locked
netlogon event id 5723 / 5805 RRS feed

  • Question

  • Bonjour,

    Je rencontre actuellement un problème sur l'AD.

    J'ai un serveur Windows 2003 (qui détient les 5 rôles FSMO) et qui est aussi serveur Exchange (2003). Domaine unique. J'ai deux autres contrôleurs ; un 2003 et un 2008. Niveau fonctionnel de la forêt en 2003.

    Je rentre de congés la semaine dernière (vive la rentrée..) et je constate que j'ai des erreurs NETLOGON 5723 et 5805 sur les DCs.

    A partir des ordinateurs intégrés dans le domaine, lorsque le câble réseau est branché, on reçoit une erreur disant en gros que la relation d'approbation entre cet ordinateur et le contrôleur de domaine n'est pas possible, etc. Si on débranche le câble, qu'on utilise la session en cache et qu'on rebranche le câble après, aucun problème.

    Autre fait étrange, les comptes ordinateurs (stations de travail) ont été supprimés de l'AD (je les retrouve bien dans le tombstoned)

    Ce que j'ai fait :

         - J'ai fait un dcdiag qui me remonte les erreurs netlogon 5723 et 5805. tout le reste est "success".

         - J'ai vérifié ma réplication avec repadmin et replmon, c'est OK. Dans l'observateur d'événement réplication, dns, annuaire, c'est OK aussi.

         - J'ai essayé depuis les stations de travail de faire un netdom /SC_VERIFY:<nom de domaine>, ça ne passe pas.

         - J'ai essayé de restoré les objets compte ordinateur (en les réactivant aussi), sans succès.

    Les PCs ne sont pas clonés, je n'ai pas de doublons DNS, les requêtes rerverse passent sans soucis, pas de serveur WINS, pas de machine hors domaine.

    Le seul moyen de solutionner le problème est de réintégrer les machines dans le domaine (sortie/entrée).

    J'ai dans un premier temps penser à un problème de virus mais, en toute humilité, je ne pense pas que mon parc soit infecté. J'ai fait un scan du parc par acquis de conscience (stations + serveurs) sans trouver quoique ce soit.

    J'ai fini par apprendre que le certificat Exchange avait expiré durant ma semaine de congés. Ceci a rendu l'utilisation d'outlook en mode RPC over HTTP impossible (message d'erreur plutôt clair, sur un Windows 7 avec Outlook 2007).Une personne a fait les modifications nécessaires pour renouveler le certificat, ce qui a solutionné le problème d'accès à la messagerie.

    D'où ma question : est-ce que le fait de renouveler un certificat pour Exchange peut engendrer ce genre de comportement au niveau de l'AD ??! Si oui, y a-t-il un moyen de publier le nouveau certificat auprès des stations de travail ?

    Je n'ai pas trop d'infos sur la gestion des certificat au sein du domaine, je sais juste que c'est un certificat auto signé.

    Je vous remercie par avance pour vos avis, aides, ou autres.

    Vincent

    jeudi 9 septembre 2010 21:28

Réponses

  • Bonsoir,

    premièrement, le renouvellement du certificat auto-signé Exchange n'a normalement pas d'influence sur l'annuaire. D'autant plus qu'il n'a pas pour effet de supprimer tout tes comptes ordinateurs...

    Si tu n'as plus de comptes ordinateurs, c'est normalement que tu n'es plus de relation entre les postes concernés et l'annuaire. Je suppose d'après tes dires que tu as réintégré certains postes dans le domaine et qu'ils fonctionnent désormais correctement.

    Lorsque tu as restauré tes objets ordinateurs , as-tu réalisé une restauration autoritaire ? (http://support.microsoft.com/kb/241594 )

    A mon humble avis et sans lui jeter la pierre, une personne a supprimé les comptes ordinateurs...

    Soit tu arrives à les restaurer, soit tu peux utiliser NETDOM JOIN (http://technet.microsoft.com/en-us/library/cc781853%28WS.10%29.aspx ) pour te simplifier la vie.

    jeudi 9 septembre 2010 22:16

Toutes les réponses

  • Bonsoir,

    premièrement, le renouvellement du certificat auto-signé Exchange n'a normalement pas d'influence sur l'annuaire. D'autant plus qu'il n'a pas pour effet de supprimer tout tes comptes ordinateurs...

    Si tu n'as plus de comptes ordinateurs, c'est normalement que tu n'es plus de relation entre les postes concernés et l'annuaire. Je suppose d'après tes dires que tu as réintégré certains postes dans le domaine et qu'ils fonctionnent désormais correctement.

    Lorsque tu as restauré tes objets ordinateurs , as-tu réalisé une restauration autoritaire ? (http://support.microsoft.com/kb/241594 )

    A mon humble avis et sans lui jeter la pierre, une personne a supprimé les comptes ordinateurs...

    Soit tu arrives à les restaurer, soit tu peux utiliser NETDOM JOIN (http://technet.microsoft.com/en-us/library/cc781853%28WS.10%29.aspx ) pour te simplifier la vie.

    jeudi 9 septembre 2010 22:16
  • Bonjour Alexandre,

    Tout d'abord, je te remercie pour ta réponse.

    Ok pour le certificat.

    Le fait de sortir les postes du domaine, puis de les y intégrer résout effectivement le problème (pour le moment).

    Pour le test de restoration des objets, je l'ai fait avec ADRESTORE.NET. Je ne sais pas si c'est une restoration autoritaire... De ce que je lis du lien que tu m'as mis à ce sujet, c'est un type de restoration basé sur une source "sauvegarde". Or moi, j'ai fait une restoration à partir du tombstoned (corbeille AD en gros).Penses-tu que j'aurai plus de chance avec une restoration autoritaire des objets ordinateurs ?

    Je ne sais pas encore ce que la personne qui a géré ce renouvellement a fait, j'attends sa réponse.. On ne sait jamais.

     

    vendredi 10 septembre 2010 07:02
  • Bonjour,

    le problème est que si tu ne fais pas de restauration autoritaire elle ne sera jamais pris en compte. Vu que les réplications Active Directory se font sur les dernières données à jour, et vu que tes données restaurées seront forcément antérieures à cette date, ils seront automatiquement supprimés lors de la réplication suivante.

    Tu devrais regarder le lien que je t'ai fournis.

    vendredi 10 septembre 2010 07:23