe incorrect.
  6. .
  7. Au caractère Ligne:1 : 1
  8. + Test-ComputerSecureChannel -repair
  9. + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  10.     + CategoryInfo          : OperationStopped: (mamachine:String) [Test-Comp
  11.    uterSecureChannel], InvalidOperationException
  12.     + FullyQualifiedErrorId : FailToResetPasswordOnDomain,Microsoft.PowerShell
  13.    .Commands.TestComputerSecureChannelCommand


 

Code :
  1. C:\>nltest /server:mamachine /sc_verify:mondomaine.fr
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 

Code :
  1. C:\>nltest /server:mamachine /sc_query:mondomaine.fr
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 

Code :
  1. C:\>nltest /server:mamachine /dclist:mondomaine.fr
  2. Obtenez la liste des contrôleurs du domaine « mondomaine.fr » à partir de
  3. « \\Server1.mondomaine.fr ».
  4.     Server2.mondomaine.fr        [DS] Site : MonSite
  5.     Server1.mondomaine.fr [PDC]  [DS] Site : MonSite
  6.     Server3.mondomaine.fr        [DS] Site : MonSite
  7. La commande a été correctement exécutée


 

Code :
  1. C:\>nltest /server:mamachine /cdigest:MESSAGETOHASH /domain:mondomaine.fr
  2. L'obtention du RID d'approbation a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 

Code :
  1. C:\>nltest /server:mamachine /sc_reset:mondomaine.fr
  2. I_NetLogonControl a échoué : Status = 5 0x5 ERROR_ACCESS_DENIED


 
Les commandes ont été exécutées sur un PC du domaine avec un compte admin du domaine.
Je ne comprends pas pourquoi on se retrouve encore avec des ACCESS_DENIED...


Message édité par akizan le 17-10-2014 à 13:26:38
n°125227
Lgb94nb
Posté le 21-10-2014 à 00:35:20  profilanswer
 

Salut,

 

Tu as combien de DC ?

 

J'ai déjà eu un cas similaire avec un DC secondaire qui est resté éteint le temps des vacances alors que le principal continuait à tourner (histoire de Tombstone life)

 

Tu es sûr de l'heure, les dates sont synchro aussi j'imagine..?

n°125243
Dysnome
Posté le 21-10-2014 à 11:49:05  profilanswer
 

Est-ce que tu as des events 5719 ou 40960 dans EventLog > System ?

n°125244
akizan
Eye Sca Zi
Posté le 21-10-2014 à 12:56:12  profilanswer
 

3 DC, 2 physiques et 1 virtuel.
Ils sont up 24/24 7/7
 
Oui, au niveau de la synchro, y'a pas de soucis non plus.

n°126684
zeuth
Posté le 15-12-2014 à 15:38:21  profilanswer
 

J'ai un peu le même soucis en ce moment
 
Tu t'en es sortis comment akizan ?


---------------
Vente LBC : https://www.leboncoin.fr/profil/9dd [...] 2b4/offres
n°126862
akizan
Eye Sca Zi
Posté le 20-12-2014 à 14:23:11  profilanswer
 

on travaille dessus encore...
pour trouver la cause on fait des exports de l'objet ordinateur en état et après remise sur le domaine pour comparer les différences.
on fait également des traces réseaux :
1. on désactive la carte réseau
2. on lance une trace
3. on active la carte réseau
4. on regarde ce qui ce passe.
 
Bref, on cherche...

n°127043
akizan
Eye Sca Zi
Posté le 30-12-2014 à 09:41:35  profilanswer
 

et toi zeuth, tu en es où ?

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Poste de travail

  Vérification Client tjrs présent et correct par rapport à l'AD

 

Sujets relatifs
Fusion/migration serveurs AD 2003/2008Client pour serveur Lotus
Changement de nom de domaine ADMigration workgroup > AD (parc de 100 machines)
Dupliquer ou recupérer un AD sur windows server 2012Client VPN IPsec Cisco Windows 8
Changement de plage d'@ IP d'un domaine ADwin7 - avertissement changement de mot de passe AD
Gestionnaire Hyper-v 2012 avec client Sevenlinux comme client léger
Plus de sujets relatifs à : Vérification Client tjrs présent et correct par rapport à l'AD


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR