locked
Compte ordinateur de cluster ou pas ? RRS feed

  • Discussion générale

  • salut,

    j'ai régulièrement l'erreur kerberos 4 sur chacun des 2 noeuds de mon cluster MSCS nommé astres (je n'ai pas IIS actif sur ces machines). Dans AD, j'ai un compte user "astres" (utilisé par le service de cluster) mais je n'ai pas de compte computer avec ce nom là. Or il me semble que les ressources "nom réseau" créent leur propres compte computer dans AD pour faire du kerberos ? Je ne me souviens pas avoir supprimé un quelconque compte computer depuis l'install de ce  cluster (qui commence a dater...).
    Dois-je créer manuellement un compte ordinateur "astres" pour supprimer ces erreurs kerberos ?

    Est-ce risqué car tout à l'air de bien marcher ...

    Merci
    lundi 11 janvier 2010 08:39

Toutes les réponses

  • Bonjour ,

    Est-ce que vous pouvez nous transmettre me message d’erreur complet ?

    Vos serveurs sont Windows Server 2003 ou 2008 (http://social.technet.microsoft.com/Forums/fr-FR/1092/thread/b321a102-691a-4d38-be41-7a7589a726a6 )?

    Cordialement

    Roxana


    Roxana Panait, MSFT
    lundi 11 janvier 2010 12:18
  • Avec plaisir :

    Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur host/mercure.**********. Le nom cible utilisé était astres. Cela indique que le mot de passe utilisé pour crypter le ticket de service Kerberos diffère de celui du serveur cible. Cela est généralement dû à la présence de comptes d'ordinateur de même nom  dans le domaine Kerberos cible (***********) et le domaine Kerberos client.  Contactez votre administrateur système.

    Le tout sur du W2K enterprise, 2 noeuds de cluster MSCS, chacun des noeuds est DC (je sais c'est mal ... mais ca tourne depuis 4 ans)
    Le nom du cluster est 'astres' et il existe un compte utilisateur  'astres' dans mon AD

    Voila
    • Modifié cdtkoenig mardi 12 janvier 2010 10:30
    lundi 11 janvier 2010 16:28
  • Bonjour,

    Donc nous sommes dans la situation : http://support.microsoft.com/default.aspx/kb/558115

    Vous pouvez voir les essais dans une situation similaire :

    ·         http://forums.techarena.in/active-directory/417105.htm

    ·         http://msmvps.com/blogs/vandooren/archive/2009/04/02/the-kerberos-client-received-a-krb-ap-err-modified-error.aspx

    ·         http://www.petri.co.il/forums/showthread.php?t=10487

    Cordialement

    Roxana


    Roxana Panait, MSFT
    mardi 12 janvier 2010 08:50
  • Un des liens parle de pb dans le cache dns : j'ai donc affiché le cache client sur le dc ayant l'erreur :


            astres.************
            ----------------------------------------
            Nom d'enregistrement. : astres.************
            Type d'enregistrement : 1
            Durée de vie  . . . . : 875
            Longueur de données . : 4
            Section . . . . . . . : Réponse
            Enregistrement (hôte) : x.y.z.123


            astres
            ----------------------------------------
            Nom d'enregistrement. : astres.************
            Type d'enregistrement : 1
            Durée de vie  . . . . : 875
            Longueur de données . : 4
            Section . . . . . . . : Réponse
            Enregistrement (hôte) : x.y.z.123


    C'est un doublon mais avec la même ip ... donc je ne sais pas si cela est la source de mon erreur kerberos.
    Vu que dans mon cas mon dc ayant l'erreur est client et serveur DNS, j'ai effacé le cache dns serveur et aussi celui du client.

    Ensuitre si je tape \\astres dans démarrer->executer, j'ai bien un partage mais j'ai une erreur kerberos 4 et des erreurs MRXSMB 3019 en même temps

    Le redirecteur n'a pas réussi à déterminer le type de la connexion.

    Mon pb ne vient donc pas de doublons DNS.
    Mon erreur kerb 4 arrive toujours le soir juste après le début du backup TSM. Ce backup utilise astres comme nom de serveur et des partages administratifs (que je ne vois pas !) sur mes disques ressource de cluster pour backuper les fichiers !! Je comprends pas comment TSM fait mais il récupère pourtant les fichiers des disques du cluster !

    Les histoires de SID et reset de pwd de compte machine me semblent non applicables dans la mesure ou je n'ai pas de compte computer astres dans AD. Je vais donc regarder de plus près les 3 articles indiqués par roxana


    A suivre

    mardi 12 janvier 2010 09:34
  • Bonjour,

    Je reviens sur ce soucis
    Je n'ai a priori pas de pb dns (pas de doublons) par contre la commande NLTEST /SC_QUERY:domain-name.com marche bien sur un des noeuds DC de mon cluster mais renvoie

    I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    sur l'autre, celui qui a tous les rôles dans l'onglet "Maitre d'opération" du domaine. J'ai aussi un troisième DC qui ne renvoie pas d'erreur.

    Cela est-il normal ?

    Autre chose, j'arrive a reproduire l'erreur 4 en tapant \\vvenus (un serveur virtuel MSCS) dans démarrer->executer.
    Si je tape \\vvenus.blah.blih.priv, pas d'erreur !
    Est-ce la résolution WINS (active sur chacun de mes 2 noeuds) qui ne correspond pas aux SPN kerberos qui eux utilisent les FQDN ?

    Merci
    mardi 26 janvier 2010 11:10