locked
Impossible de me connecter sur un serveur WS2008 RRS feed

  • Question

  • Bonjour,

    Notre entreprise a 2 sites distants avec chacun 1 serveur Windows Server 2008. Ils sont connectés via OpenVPN pour la synchronisation d'Active Directory.

    Depuis ce matin, je n'arrive plus à me connecter sur l'un des deux serveurs. J'arrive sur la page "Appuyer sur Ctrl+Alt+Suppr pour ouvrir une session", je tape mon mot de passe, et il me met invariablement : Le nom d'utilisateur ou le mot de passe est incorrect.

    J'ai essayé avec plusieurs utilisateurs du domaine, et j'ai toujours le même message. J'ai bien entendu vérifié les majuscule/minuscule

    J'ai redémarré le serveurs plusieurs fois. Certains services sont démarrés (OpenVPN, Teamviewer), mais a priori, aucun rôle ne fonctionne (DNS, DHCP tout au moins).

    Le serveur répond au ping, et on peut même voir ses répertoires partagés (mais ils sont tous en accès libre).

    Depuis l'autre serveur, j'ai tenté une réplication forcée d'Active directory, mais il m'indique "Echec de l'opération DSA en raison d'une défaillance de la recherche DNS". Pourtant, le ping fonctionne bien depuis ce serveur, aussi bien avec l'adresse IP qu'avec le nom du serveur. NSlookup indique le bon chemin également.

    J'ai enfin essayé de me connecter avec un utilisateur local, mais cela n'a pas marché non plus. Sur ce dernier point, je suis moins catégorique car je crois me souvenir qu'il a transformé mon unique compte local de ce serveur en compte de domaine.

    Je soupçonne un problème de corruption de mon Active Directory, mais je n'ai pas la moindre idée de comment faire pour rétablir la situation, puisque toutes mes tentatives de connexion sont vaines.

    Est-ce que quelqu'un a une idée ?

    Merci d'avance

    PS : en y réfléchissant, j'ai peut-être un indice : hier soir, j'ai changé l'heure du serveur car il avait 1 minute de décalage avec un serveur NAS que j'essayais (sans succès) de joindre dans le domaine. C'est la dernière opération que j'ai faite avant que je ne puisse plus me connecter.
    jeudi 23 juillet 2009 11:10

Réponses

  • Bonjour,

    L'intervention d'hier soir a parfaitement fonctionné : à partir du moment où j'ai réussi à configurer la liaison VPN "windows" depuis mon serveur distant vers le serveur principal, le DNS du serveur principal était bien accessible depuis mon serveur distant.

    C'était donc bien openVPN qui bloquait, soit parce que je l'avais mal configuré, soit parce qu'il bloque les flux DNS.

    J'ai donc pu faire un dcpromo et rejoindre le domaine depuis mon serveur distant, ce qui m'évite du même coup un déplacement ce week-end :)

    Un grand merci à Roxana et à doddyfab pour votre aide précieuse.

    • Marqué comme réponse JP Liegeois jeudi 30 juillet 2009 13:16
    jeudi 30 juillet 2009 13:15

Toutes les réponses

  • Bon pour info, après m'être connecté en mode sans échec, et après 2 (!) tentatives de connexion en mode normal, j'ai pu me connecter sur le serveur. Pour me rendre compte qu'en effet, c'est bien la base active directory qui est corrompue.

    je vais donc tenter de la réparer (sachant que ce n'est pas évidement de démarrer en mode sans échec à distance)
    jeudi 23 juillet 2009 18:19
  • Salut,

    si ton DC est corrompu et qu'il n'est pas maitre de schéma, le mieux est de supprimer son role de DC (dcpromo /forceremoval) et de refaire un DCPromo tout propre.
    Vu que tu as un 2eme DC, c'est généralement plus simple que te réparer le DC.

    Fabien
    vendredi 24 juillet 2009 06:59
  • Ah merci pour le tuyau.

    Je vais essayer, mais je ne suis pas certain d'y arriver car le DC maître est sur un site distant et mon serveur DNS ne fonctionne plus, du fait de la base active directory corrompue.

    Je suis en train de planifier l'opération pour dimanche.
    vendredi 24 juillet 2009 07:12
  • si tu enleves Active Directory de ton serveur et que tu réinstalles, ton AD sera propre avec ton DC maitre ...
    Tu répares finalement ?
    vendredi 24 juillet 2009 07:30
  • A priori, ce que je compte tenter, dans l'ordre, c'est :

    1) Ntdsutil
    2) Si cela ne marche pas : dcpromo, en trouvant un moyen de lui spécifier l'adresse du serveur maître
    3) Si cela ne marche pas : suppression et réinstallation d'Active Directory

    Sinon, je crois avoir compris pourquoi j'ai réussi à me logguer : c'est visiblement quand je me loggue très rapidement après le redémarrage du serveur, avant qu'Active Directory ne prenne la main.

    Merci pour votre aide en tout cas.
    vendredi 24 juillet 2009 07:39
  • De rien.
    Par contre, faites attention que le DC corrompu ne se réplique pas avec le DC maitre ... Cela pourrait etre grave !
    avec ntdsutil, y'a moyen de faire des choses.
    Avez vous des messages d'erreur de l'AD, ca peut orienter les recherches pour réparer ?

    vendredi 24 juillet 2009 07:49
  • Ah oui, bien vu ; j'ai désactivé la réplication vers le DC maître.

    Curieusement, je n'ai aucun message d'erreur dans Active Directory (à part un problème de syncro il y a quelques jours à cause d'un pb OpenVPN, mais qui n'a duré qu'une semaine). Je sais par contre qu'il est en carafe car le rôle DNS ne s'active plus, et dans ses message d'erreur, il indique qu'Active directory est invalide. J'ai également mes problèmes d'authentification.
    vendredi 24 juillet 2009 11:47
  • Le DNS c'est normal, si AD n'est pas démarré, DNS ne démarre pas. Par contre, si tu veux que DNS démarre, il faut que tu mettes en DNS sur ta carte réseau l'adresse ip de ton DC maitre, comme ca le service DNS pourra démarrer. Ca peut etre utile meme si l'AD est en vrac.
    vendredi 24 juillet 2009 12:55
  • Pour l'authent du serveur, tu peux toujours essayer de démarrer hors réseau.
    Pour tes clients, pour qu'ils puissent ouvrir leur session correctement, tu peux modifier le DHCP en mettant le DNS uniquement du DC maitre. Ca sera un peu long mais ca marchera.
    vendredi 24 juillet 2009 12:58

  • Je rappelle rapidement ma config : sur notre site principal, j'ai un serveur A qui est DC maître. Sur ce site, tout fonctionne. Sur un site distant (env 500 km),  j'ai un serveur B, dont l'AD est en carafe. Le serveur B est également serveur OpenVPN, et le serveur A s'y connecte en tant que client. De cette manière,  quand tout fonctionne, les 2 serveurs se voient et peuvent répliquer leurs bases AD

    Je suis donc intervenu aujourd'hui sur le serveur distant, et aucune méthode n'a fonctionné.

    J'ai donc réinstallé WS 2008 sur mon serveur distant, le rôle DNS (mais sans aucun paramètres), le rôle DHCP, le rôle ActiveDirectory, OpenVPN et TeamViewer.

    J'ai configuré OpenVPN entre mes 2 serveurs, et depuis le serveur nouvellement installé, j'arrive à pinguer le serveur DC maître, mais avec son adresse Ip uniquement. Comme je n'ai pas de serveur DNS sur le site distant, j'ai mis l'adresse IP du serveur principal (celui du DC maître) dans les propriétés réseau.

    J'en suis donc à faire un dcpromo sur l'AD du serveur nouvellement installé, et il me renvoie une erreur : "L'erreur suivante s'est produite lors de la demande au DNS de l'enregistrement de ressource Emplacement du service (SRV) utilisé pour rechercher un contrôleur de domaine AD : 0x000005B4 ERROR_TIMEOUT : Cette opération s'est terminée car le délai d'attente a expiré".

    En faisant des recherches, j'ai vu qu'il était préférable de faire rejoindre le serveur dans le domaine (je suis toujours sous WORKGROUP). C'est ce que j'ai essayé de faire, mais j'ai exactement le même message d'erreur.

    Pourtant, quand je ping le serveur maître depuis le nouveau serveur, j'ai des temps de l'ordre de 50 ms.

    Et le plus curieux, c'est que j'ai ces messages depuis que j'ai rebooté. La première fois que j'ai essayé, il arrivait à contacter l'AD du serveur maître (il m'indiquait qu'il avait trouvé _ldap._ms..." mais malheureusement, je ne me souviens plus de l'erreur.

    Est-ce que quelqu'un aurait une idée ?

    Merci d'avance.
    dimanche 26 juillet 2009 15:05
  • J'ai voulu ce matin faire un ntbackup + dcpromo /adv comme décrit ici mais cette technique ne fonctionne qu'avec 2003 (ntbackup n'existe plus sous 2008). J'ai donc essayé en faisant un export via ntdsutil ifm depuis le serveur principal, copier les fichiers sur le serveur distant, puis faire un dcpromo en mode avancé, mais celui-ci nécessite toujours d'être en relation directe avec le serveur AD principal (j'ai exactement le même message d'erreur, avant même que je luis spécifie où sont les fichiers à importer).

    Je suis donc encore bloqué, mais en y réfléchissant, la situation dans laquelle je me trouve n'est pas si inhabituelle que ça : je suis dans la situation où je cherche à ajouter un contrôleur de domaine sur un site distant non encore relié au réseau du site maître. D'ailleurs, l'ancienne fonction ntbackup +dcpromo /adv servait bien à ça (entre autres).

    Est-ce quelqu'un sait quel est l'équivalent du ntbackup + dcpromo /adv ? Je n'ai pas trouvé en faisant des recherches.

    En parallèle, je vais voir si je ne peux pas trouver un moyen pour améliorer la connexion entre les 2 sites, notamment pour y faire passer la résolution netbios.
    lundi 27 juillet 2009 13:26
  • Bonjour,

    Tu peux voir : http://technet.microsoft.com/fr-fr/library/cc770266(WS.10).aspx

    Aussi  http://technet.microsoft.com/fr-fr/library/cc754097(WS.10).aspx :

    Remarques

    The wbadmin command replaces the ntbackup command that was released with previous versions of Windows. You cannot recover backups that you created with ntbackup by using wbadmin. However, a version of ntbackup is available as a download for Windows Server 2008 and Windows Vista users who want to recover backups that they created using ntbackup. This downloadable version of ntbackup enables you to perform recoveries only of legacy backups, and it cannot be used on computers running Windows Server 2008 or Windows Vista to create new backups. To download this version of ntbackup, see http://go.microsoft.com/fwlink/?LinkId=82917.

     

    Cordialement

     

     

     


    Roxana Panait, MSFT
    mardi 28 juillet 2009 07:46
  • Un grand merci Roxana pour ta réponse. Comme un idiot, je n'avais pas pensé à suivre les liens en anglais, et j'ai trouvé ici des informations très intéressantes.

    Malheureusement, les méthodes de récupération d'AD que j'ai trouvées nécessitent soit d'avoir l'AD d'actif (dsamain...), soit d'être devant le serveur (wbadmin..).

    En dernier recours, je planifierai donc un déplacement samedi, avec le serveur principal sous le bras, pour avoir les 2 serveurs sur le même LAN et de cette manière, faire une réplication simple.

    Mais avant d'en arriver là, je vais tenter une dernière fois de faire communiquer les 2 serveurs à distance. Pour l'instant, via OpenVPN, j'arrive à pinguer chaque serveur via leur adresse IP, mais je ne vais pas plus loin. Et surtout, quand je met l'adresse IP du serveur principal dans le champ DNS de la carte réseau du serveur distant, je n'ai pas de réponse (j'ai un timout sur nslookup, même en règlant le timout à 30 secondes).

    Je soupçonne un problème dans OpenVPN, mais je ne connais pas assez bien l'outil pour investiguer.

    J'ai donc essayé de me connecter via le rôle VPN de Windows Server 2008 depuis mon serveur principal vers le serveur cible, mais comme le serveur cible n'a pas d'AD, il refuse d'accepter l'authentification.

    Je vais tenter dans l'autre sens : créer une connexion VPN depuis mon serveur distant vers mon serveur principal. Si je ne l'avais pas fait jusqu'à présent, c'est que mon serveur principal est derrière 2 routeurs qui font du NAT, et sur lesquels je n'ai pas la main. Il va donc falloir que j'installe le serveur principal sur un autre site, derrière un routeur que je puisse administrer. Je planifie de faire cela mercredi soir.

    Je suis quasiment certain d'y parvenir, et je serai dans une situation où mon serveur distant aura accès au serveur principal directement via son adresse IP. Je prévois donc à ce moment là de mettre le DNS du serveur principal dans le champ DNS de la carte réseau du serveur distant, et de cette manière, j'espère pouvoir voir le serveur principal via son nom pleinement qualifié et donc, pouvoir rejoindre le domaine (ouf ! ^^).

    Ceci dit, si jamais cela ne fonctionne pas, comme ma fenêtre de tir est courte, il faudra que je trouve vite pourquoi cela ne fonctionne pas. A votre avis, qu'est-ce qui pourrait faire que le DNS de mon serveur principal ne réponde pas à mon serveur distant ? (j'ai déjà vérifié que le DNS du serveur principal est configuré pour répondre à toutes les adresses IP).

    Merci d'avance.
    mardi 28 juillet 2009 14:40
  • Bonjour ,

    As tu as essayé de configurer le VPN en utilisant Routing and Remote Access : http://technet.microsoft.com/fr-fr/library/cc754634(WS.10).aspx et  http://technet.microsoft.com/fr-fr/library/dd637783(WS.10).aspx?

    Les deux serveurs sont DC du domaine ? Si oui, le VPN par RRAS doit fonctionner.

    Plus d’info sur la réplication AD sur 2008 : http://technet.microsoft.com/fr-fr/library/cc772065(WS.10).aspx  et  http://207.46.16.252/fr-fr/magazine/2007.10.replication.aspx

    Aussi pour le contrôle de ton AD 2008 à distance tu peux utiliser : AD DS  Services Web Active Directory (http://technet.microsoft.com/fr-fr/library/dd391908(WS.10).aspx)

     

    Tiens-nous au courant après tes démarches.

    Cordialement

     

    Roxana


    Roxana Panait, MSFT
    mercredi 29 juillet 2009 07:36
  • Merci pour tes réponses.

    Je posterai demain les résultats de la manip de ce soir.
    mercredi 29 juillet 2009 08:13
  • Bonjour,

    L'intervention d'hier soir a parfaitement fonctionné : à partir du moment où j'ai réussi à configurer la liaison VPN "windows" depuis mon serveur distant vers le serveur principal, le DNS du serveur principal était bien accessible depuis mon serveur distant.

    C'était donc bien openVPN qui bloquait, soit parce que je l'avais mal configuré, soit parce qu'il bloque les flux DNS.

    J'ai donc pu faire un dcpromo et rejoindre le domaine depuis mon serveur distant, ce qui m'évite du même coup un déplacement ce week-end :)

    Un grand merci à Roxana et à doddyfab pour votre aide précieuse.

    • Marqué comme réponse JP Liegeois jeudi 30 juillet 2009 13:16
    jeudi 30 juillet 2009 13:15
  • Je suis désolé j'ai pas eu le temps ces 3 derniers de t'aider un peu.
    Content que tu ai réussi ... ca a du te travailler l'esprit un moment !

    Good Job

    Fabien
    jeudi 30 juillet 2009 14:13