Problème synchro mot de passe sur Active directory - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 14-10-2008 à 11:02:24
j'ai un peu le meme soucis chez moi avec internet (le proxy utilise l'authentification nt)....
cela ressemble a un pb de replication.... en fait quand je reset un mot de passe via le DC1, il se peut que le proxy du client lui interroge le DC2.... si cela n'est pas repliqué a temps, ça verrouille le compte (apres 3 essais).
regarde le temps de replication.... et demande apres un reset d'attendre qq minutes aux utilisateurs....
tu peux aussi chercher sur le net cet excellent tool => LockoutStatus.exe
je pars sur cette piste mais c'est peut etre autre chose.....
Marsh Posté le 14-10-2008 à 11:17:13
En effet j'ai matté le temps de réplication est à 5 minutes entre contrôleurs de domaines
après j'ai cet outils mais je n'ai pas regardé les logs, en fait je suis persuadé comme toi que c'est un problème de réplication mais comment résoudre ce soucis sans dire à l'utilisateur d'attendre 5 minutes
A moins de modifier le délai de répli à 1 minute
Je sais pas
Marsh Posté le 14-10-2008 à 11:36:55
chez nous je crois qu'on a mis 2mn.....
ps : les DC sont les seuls serveurs ou j'ai pas la main... c'est géré au niveau corp
Marsh Posté le 14-10-2008 à 23:37:29
Je veux pas dire de conneries mais il me semble que la réplication des mdp est instantannée (qd tu changes ton mdp, il est directement transmis au PDC emulator, qd tu accèdes à une ressource demandant le mdp, si il est en cache tant mieux, sinon, il va demander au pdc emulator de vérifier si le mdp a été changé et alors le répliquer sur demande). Faudrait regarder en profondeur ces histoires. Il y a les docs sur le net.
Pour moi ton pb de mdp, c'est plus du style :
- tu changes ton mdp
- une appli va envoyer une demande d'auth mais avec ton ancien mdp
- ça va échouer, ça va réessayer en boucle jusqu'à lockage
- l'appli va te demander ton mdp
- tu entres le nouveau
- pdt ce temps tu déblock le compte
- ça marche
Marsh Posté le 15-10-2008 à 15:29:49
sur mon AD ou j'ai pas mal de DC qui se repliquent, quand je fais un audit (via LockoutStatus.exe) apres un reset je vois le status qui passe de "locked" en "not locked" sur les differents Dc mais cela prend plusieurs minutes... mais bon l'architecture chez moi est je pense nettement plus lourde.
Sur mes Dc locaux effectivement c'est quasi instantanée...
Marsh Posté le 21-10-2008 à 10:15:16
en effet je pensais à ce que tu dis Je@nb mais ça me fait comme xanack (j'ai deux DC)
Moi j'ai l'impression que c'est mon exchange qui me fout la merde
Marsh Posté le 25-10-2008 à 23:48:47
Bonsoir messieurs,
Je veux bien me joindre à vous dans cette quête infernale !! J'ai le même souci sur mon parc : plusieurs comptes AD se bloquent. L'un d'eux est bloqué systématiquement tous les matins depuis pas mal de temps. Pas trop eu le temps de chercher et vu qu'il est de mon service il peut se deverrouiller tout seul comme un grand .
Je ne sais pas si c'est lié mais à mon avis il y a de forte chance, nous sommes passés depuis peu à l'authentification sur le proxy via les comptes AD (pour info : le proxy est une debian, avec squid) et depuis, j'ai plusieurs comptes qui se verrouillent de façon régulière. Si je tente de les délocker, il se relock systématiquement et il faut déco le pc du réseau pour réussir à faire quelquechose ! J'ai tenté aussi de tracer le coupable en utilisant un outil AD (faudra que je vous retrouve le nom) avec une install de DLL mais pas encore eu le temps d'approndir le truc.
J'ai aussi pensé à la répli, mais je n'en suis pas persuadée ... Je ne sais pas si nos problèmes sont similaires mais nos démarches peuvent l'être en tout cas .
Je crois que Je@nb a raison, la répli des mots de passe est quasi instantanée. Ca m'est souvent arrivé de les changer sur notre DC sur site pour un utilisateur sur un site distant (donc connecté au DC distant du site) et c'est effectif dans la minute.
PS : Chez moi pas d'exchange
Je revois ca lundi si j'ai du temps !
Bon WE
C.
Marsh Posté le 14-10-2008 à 10:45:27
Bonjour à toutes et à tous,
J'ai un problème depuis quelque temps sur mon réseau
En fait il s'agit d'un réseau Microsoft avec des serveurs 2k3, j'ai deux serveurs de domaine et un serveur avec exchange 2003. Jusque là ça va
Le problème est que mes utilisateurs lorsqu'ils changent leur mot de passe (lorsque la validité est dépassée) se retrouvent vérouillé sur l'AD et du coup Outlook leur demande de s'identifier pour accéder à leur boite mail
J'ai l'impression que la synchro du nouveau mot de passe ne se fait pas bien entre mes deux serveurs de domaine, ce qui les verrouille automatiquement
Mais que faire, je ne vois pas du tout
Merci pour vos réponses