2003 Server, perte des droits admins sur sysvol après MAJ WU [RESOLU]

2003 Server, perte des droits admins sur sysvol après MAJ WU [RESOLU] - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 29-07-2010 à 01:02:44    

Bonjour, au spécialistes 2003 server R2.
Je viens d'installer le sp2 sur un serveur 2003 R2.
L'installation du SP2 s'est bien passée apparemment, mais à postériori, j'ai découvert que l'administrateur du domaine a perdu les accès aux partages du réseau, y compris les doits de connexions aux périphériques (NAS par exemple).
Pour être plus explicite, si je me logie en tant qu'administrateur du domaine sur une machine (ici des Windows XP), je ne peux acceder à aucune des ressources réseau. Par contre les utilisateurs accèdent toujours au serveur (y compris un compte administrateur délégué).
Par contre l'administrateur peut toujours acceder au serveur du domaine, et se loguer sur les postes de travail, donc le compte est actif.
Quelqu'un a t'il eu déjà ce problème et quelles solutions a t'il trouvé.
J'ai fait des recherches sur Google et dans les faqs du forum, mais ne sachant comment exprimer la question de manière synthétique, les résultats trouvés ne correspondent pas à ce que je recherche.
Toute idée censée est la bienvenue.
Par avance merci à tous, Black


Message édité par Blacklist55 le 10-08-2010 à 09:13:07
Reply

Marsh Posté le 29-07-2010 à 01:02:44   

Reply

Marsh Posté le 29-07-2010 à 14:08:44    

Houlà ça craint ...
Posons la question différemment :
Quelqu'un sait il comment recréer le compte adminitrateur du domaine "from scratch", celui ci étant à l'évidence HS et sans que la manip necessite 10 ans d'études universitaires?
Le problème peut il venir de AD, abimé lors de l'installation du SP2 ?
Si oui, basé sur votre expérience, quelle serait la ou les manips les plus rentables et performantes pour restaurer un AD, sans pour autant desinstaller le SP2 de 2003 server.
Par avance merci. Black

Reply

Marsh Posté le 29-07-2010 à 14:30:45    

recréer le compte admin ? non pas possible.
 
après le sp2 il modifie pas l'AD hein

Reply

Marsh Posté le 29-07-2010 à 15:06:51    

Ok pour le compte Administrateur ... Dommage !
Qu'est ce qui est susceptible d'avoir affecté le compte Admin du domaine pour lui interdire l'accès aux partages "réseau" depuis les postes de travail et l'accès au Nas depuis n'importe laquelle des machines et ce, après application du SP2 ?
Il y a clairement un lien de cause à effet, avant le problème n'existait pas.
 

Reply

Marsh Posté le 29-07-2010 à 15:12:55    

Ce n'est pas sur ton Nas que tu as appliqué le SP2 ?
Il y a quoi comme droit actuellement sur un de tes partages qui te pose problème en admin?


Message édité par boobaka le 29-07-2010 à 15:13:40

---------------
www.google.fr  
Reply

Marsh Posté le 29-07-2010 à 15:28:47    

Cool, le SP2 sur le NAS, on ne ma l'avait pas encore faite celle là.
Simplement, les scripts de connexion des lecteurs s'executent, sans générer de message d'erreur, mais les lecteurs ne sont pas mappés. Pas de possibilité de naviguer à travers les favoris réseaux (windows rale), pas de possibilité de se connecter au NAS (qui est intégré au Domaine), d'ou pas de sauvegardes intermédiaires, pas d'accès aux dossiers publics (open). dans le même temps, les utilisateurs du domaine, y compris l'administrateur bis accèdent à toutes ces ressources.
Prise de tête.  

Reply

Marsh Posté le 29-07-2010 à 15:31:08    

Blacklist55 a écrit :

Cool, le SP2 sur le NAS, on ne ma l'avait pas encore faite celle là.

 


 

Parce que ton nas ne peut pas être en 2003 storage?

 

Quant au reste, si tu essaies de mapper à la main, ca donne quoi? Quelle erreur dans le journal d'evenement ?

 


Message édité par boobaka le 29-07-2010 à 15:41:20

---------------
www.google.fr  
Reply

Marsh Posté le 29-07-2010 à 16:17:30    

Effectivement mais tous mes NAS sont en Linux, tu ne pouvais pas le deviner.
Pour les accès et mappage, il me répond que je ne suis pas autorisé à faire l'opération. Ce qui forcement fait penser à un pb de droit, mais, pourquoi le pb n'apparait qu'après l'application du SP2.
Pour en mettre une couche supplémentaire tous les liens SMBs vers les photocopieurs sont tombés, un utilisateurs étant créé specifiquement, la maladie de l'Administrateur ne devrait pas l'impacter.

Reply

Marsh Posté le 29-07-2010 à 16:17:59    

PS, mais réponses seront plus longues à venir , je suis en clientele en ce moment.

Reply

Marsh Posté le 29-07-2010 à 21:37:02    

En fait, je me demande si l'installation du SP2, n'a pas pas impacté les règles de sécurité et plus précisement les droits de mes utilisateurs.  
Peut être que mon AD était déjà un peu foireux.
Comment savoir ?  
En attendant, je vais lancer une batterie de tests sur le serveur.
Mais j'espère que vous avez des idées géniales qui pourraient me sortir de ce très mauvais pas sans être obligé de passer par un DCPROMO qui me semble de plus en plus la seule alternative.  
Quelle pagaille !

Reply

Marsh Posté le 29-07-2010 à 21:37:02   

Reply

Marsh Posté le 29-07-2010 à 22:17:58    

Je continue à vous donner des éléments.
Des erreurs dans le journal des evenements DNS appaissent.
En voici un exemple, celà vous parle t'il ?
-------------------------------------------------------
Erreur 4004
Le serveur DNS n'a pas pu terminer l'énumération du service d'annuaire de la  zone MAIRIE.local. Ce serveur DNS est configuré pour utiliser les informations à partir  de Active Directory pour cette zone et il ne peut pas charger la zone sans  celles-ci. Vérifiez que Active Directory fonctionne correctement et répétez  l'énumération de la zone. L'information de débogage d'erreur étendue (qui peut être vide) est "". Les données d'événement contiennent l'erreur.
-------------------------------------------------------------
Question idiote : comment verifier qu'AD fonctionne correctement ?
 
Ben oui, on ne peut pas tout savoir ...
 
Mais je suis là pour apprendre !
 
Merci, Black

Reply

Marsh Posté le 29-07-2010 à 22:41:34    

Autre resultat : synthèse de la commande DCDIAG
----------------------------------------------------------------
         Summary of DNS test results:
         
                                            Auth Basc Forw Del  Dyn  RReg Ext  
               ________________________________________________________________
            Domain: MAIRIE.local
               srvmairie                    FAIL PASS FAIL PASS PASS PASS n/a  
         
         ......................... MAIRIE.local failed test DNS
-------------------------------------------------------------
 
Des idées ?

Reply

Marsh Posté le 29-07-2010 à 23:36:11    

message d'erreur?
journal des évènements?
sur le poste et sur le CD

Reply

Marsh Posté le 29-07-2010 à 23:38:59    

Reply

Marsh Posté le 30-07-2010 à 07:11:41    

Idée a la con.... Le sp2 ne t'a pas activé le fw par défaut... Essaies d'un client quelconque un nslookup sur ton dns..
Combien de dns et de dc sur ce réseau?


---------------
www.google.fr  
Reply

Marsh Posté le 30-07-2010 à 08:27:42    

Le Firewall est désactivé, je l'avais verifié.
Le nslookup est ok, avec nom du serveur.domaine et adresse IP corrects.
Les tests du DNS sont OK La requete simple et recursive reviennent correctes.
Dans le journal d'erreur, en dehors des erreurs à la date de l'application du SP2 (voir plus haut), il n'y a plus d'autres anomalies. Le service DNS est bien démarré, et semble se comporter normalement.
Merci pour l'article, je le potasse.
Une autre idée. Si on part du postulat que SP2 renforce la sécurité dans le Domaine en corigeant des bugs et apportant de nouvelles fonctionnalités, on peut facilement imaginer que la "politique de sécurité" s'est renforcée.
Mon serveur a été installé en mode non compatible 2000 et en dessous.
Je sais qu'il existe une manip dans la base de registe pour modifier ce paramètre. Ceci me permettrais probablement de me reconnecter au NAS et à l'un des photocopieurs qui ne fonctionne qu'en SMB et qui n'arrive plus à contacter le serveur. Là encore, je cale, car je ne vois pas comment poser la question sur google, mais je sais que celà existe car un technicien de Konika m'avait parlé de cette op pour résoudre un pb récurrent de connexion de leur copieurs dans les domaines Microsoft.

Reply

Marsh Posté le 30-07-2010 à 09:42:51    

J'ai suivi la procédure Microsoft.
Voici les erreurs retournées par DCDIAG /FIX qui correspondent à mon pb de navigation dans le réseau sur le compte administrateur.
-------------------------------------------------------------------------
Starting test: NetLogons
         [SRVMAIRIE] An net use or LsaPolicy operation failed with error 1203, Aucun logiciel r‚seau n'a accept‚ le chemin r‚seau fourni..
         ......................... SRVMAIRIE failed test NetLogons
 
Starting test: MachineAccount
         Could not open pipe with [SRVMAIRIE]:failed with 1203: Aucun logiciel r‚seau n'a accept‚ le chemin r‚seau fourni.
         Could not get NetBIOSDomainName
         Failed can not test for HOST SPN
         Failed can not test for HOST SPN
         * Missing SPN :(null)
         * Missing SPN :(null)
         ......................... SRVMAIRIE failed test MachineAccount
      Starting test: Services
         Could not open Remote ipc to [SRVMAIRIE]:failed with 1203: Aucun logiciel r‚seau n'a accept‚ le chemin r‚seau fourni.
         ......................... SRVMAIRIE failed test Services
 
Je fais des recherches de mon coté, et vous, des idées ?

Reply

Marsh Posté le 30-07-2010 à 10:37:48    

Autres infos :
Le dossier NETLOGON bien que visible n'est pas accessible aux administrateurs du Domaine

Reply

Marsh Posté le 30-07-2010 à 11:54:15    

On continue dans les trucs fous.
L'administrateur du domaine (administrateur local du serveur) n'accède plus à aucun des objets en relation avec le chemin réseau par exemple, il ne m'est plus possible de visualiser les strategies appliquées au domaine et de les modifier (message d'erreur : le chemin réseau demandé n'existe pas).
J'ai suivi la procédure ci contre :
http://support.microsoft.com/kb/839499
Mais je ne suis toujours pas capable de me connecter à SYSVOL.
Mais lors du login sur une station de travail, les scripts contenus dans sysvol s'execute, mais l'accès à \\serveur\netlogon est refusé.
Lorsque j'utilise l'outils NETSCAN.EXE de Softperfect, en tant qu'administrateur, je ne vois aucun des partages définis sur le serveur alors que ces derniers sont mappés et accessible.
J'y perds mon latin, mon français et mon anglais aussi.
Au Secours !

Reply

Marsh Posté le 30-07-2010 à 11:58:47    

Blacklist55 a écrit :

L'administrateur du domaine (administrateur local du serveur)


Tu veux dire quoi par administrateur local du serveur ..
Si c'est sur ton DC point de compte local ..


---------------
www.google.fr  
Reply

Marsh Posté le 30-07-2010 à 11:59:04    

les gpo étant stockées dans le sysvol c'est normal de pas avoir accès si tu as pas accès au sysvol.
 
Il y a bien un pb qq part, tu as déjà tenté de redémarrer ton dc j'imagine, relancer les services netlogon, dns, serveur, faire un ipconfig /registerdns, vérifier l'enregistrement des SPN (liste les avec setspn)
 
faire un whoami /groups avec le compte admin

Reply

Marsh Posté le 30-07-2010 à 12:10:38    

J'y vais

Reply

Marsh Posté le 30-07-2010 à 12:20:20    

Réponse Whoami /all
*****************
 
Informations de groupe
----------------------
 
Nom du groupe                                            Type              SID                                            Attributs                                                                    
======================================================== ================= ============================================== ============================================================================
Tout le monde                                            Groupe bien connu S-1-1-0                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\ORA_DBA                                           Alias             S-1-5-21-3043215331-3557083137-1668018094-1133 Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
BUILTIN\Administrateurs                                  Alias             S-1-5-32-544                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚, Propri‚taire du groupe
BUILTIN\Utilisateurs                                     Alias             S-1-5-32-545                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
BUILTIN\AccŠs compatible pr‚-Windows 2000                Alias             S-1-5-32-554                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\INTERACTIF                                   Groupe bien connu S-1-5-4                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\Utilisateurs authentifi‚s                    Groupe bien connu S-1-5-11                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\Cette organisation                           Groupe bien connu S-1-5-15                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
LOCAL                                                    Groupe bien connu S-1-2-0                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Admins du domaine                                 Groupe            S-1-5-21-3043215331-3557083137-1668018094-512  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Administrateurs du sch‚ma                         Groupe            S-1-5-21-3043215331-3557083137-1668018094-518  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Propri‚taires cr‚ateurs de la strat‚gie de groupe Groupe            S-1-5-21-3043215331-3557083137-1668018094-520  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Administrateurs de l'entreprise                   Groupe            S-1-5-21-3043215331-3557083137-1668018094-519  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\ORA_DBA                                           Alias             S-1-5-21-3043215331-3557083137-1668018094-1133 Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚      
-------------------------------------------------                  
mairie\administrateur
-------------------------------------------------
 
Informations Utilisateur
------------------------
 
Nom d'utilisateur     SID                                          
===================== =============================================
mairie\administrateur S-1-5-21-3043215331-3557083137-1668018094-500
 
 
Informations de groupe
----------------------
 
Nom du groupe                                            Type              SID                                            Attributs                                                                    
======================================================== ================= ============================================== ============================================================================
Tout le monde                                            Groupe bien connu S-1-1-0                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\ORA_DBA                                           Alias             S-1-5-21-3043215331-3557083137-1668018094-1133 Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
BUILTIN\Administrateurs                                  Alias             S-1-5-32-544                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚, Propri‚taire du groupe
BUILTIN\Utilisateurs                                     Alias             S-1-5-32-545                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
BUILTIN\AccŠs compatible pr‚-Windows 2000                Alias             S-1-5-32-554                                   Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\INTERACTIF                                   Groupe bien connu S-1-5-4                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\Utilisateurs authentifi‚s                    Groupe bien connu S-1-5-11                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
AUTORITE NT\Cette organisation                           Groupe bien connu S-1-5-15                                       Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
LOCAL                                                    Groupe bien connu S-1-2-0                                        Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Admins du domaine                                 Groupe            S-1-5-21-3043215331-3557083137-1668018094-512  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Administrateurs du sch‚ma                         Groupe            S-1-5-21-3043215331-3557083137-1668018094-518  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Propri‚taires cr‚ateurs de la strat‚gie de groupe Groupe            S-1-5-21-3043215331-3557083137-1668018094-520  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\Administrateurs de l'entreprise                   Groupe            S-1-5-21-3043215331-3557083137-1668018094-519  Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
MAIRIE\ORA_DBA                                           Alias             S-1-5-21-3043215331-3557083137-1668018094-1133 Groupe obligatoire, Activ‚ par d‚faut, Groupe activ‚                        
 
 
Informations de privilŠges----------------------
 
Nom de privilŠge                Description                                                                                 tat      
=============================== =========================================================================================== =========
SeAssignPrimaryTokenPrivilege   Remplacer un jeton niveau de processus                                                      D‚sactiv‚
SeIncreaseQuotaPrivilege        Changer les quotas de m‚moire d'un processus                                                D‚sactiv‚
SeChangeNotifyPrivilege         Outrepasser le contr“le de d‚filement                                                       Activ‚    
SeSecurityPrivilege             G‚rer le journal d'audit et de s‚curit‚                                                     D‚sactiv‚
SeBackupPrivilege               Sauvegarder des fichiers et des r‚pertoires                                                 D‚sactiv‚
SeRestorePrivilege              Restaurer des fichiers et des r‚pertoires                                                   D‚sactiv‚
SeSystemtimePrivilege           Modifier l'heure systŠme                                                                    D‚sactiv‚
SeShutdownPrivilege             Arrˆter le systŠme                                                                          D‚sactiv‚
SeRemoteShutdownPrivilege       Forcer l'arrˆt … partir d'un systŠme distant                                                D‚sactiv‚
SeTakeOwnershipPrivilege        Prendre possession des fichiers ou d'autres objets                                          D‚sactiv‚
SeDebugPrivilege                D‚boguer des programmes                                                                     D‚sactiv‚
SeSystemEnvironmentPrivilege    Modifier les valeurs d'env. de microprogrammation                                           D‚sactiv‚
SeSystemProfilePrivilege        Optimiser les performances systŠme                                                          D‚sactiv‚
SeProfileSingleProcessPrivilege Optimiser un processus unique                                                               D‚sactiv‚
SeIncreaseBasePriorityPrivilege Augmenter la priorit‚ de planification                                                      D‚sactiv‚
SeLoadDriverPrivilege           Charger et d‚charger des pilotes de p‚riph‚riques                                           D‚sactiv‚
SeCreatePagefilePrivilege       Cr‚er un fichier d'‚change                                                                  D‚sactiv‚
SeUndockPrivilege               Retirer l'ordinateur de la station d'accueil                                                D‚sactiv‚
SeManageVolumePrivilege         Effectuer des tƒches de maintenance de volume                                               D‚sactiv‚
SeImpersonatePrivilege          Emprunter l'identit‚ d'un client aprŠs l'authentification                                   Activ‚    
SeCreateGlobalPrivilege         Cr‚er des objets globaux                                                                    Activ‚    
SeEnableDelegationPrivilege     Autoriser que l'on fasse confiance aux comptes ordinateur et utilisateur pour la d‚l‚gation D‚sactiv‚
SeMachineAccountPrivilege       Ajouter des stations de travail au domaine                                                  D‚sactiv‚
 
************************
Je vois plusieurs choses désactivées, est ce bien normal ...
Je fais un test croisé avec un autre serveur

Reply

Marsh Posté le 30-07-2010 à 12:24:55    

Resultat de setspn
************************
Registered ServicePrincipalNames for CN=SRVMAIRIE,OU=Domain Controllers,DC=MAIRIE,DC=local:
    NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srvmairie.MAIRIE.local
    ldap/srvmairie.MAIRIE.local/ForestDnsZones.MAIRIE.local
    GC/srvmairie.MAIRIE.local/MAIRIE.local
    HOST/srvmairie.MAIRIE.local/MAIRIE
    HOST/SRVMAIRIE
    HOST/srvmairie.MAIRIE.local
    HOST/srvmairie.MAIRIE.local/MAIRIE.local
    E3514235-4B06-11D1-AB04-00C04FC2DCD2/1279d6c1-ea06-407f-8713-64f6b6fff25d/MAIRIE.local
    ldap/1279d6c1-ea06-407f-8713-64f6b6fff25d._msdcs.MAIRIE.local
    ldap/srvmairie.MAIRIE.local/MAIRIE
    ldap/SRVMAIRIE
    ldap/srvmairie.MAIRIE.local
    ldap/srvmairie.MAIRIE.local/DomainDnsZones.MAIRIE.local
    ldap/srvmairie.MAIRIE.local/MAIRIE.local
    DNS/srvmairie.MAIRIE.local
 
***********************************
J'ai effectivement utilisé les autres commandes, arreter et redemarré les divers services (serveur, station de travail, netlogon, DNS), j'ai également flushé et réenregistré les DNS

Reply

Marsh Posté le 30-07-2010 à 12:35:58    

Le test croisé avec un autre serveur qui fonctionne correctement lui donne le même resultat pour la requete Whoami

Reply

Marsh Posté le 30-07-2010 à 18:09:34    

Up
Je suis de retour

Reply

Marsh Posté le 02-08-2010 à 22:18:17    

Up
Ben alors.
C'est si grave que mon problème n'inspire personne.

Reply

Marsh Posté le 03-08-2010 à 09:51:05    

au pire contact MS, l'intervention est d'environ 300€ HTVA si mes souvenirs sont bon. C'est un forfait.

Reply

Marsh Posté le 03-08-2010 à 10:53:47    

Sans vouloir médire, chaque fois que je les ai contacté, je me suis retrouvé face à des réponses du genre "faut reformater", "faut tout recommencer", etc, etc.
Je ne suis pas là pour polémiquer. Si je pensais avoir une chancede réponse, je l'aurais déjà fait, comme je le fais avec d'autres partenaires.
Ceci étant je te remercie pour ta réponse, elle est censée.
Comme d'habitude, je suis tombé sur une rareté semble t'il, il faut savoir que je les collectionne, et que je trouve trsè rarement des réponses dans les forums. Deplus c'est suffisamment tordu, pour que la question permettant de trouver une eventuelle réponse pertinente via les moteurs de recherche, soit très difficile à synthétiser.
Pour l'instant, la seule solution que je vois est de faire un DCPromo pour dégrader puis reconstruire le Domaine. C'est un serveur en prod, il n'est pas question de récuperer AD, convaincu que je suis que le problème vient de là, donc c'est du boulot ++++ pour retourner en prod à l'identique.
Quant à moi, je suis persuadé que la solution est archi simple, mais qu'un truc nous a échappé.
Dans tous les cas, ce qui me perturbe le plus, c'est le fait de ne pas pourvoir acceder à Sysvol au travers du réseau que ce soit via le voisinage réseau sur le serveur ou depuis les postes de travail. De plus la perte des liens SMB me gène +++, mais ça je l'ai déjà vu avec 2003 server R2 SP2, donc probablement aucun lien avec la choucroute.
C'est un pur problème de droits.j'en suis persuadé. La question est de savoir comment les réinitialiser à leur valeur par défaut.
J'ai bien envisagé de réinstallé le sp2, mais je n'y crois pas trop et j'ai peur que le remède soit pire que le mal.
 

Reply

Marsh Posté le 03-08-2010 à 14:34:52    

Et au niveau backup ?

Reply

Marsh Posté le 03-08-2010 à 15:41:23    

Important à tous,
 je viens de me rendre compte que sur un serveur 2003 Standard sur lequel nous avions déjà les SP2, mais pour lequel nous avons fait un Windows Update cette nuit, nous avons exactement le même problème de perte des droits administrateurs sur le dossier sysvol, les couches réseau et outils du domaine. Celà signifie qu'une mise à jour de Microsoft fait planter nos serveurs.  
Espérons que Microsoft nous propose un correctif très rapidement.  
A faire passer, à tous ceux qui peuvent être concernés.
En attendant, je suis toujours à la recherche d'une solution pour dépanner mes serveurs
Amicalement Black.

Reply

Marsh Posté le 04-08-2010 à 15:16:16    

Information importante.
J'ai installé un serveur 2003 std R2 sur une VM.
Dans un premier temps, j'ai fait les updates par blocs de 10, puis les derniers 1 par 1.
Pas de problème sur le compte admin, jusqu'au bout tout fonctionne et on garde les droits administrateur sur tous les objets.
Dans un second temps, sur la base de l'installation source, j'ai fait toutes les mises à jours en une seule fois, les obligatoires, comme les facutatives (à l'exception d'IE8).
Les symptomes décrits dans le post apparaissent à ce moment et l'administrateur perd ses prérogatives.
Il y a donc bien un bug dans les mises à jours Windows Update.
Attention donc à tous les administrateurs et partenaires, la manoeuvre est critique, pour l'instant.
Espérons que Microsoft nous propose un correctif asap.
 
Je suis toujours preneur de toute bonne idée.
 
Par avance merci.

Reply

Marsh Posté le 04-08-2010 à 17:59:30    

si c'est de la faute à MS et que tu ouvres un incident tu paies pas :o

Reply

Marsh Posté le 04-08-2010 à 18:06:37    

Je te remercie.
Payer ne me gène pas dès lors qu'il y a fourniture de service.
Ta démarche me semble judicieuse.
Un nro de telephone pour les contacter ou un lien internet vers l'assistance ?
Par avance merci

Reply

Marsh Posté le 04-08-2010 à 18:17:10    

Nop on passe en général pas les TAM des clients qd il faut ouvrir un incident.
 
Le support standard je connais pas.

Reply

Marsh Posté le 04-08-2010 à 18:23:35    

Merci, je vais essayer de me debrouiller.
En attendant, 2 infos.
Dès que je trouverai la solution, je reviendrai vers vous, pour vous la donner.
J'ai posté une demande identique sur le forum Technet, pour l'instant, ils calent également, mais on ne sait jamais.
De mon coté, je vais faire les test à l'envers sur ma VM, histoire de voir.
En tout cas, merci pour ta participation.
Amicalement, Black

Reply

Marsh Posté le 04-08-2010 à 19:53:58    

Si tu te logues sur la machine avec un compte non admin tu as accès à tout c'est ça ?
 
En admin à rien et ça que localement ?

Reply

Marsh Posté le 04-08-2010 à 20:30:11    

Pour être plus précis.
Sur le serveur, lorsque je me logue en admin, j'accède au dossier sysvol via le poste de travail, par contre dès que je tente de me connecter au même dossiier via le partage réseau (\\serveur\netlogon ou \\ip\netlogon) je reçois un message de refus, je n'ai pas les autorisations pour acceder à cette resssource réseau. Du coup tous les outils d'administrations utilisant une connexion via le reseau sont inopérants.
Si je me connecte comme administrateur depuis un poste de travail du domaine, en tant qu'admin du domaine, il y a les mêmes symtômes. Par contre les utilisateurs non administrateurs du domaine se connectent normalement au domaine, accèdent à netlogon, ce qui permet aux scripts de s'executer. Ils administrent localement leur machine sans problème. Bref celà ne concerne que les comptes administrateurs du domaine.
Suis je assez clair.
Si tu regardes les rapports dcdiag, tu verra les messages d'erreurs concernant la connexion aux ressources reseau du domaine qui sont indisponibles.
Comme dit cette erreur est reproductible puisqu'elle concerne dans l'état actuel 3 serveur (2 en prod et 1 sur une machine virtuelle de test (j'ai fait ça cette nuit quasiment jusqu'à 2h)).

Reply

Marsh Posté le 04-08-2010 à 20:31:45    

Au fait connais tu un moyen d'automatiser la désintallation des mises à jours installées, car je voudrais tester un retour en arrière, et voir si celà normalise la situation (bien que j'en doute).

Reply

Marsh Posté le 04-08-2010 à 20:44:28    

tu dis avoir un probleme d'accès a des ressources partagées (dont sysvol). Qu'as tu dans les autorisations de partage et les securités ntfs ? n'aurais tu pas un SID utilisateurs qui n'existe pas ou plus ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed