Problème Active Directory 2008 R2 - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 03-08-2012 à 15:49:14
Si tu fais un dnslint puis dcdiag puis netdiag, as tu des erreurs quelques part ?
Tu n'as sans soute pas surveiller la réplication des DC ?
Et le DC principale attend que la replication soit ok avant de répondre sur le réseau.
Vérifie si tu as des erreurs dans la réplication de fichier, service d'annuaire et système
Vérifie si tu as des erreurs du NTDS KCC 1311, 1566
ou 2087,2088,2042,13,88,1988
Avertissement 13565 ...
Marsh Posté le 03-08-2012 à 15:53:29
1) On ne virtualise pas des DC n'importe comment.
2) On ne clone pas des DC.
3) Quand tu dis que tu as remonté des domaines, tu as fait ça comment ? Ca se planifie un minimum. Tu peux décrire ton architecture ?
Bref ça pue là, j'ai comme l'impression que ton AD est sérieusement en vrac.
Marsh Posté le 03-08-2012 à 16:02:01
nebulios a écrit : 1) On ne virtualise pas des DC n'importe comment. |
Oui et je suis prêt à parier qu'il y a des erreurs depuis 1mois environ dans l'observateur d'evenement,
Je crois que c'est un moi la période max de non réplication des DC.
Marsh Posté le 03-08-2012 à 17:39:34
Déja merci pour les réponse rapide
Alors je vais lancer les test, mais avant je tenais a précisé, que l'ancien AD avais 3 ans.. il était déja virtualisé ... et il c'est mit a planté il y as quelques mois (6)...
Le week end dernier nous avons tout migrer sur un domaine tout neuf qui n'a rien a voire avec l'ancien.
Il était en test depuis 2 mois, et aucun soucis dans les réplicat, aucun soucis nul part en faite (pensant que les soucis venais des ESXi j'ai surveiller a mort.
Ce matin j'ai ajouté un poste qui n'avais pas été migrer encore , et 20 mnt plus tard le domaines se barrais en sucette... ticket keyrberos .... (Es ce possible que cela vienne d'une machine ???)
Pour le clone: ça me permet juste d'expérimenté des solutions dessus, il est dans un réseaux fermer. Car si je reboot mes AD, toute mes connexion entrante, VPN, remote APP tombe.. et j'ai vraiment pas envie de tenter ma chance
Je ne fais jamais de snaspshot des controleur, ni clones ...
Les deux AD sont configurer simplement. il font juste le role de DHCP en plus du DNS - AD
Donc les deux AD sont :
srvad1 : 192.168.4.1 dns : 192.168.4.2 - 192.168.4.1
srvad2 : 192.168.4.2 dns : 192.168.4.1 - 192.168.4.2
Ils sont tout les deux en W2K8 R2, les MAJ sont coupé pour évité qu'il reboot quand il le souhaite.
Ils ont la meme heure , synchro sur pool.ntp.org
Chaqu'un des AD est hebergé sur un ESXi différent.
voilà
Marsh Posté le 03-08-2012 à 17:54:16
Ça commence mal, tu as déjà tout faux
Configuration DNS -> la configuration par défaut est OK, ne pas y toucher (en premier : DNS de l'autre DC, puis localhost)
Mises à jour coupées -> Jamais, avec un paramétrage propre il n' a pas de reboot automatique
Même synchro sur pool.ntp.org -> ça ne fonctionnera jamais, seul le ePDC doit se synchroniser avec, pour les autres machines ne pas toucher à la configuration par défaut. Rien qu'avec ça ton AD est mort si cela persiste.
AD hébergés sur les ESXi -> vérifier que la synchro temporelle avec l'hôte est désactivée, et il est fortement conseillé de maintenir au moins un DC physique.
Donc là ce qu'il te faut, c'est faire appel à une autre source avec de solides compétences AD pour qu'il essaye de sauver ce qui peut l'être et remonter une architecture propre par la suite.
Marsh Posté le 03-08-2012 à 18:10:59
Pour les DNS c'est ce que je dit non ?
DC1 :
DNS 1 : DC 2
DNS 2 : lui meme
DC2 :
DNS 1 : DC 1
DNS 2 : lui même
Quand je dit coupé, je dit pas de reboot auto
Ok je look pour le PDC
Désolé si je ne suis pas super claire.. je ne suis pas un pro pour m'exprimer non plus
Oui la synchro est coupé sur les ESXi.
Pour ce qui est d'un DC physique, totalement d'accord avec toi! seul soucis, ma direction ne l'entend pas de cette oeil... donc c mort ici
Pour finir , ça va faire plus de 6 mois que j'attend mes formations à l'AD ...
Marsh Posté le 03-08-2012 à 18:14:48
IP et localhost (127.0.0.1) ce n'est pas tout à fait a même chose.
Identifie les porteurs des FSMO, corrige le problème de synchro de temps dans un premier temps, et regarde si cela s'arrange un minima.
Marsh Posté le 03-08-2012 à 18:26:46
phil255 a écrit : Si tu fais un dnslint puis dcdiag puis netdiag, as tu des erreurs quelques part ? |
Alors j'ai fais un dnslint /d
je ne connais pas du tout ce programme, donc si il faut plus de critere, je suis partant
ça me dit :
Citation : DNSLint will attempt to verify the DNS entries for: |
Déja ça pue
Dcdiag :
Citation : ......................... Le test DFSREvent |
Pour les réplications, elle fonctionnais jusqu'a hier soir
pour les erreurs NTDS je n'en ai pas. du moins pas encore ...
Marsh Posté le 03-08-2012 à 18:34:50
nebulios a écrit : IP et localhost (127.0.0.1) ce n'est pas tout à fait a même chose. |
Fait pour les DNS!
J'ai carrément viré la synchro de temps...
Pour les FSMO, en faisant un query fsmo, c'est toujours le DC1 le porteur, par contre le DC2 lui est en erreur ...
Marsh Posté le 03-08-2012 à 22:31:48
nebulios a écrit : Ça commence mal, tu as déjà tout faux |
Pour les DNS le premier serveur à l'install il est forcément son dns primaire vu que c'est le 1er, pour le 2 ème il a comme dns primaire le premier vu qu'il n'est pas encore installé. PAr contre une fois les 2 dc installés et la réplication correcte je ne comprends pas l’intérêt de croiser car quand on reboot un dc les requetes dns prennent plus de temps, il doit attendre le time out du premier avant de s'interroger lui même.
De même au démarrage chacun interroge d'abord l'autre qui n'a pas encore démarré. Même si Microsoft prend les
options cela ne me parait pas le plus judicieux.
Voir http://support.microsoft.com/kb/825036/fr
Maintenant il n'y a pas de lien avec le pb de départ.
+1 pour la synchro d'horloge , me pdc doit être synchronisé, les autres se synchronisent tout seul sur le PDC , il vaut mieu éviter la synchro sur l'hote ESX. Ce qui ne veut pas dire que l'on ne peut pas synchroniser l'ESX sur une source de temps.
Tu peux vérifier tes serveurs de temps avec w32tm en ligne de commande.
Marsh Posté le 03-08-2012 à 22:56:25
ça me dit :
Citation : DNSLint will attempt to verify the DNS entries for: |
Déja ça pue
Pour les réplications, elle fonctionnais jusqu'a hier soir
pour les erreurs NTDS je n'en ai pas. du moins pas encore ...
[/quotemsg]
dnslint c'est un des outils qu'il est recommandé d'utiliser après avoir mis en place tes DC pour vérifier que tout se passe bien sur technet par ex.
Fait voir un nslookup - ip_autre_serveur sur chaque serveur.
puis un netdiag sur les 2 serveurs.
A voir tes messages il y a un des DC le 1 dont le compte machine n'est pas valide et donc il n'y a plus de réplications.
Vraiment sur qu'il n'y a aucune erreur ou avertissement de réplication AD ou NTFRS ces derniers jours sur un des 2 serveurs.
Pour l'instant pas simple de donner une réponse mais j'ai l'impression que tu va devoir sacrifier un des 2 DC celui dont l'AD ne démarre pas, dans ce cas tu dois passer comme étant lui même son propre dns et purger tout les métadonnées AD, transférer les rôles FSMO s'ils ne les a pas et reconstruire le 2 ème.
Par contre pour faire ca il faut bien maitriser le nettoyage des métadonnées AD.
Juste petit oubli sur tes 2 DC au moins un des 2 est Catalogue global dans site et services ? Si oui ce serait mieu que ce soit le restant.
Marsh Posté le 03-08-2012 à 23:00:14
As essaye aussi un repadmin /showrepl sur les 2 pour voir si une erreur nous mettrait sur la piste.
Et fait aussi un net share sur les 2 serveurs , un des 2 n'as sans doute plus de partage netlogon et sysvol.
Marsh Posté le 03-08-2012 à 23:19:40
Pour info ce post ressemble à ton pb mais c'est en allemand :
http://social.technet.microsoft.co [...] 51f5bd157/
Il a la même erreur que toi sur le compte ordi est à fais un reset du mdp du compte du machine du DC depuis la procédure :
http://support.microsoft.com/kb/325850
Marsh Posté le 04-08-2012 à 11:41:54
Comment les DCs ont t-ils été montés ? (Clone?)
Le plus souvent les erreurs liées à KERBEROS sont principalement du à un conflit de noms, une duplication SID ou une mauvaise configuration DNS .
Mais vu les erreurs dans les logs je miserai sur une machine dupliquée et ajoutée au domaine avec le même SID local que le 1er DCs du domaine .
Marsh Posté le 04-08-2012 à 13:07:45
statoon54 a écrit : Comment les DCs ont t-ils été montés ? (Clone?) |
Il a l'air se dire ci dessus que les 2 dc ne sont pas des clones
En tout cas d'après les erreurs un des comptes machines des dc n est plus valide
Il faut le récupérer sinon il faut refaire
Marsh Posté le 04-08-2012 à 13:53:33
phil255 a écrit :
|
Le compte machine est le principal sur le domaine Kerberos , si le principal a été modifié c'est obligatoirement par une mauvaise manipulation sur le domaine.
Il n'y a pas 36 solutions dans ce cas , une machine avec le même nom ou SID a modifié le contexte . Pas étonnant donc que son DC ne répond plus.
D'où ma question sur sa manière de monter les DCs . En Espérant aussi que les clones qu'il a fait en privé n'ont jamais communiqué entre eux.
Marsh Posté le 04-08-2012 à 14:01:29
Récemment chez un gros, très gros infogéreur français, ils te livrent des VM windows 2008 R2 et utilisent Newsid (non compatible 2008/2008 R2 et non supporté par MS) pour resetter le SID des machines.
Heuresement que j'ai matté les event logs directement parce que ça fait pas bon ménage qd c'est le premier DC (vu que son SID devient le SID du domaine)
Marsh Posté le 04-08-2012 à 16:33:19
De toute façon il devrait s'en rendre compte si il a plusieurs erreurs dans les logs de type Netlogon , 5516 par exemple .
Mais vu que le test DCDiag échoue c'est déjà un bon indicateur , il y a de forte chance que ce soit du à une manipulation hasardeuse du à une méconnaissance complète du fonctionnement de Windows .
Marsh Posté le 04-08-2012 à 18:08:02
Je@nb a écrit : Récemment chez un gros, très gros infogéreur français, ils te livrent des VM windows 2008 R2 et utilisent Newsid (non compatible 2008/2008 R2 et non supporté par MS) pour resetter le SID des machines. |
Au secours
Marsh Posté le 04-08-2012 à 18:32:09
Le pire c'est que sur plein d'autres environnement de dev (et une de prod) ils avaient ce pb et s'étonnaient d'avoir plein d'erreurs sans comprendre pk ...
Marsh Posté le 04-08-2012 à 19:54:17
On a eu le cas de serveurs qui venaient avec un répertoire "Tools"...ledit répertoire contenant 3/4 de trucs inutiles/dangereux car déjà intégrés au système (en plus récent), et le dernier 1/4 des outils datant de NT4/3.5 qui faisaient planter les machines.
Ou plus récemment le gars du SI interne qui vient déployer les nouveaux pc un par un, avec un vieux Ghost tout pourri. C'est pas comme si on vendait de la création de master
Marsh Posté le 05-08-2012 à 23:57:15
nebulios a écrit : On a eu le cas de serveurs qui venaient avec un répertoire "Tools"...ledit répertoire contenant 3/4 de trucs inutiles/dangereux car déjà intégrés au système (en plus récent), et le dernier 1/4 des outils datant de NT4/3.5 qui faisaient planter les machines. |
Ca ne m'étonne pas ce genre de cas lol
Marsh Posté le 06-08-2012 à 09:52:50
Nslookup sur le premier serveur:
Citation : nslookup ip 192.168.4.3 |
Sur le second :
Citation : nslookup 192.168.4.2 |
pour la réplication ça me donne :
sur le premier DC :
Citation : Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine compl |
Sur le second :
Citation : Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine compl |
Pour le netdiag je fais comment ? comme sur 2008R2 il n'existe pas.. j'ai mit le CD du 2003 et installer les support tools, mais ça ne se lance pas non plus...
Et les serveur ne sont pas des clones, ce sont des installe propre.
Sinon en méssage d'erreur AD, désormais il y en as :
sur le premier :
Citation : Ceci représente le statut de réplication pour la partition d’annuaire suivante sur ce serveur d’annuaire. |
Citation : Le centre de distribution de clés ne trouve pas le certificat approprié pour les ouvertures de session par carte à puce ou le certificat KDC n’a pas pu être vérifié. L’ouverture de session par carte à puce peut ne pas fonctionner si ce problème n’est pas résolu. Pour corriger ce problème, vérifiez le certificat KDC existant en utilisant certutil.exe ou inscrivez-vous pour un nouveau certificat KDC. |
sur le second :
Citation : Ce service d’annuaire n’a pas pu récupérer les modifications demandées pour la partition d’annuaire suivante. En conséquence, il n’a pas pu envoyer les demandes de modification au service d’annuaire à l’adresse réseau suivante. |
Citation : Le serveur distant qui est le propriétaire d’un rôle FSMO ne répond pas. Ce serveur n’a pas effectué récemment de réplication avec le propriétaire du rôle FSMO. |
Citation : L’inscription dynamique de l’enregistrement DNS ’83de06a4-1fe9-4120-bee7-d07d8d4b530d._msdcs.ice.local. 600 IN CNAME srvad2nti.ice.local.’ a échoué sur le serveur DNS suivant : |
Pour finir le proprio des regles et le premier.
Les deux serveur sont CG, mais le premier est référent.
voilà
Marsh Posté le 06-08-2012 à 10:17:06
Bon j'ai finalement vérifié les SID... et ils sont identique... euuu là je pige pas ...
soit je suis fou, soit je suis con ou les deux
Mais je suis sur d'avoir fait une installe propre ...
Heu dans ce cas là , comment faire ? je me doute qu'on peux pas changer un SID comme ça ...
Marsh Posté le 06-08-2012 à 10:27:03
Encore plus fou !!!
J'ai laissé mes vieux controleurs de domaine tourné pour des raisons plus particuliere...
donc il y as un virtuel, et un physique.
et la suprise ... les SID sont identique... hmmmm
une idée ?
Edit :
Ha mais en faite c'est normal : http://social.technet.microsoft.co [...] e33cb0dbb/
Marsh Posté le 06-08-2012 à 10:44:05
austin-pourri a écrit : Nslookup sur le premier serveur: |
Mais arrête le carnage là, tu n'as pas besoin de te créer des problèmes supplémentaires je pense
Marsh Posté le 06-08-2012 à 10:56:02
austin-pourri a écrit : Encore plus fou !!! |
Laisse tomber Netdiag, plus d'interet si on sait que les SID sont dupliqués, mais je ne comprend pas quand tu me dit que jusque la tu n'avais pas d'errreur de réplication.
Tu dois condaner le DC qui ne démarre plus correctement, purger tout l'AD , déplacer les rôles FSMO sur le 2 ème, purger toutes les zones DNS, le SOA , la réplication etc, et te déboruiller pour avoir un DC unique qui fonctionne.
Si tu y arrive , tu refais un nouveau DC mais proprement puis tu le mets en 2ème DC. et tu surveille l'état de l'AD.
(attention que tes options DHCP soit cohérentes).
Vérification dcpromo
http://technet.microsoft.com/fr-fr [...] s.10).aspx
Marsh Posté le 06-08-2012 à 10:57:54
austin-pourri a écrit : Bon j'ai finalement vérifié les SID... et ils sont identique... euuu là je pige pas ... |
Tu as du faire un master et pas de sysprep generalyze (pas coché par défaut je crois sur 2008).
Marsh Posté le 10-08-2012 à 13:19:33
Bon... j'ai refait l'AD 1
lors du dcpromo je me suis rendu compte d'un "bug"
lorsqu'il recherche les parametre DNS ça à mit une plombe, alors que mes clones qui se trouvaient sur le meme ESXi la même opération a duré quelque seconde!
Du coup j'ai déplacé mon AD1 sur le meme esxi que l'AD2 ... et pouf la config est beaucoup plus rapide !
Bon je check tous les jours depuis mardi que tout fonctionne bien, mais je pense que j'ai un ESXi qui chie dans la colle. (pourquoi je ne sais pas encore, mais je vais trouvé)
Voilà
Merci pour cette aide en tout cas !
Marsh Posté le 03-08-2012 à 15:01:34
Bonjour,
Pour vous expliquer la situation le plus clairement possible...
Alors il y as quelques mois nous rencontrions l'erreur 4004, ainsi que les erreurs suivante : 4000 - 4007
Les services DNS devant inaccéssible, entrainant l'AD la réplication ....
Du coup j'ai pris l'initiative de monter un nouveau domaines, qui n'avait pas un historique bancale...
après un peu plus d'un mois d'activité, les mêmes erreurs sont de retour ! Je ne vous cache pas mon humeur et desespoire ...
Alors ce matin j'ai juste ajouté un PC a l'AD et pouf plus d'AD ... j'ai les message :
group policy indisponible (1006)
Échec du traitement de la stratégie de groupe. Windows n’a pas pu s’authentifier auprès du service Active Directory d’un contrôleur de domaine. (Échec de l’appel de fonction de liaison LDAP). Consultez l’onglet des détails pour plus d’informations sur le code d’erreur et la description.
et Security-Kerberos (4)
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur srvad1nti$. Le nom cible utilisé était LDAP/srvad1nti.ice.local/ICE. Cela indique que le serveur cible n’a pas réussi à déchiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte différent de celui utilisé par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilisé par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffère par rapport à celui que possède le centre de distribution de clés Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de clés Kerberos sont tous deux mis à jour pour utiliser le mot de passe actuel. Si le nom de serveur n’est pas pleinement qualifié, et que le domaine cible (ICE.LOCAL) diffère du domaine client (ICE.LOCAL), vérifiez s’il existe des comptes de serveur de même nom dans ces deux domaines, ou utilisez le nom pleinement qualifié pour identifier le serveur.
Ses erreur remonte regulierement. Certains poste en TSE sont devenu innaccéssible (accès refusé lors du logon),
le dossier netlogon est indisponible sur le controleur principal, et fonctionne sur le secondaire.
Dans les enregistrement DNS du premier controleur, je ne peux pas supprimer le moindre enregistrement... accès refusé. Sur le second j'ai la possibilité de le faire.
Nous utilisons des controleurs de domains virtuelle sur Vmware ESXi5
par ailleur, je n'ai pas encore redémarrer mes controleurs, ce qui explique que j'ai encore la vue sur le DNS. si jamais je devais les reboot, je perdrais l'accès a celui ci (j'ai effectuer un clone des controleur et ma théori c'est mise en pratique.)
Je reçois également l'erreur ADWS : 1206
Les services Web Active Directory n’ont pas pu déterminer si l’ordinateur est un serveur de catalogue global.
Pour l'instant je compte effectuer les manipulations sur mes clones de domaines... je suis ouvert à toutes proposition !
Bien cordialement,