locked
Plus d'accès au contrôleur de domaine RRS feed

  • Discussion générale

  • Bonjour,

    J'ai deux contrôleurs de domaine sous Windows 2008 Standard.
    Cet après-midi j'ai voulu joindre un serveur Debian sur le domaine.
    Depuis je ne peux plus accéder au DC1 comme si l'annuaire n'existait plus. En faisant un DCDIAG sur le DC2, j'obtiens ces erreurs : 

    Démarrage du test: SystemLog

    Un évènement Warning s'est produit. 
    Identificateur de l'évènement: 0x8000001D 
    Temps généré: 10/28/2013 19:47:01 
    Chaîne d'évènement:

    Le centre de distribution de clés ne trouve pas le certificat appropri‚ pour les ouvertures de session par carte à puce ou le certificat KDC n'a pas pu être vérifié. L'ouverture de 
    session par carte à puce peut ne pas fonctionner si ce problème n'est pas résolu. Pour corriger ce problème, vérifiez le certificat KDC existant en utilisant certutil.exe ou inscrivez-vous pour un 
    nouveau certificat KDC.

    Un évènement Error s'est produit. 
    Identificateur de l'évènement: 0x40000004 
    Temps généré: 10/28/2013 19:49:36 
    Chaîne d'évènement:

    Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur cfppa-01$. Le nom cible utilisé était cifs/CFPPA-01. Cela indique que le serveur cible n'a pas réussi à déchiffrer le 
    ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte différent de celui utilisé par le service cible. Veuillez vous 
    assurer que le SPN est inscrit sur, et uniquement sur, le compte utilisé par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du 
    service cible qui diffère par rapport à celui que possède le centre de distribution de clés Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le 
    centre de distribution de clés Kerberos sont tous deux mis à jour pour utiliser le mot de passe actuel. Si le nom de serveur n'est pas pleinement qualifié, et que le domaine cible (CFPPA-UFA.LOCAL) 
    diffère du domaine client (CFPPA-UFA.LOCAL), vérifiez s'il existe des comptes de serveur de même nom dans ces deux domaines, ou utilisez le nom pleinement qualifié pour identifier le serveur.

    En cherchant sur Internet, j'ai trouvé ça : http://msreport.free.fr/?p1 mais le problème c'est que je n'ai plus du tout accès au DC1, (Accès refusé, nom d'utilisateur ou mot de passe incorrect).
    Je ne peux pas non plus répliquer l'annuaire du DC2 vers le DC1 
    Le serveur DNS du DC1 ne fonctionne plus non plus.

    Merci de bien vouloir m'aider..

    Cordialement.
    lundi 28 octobre 2013 20:32

Toutes les réponses

  • Pouvez vous regarder les messages d'erreurs dans l'observateur d'événement sur les 2 DC ?


    mardi 29 octobre 2013 06:21
  • Bonjour,

    il y a peut être un conflit sur les noms de domaine entre le serveur Debian et le domaine AD.
    Les 2 DCs présentent le même problème?

    -> Arrêter le serveur Debian

    -> Supprimer le nom du serveur Debian dans AD (sur le DC2)

    -> Redémarrer les 2 contrôleurs de domaine (1 par 1), puis vérifier le journal des événements (Système et Application).

    La connexion sous le compte d'administrateur devrait fonctionner quelle que soit la situation. (c'est parfois long)

    -> Le service DNS est indispensable au bon fonctionnement de l'AD ! S'assurer de son bon fonctionnement et que les serveurs soient configurés pour bien utiliser leur DNS !

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(78 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://base.faqexchange.info

    mardi 29 octobre 2013 07:42
  • Je ne peux pas du tout ouvrir de session sur le DC1 ni même avec un composant enfichable à partir du DC2, j'ai alors l'erreur : Une erreur spécifique du package de sécurité s'est produite (1825).

    Pour le DC2, j'ai : 

    Le service de réplication DFS a rencontré une erreur lors de la communication avec le partenaire CFPPA-01 pour le groupe de réplication Domain System Volume. 

    Adresse DNS du partenaire : CFPPA-01.CFPPA-UFA.local 

    Données facultatives, le cas échéant : 
    Adresse WINS du partenaire : CFPPA-01 
    Adresse IP du partenaire : 10.77.77.1 

    Le service réessaiera d'établir la connexion régulièrement. 

    Informations supplémentaires : 
    Erreur : 1753 (Le mappeur de point final n'a plus de point final disponible.) 
    ID de la connexion : 0E1C5563-6BE8-48E6-BE59-145B61C06775 
    ID du groupe de réplication : A55F18BF-E3BF-40B2-96B9-787EA6C34FA4

    -----

    Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur cfppa-01$. Le nom cible utilisé était cifs/CFPPA-01.CFPPA-UFA.local. Cela indique que le serveur cible n'a pas réussi à déchiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte différent de celui utilisé par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilisé par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffère par rapport à celui que possède le centre de distribution de clés Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de clés Kerberos sont tous deux mis à jour pour utiliser le mot de passe actuel. Si le nom de serveur n'est pas pleinement qualifié, et que le domaine cible (CFPPA-UFA.LOCAL) diffère du domaine client (CFPPA-UFA.LOCAL), vérifiez s'il existe des comptes de serveur de même nom dans ces deux domaines, ou utilisez le nom pleinement qualifié pour identifier le serveur.

    ---

    Le format de l’attribut de planification de l’objet suivant n’est pas reconnu. 
     
    Objet :
    CN=58b1ea5f-be78-4924-8025-912bf552fc6f,CN=NTDS Settings,CN=CFPPA-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=CFPPA-UFA,DC=local 
     
    Une planification par défaut sera utilisée à la place. Cet événement continuera à se produire jusqu’à ce que l’attribut de planification sur cet objet soit corrigé. 
     
    Action utilisateur 
    Modifiez l’attribut de planification.

    mardi 29 octobre 2013 08:01
  • Bonjour,

    J'avais déjà supprimé le compte ordinateur Debian de l'annuaire, je l'ai arrêté.

    Après avoir redémarré les 2 DC, j'ai toujours cette impossibilité de me connecter au DC1

    Sous le compte Domaine\Administrateur j'ai une erreur "Le nom d'utilisateur ou le mot de passe est incorrect."

    Le DC2 est OK, mais il n'y a plus de réplication possible. C'est comme si l'annuaire n'existait plus sur le DC1..

    Le serveur DNS 10.77.77.1 n'est plus joignable, non plus. Je suis complètement bloqué.

    Quant à l'observateur d’événements sur le DC2 j'ai : 

    Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur cfppa-01$. Le nom cible utilisé était E3514235-4B06-11D1-AB04-00C04FC2DCD2/4b0f06a1-a75a-4972-bdc6-576dd3380d5d/CFPPA-UFA.local@CFPPA-UFA.local. Cela indique que le serveur cible n'a pas réussi à déchiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte différent de celui utilisé par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilisé par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffère par rapport à celui que possède le centre de distribution de clés Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de clés Kerberos sont tous deux mis à jour pour utiliser le mot de passe actuel. Si le nom de serveur n'est pas pleinement qualifié, et que le domaine cible (CFPPA-UFA.LOCAL) diffère du domaine client (CFPPA-UFA.LOCAL), vérifiez s'il existe des comptes de serveur de même nom dans ces deux domaines, ou utilisez le nom pleinement qualifié pour identifier le serveur.

    -------------------------

    Le service de réplication DFS a rencontré une erreur lors de la communication avec le partenaire CFPPA-01 pour le groupe de réplication Domain System Volume. 
     
    Adresse DNS du partenaire : CFPPA-01.CFPPA-UFA.local 
     
    Données facultatives, le cas échéant : 
    Adresse WINS du partenaire : CFPPA-01 
    Adresse IP du partenaire :  
     
    Le service réessaiera d'établir la connexion régulièrement. 
     
    Informations supplémentaires : 
    Erreur : 1753 (Le mappeur de point final n'a plus de point final disponible.) 
    ID de la connexion : 0E1C5563-6BE8-48E6-BE59-145B61C06775 
    ID du groupe de réplication : A55F18BF-E3BF-40B2-96B9-787EA6C34FA4

    -------------------------------

    Le serveur DNS a mis à jour les enregistrements de ses propres hôtes (A). Afin de s’assurer que ses serveurs DNS homologues intégrés au service d’annuaire peuvent effectuer des réplications avec ce serveur, une tentative de mise à jour dynamique de ces serveurs avec les nouveaux enregistrements a été faite. Une erreur a été rencontrée lors de cette mise à jour, les données d’enregistrement contiennent le code d’erreur. 
     
    Si ce serveur DNS n’a pas d’homologue intégré au service d’annuaire, alors 
    cette erreur doit être ignorée. 
     
    Si les partenaires de réplication Active Directory de ce serveur DNS n’ont pas la ou les adresses IP correctes pour ce serveur, ils ne pourront pas effectuer de réplication avec celui-ci. 
     
    Pour vous assurer que la réplication est correcte : 
    1) Trouvez les partenaires de réplication Active Directory de ce serveur sur lesquels le serveur DNS fonctionne. 
    2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque partenaire de réplication. 
    3) Sur chaque serveur, vérifiez l’inscription d’hôte (enregistrement A) pour ce serveur. 
    4) Supprimez tous les enregistrements A qui ne correspondent pas à des adresses IP de ce serveur. 
    5) S’il n’existe pas d’enregistrements A pour ce serveur, ajoutez au moins un enregistrement A correspondant à une adresse sur ce serveur, afin que le partenaire de réplication puisse le contacter. (En d’autres termes, s’il existe des adresses IP multiples pour ce serveur DNS, ajoutez-en au moins une qui est sur le même réseau que le serveur DNS Active Directory que vous mettez à jour.) 
    6) Notez qu’il n’est pas nécessaire de mettre à jour tous les partenaires de réplication. Il est uniquement nécessaire que les enregistrements soient réparés sur suffisamment de partenaires de réplication afin que chaque serveur opérant la réplication avec ce serveur, reçoive (par réplication) les nouvelles données.

    mardi 29 octobre 2013 09:13