reboot du contrôleur de domaine

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  Lors du reboot du DC si vous n'avez pas d'autres contrôleurs de domaines cela va perturber l'authentification et la résolution de nom pendant quelques minutes.

  Si vous avez plusieurs contrôleurs de domaine l'impact peut être minime.

  Attention à certains services comme Exchange qui a besoin de joindre au moins un catalogue global.

  • Proposé comme réponse matteu31400 vendredi 2 juin 2017 12:29
  • Marqué comme réponse Philippe BarthMVP, Moderator dimanche 4 juin 2017 12:17

  vendredi 2 juin 2017 10:54

  Réponse

  |

  Citation

  Modérateur
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Pour les utilisateurs déjà connectés il y aura pas d'impact.

  Le reboot va impacter que les utilisateurs qui essaient de s'authentifier pendant le reboot du serveur et si vous avez plusieurs DC sur le même site ils vont essayer avec l'un autre DC.

  Si vous avez des services qui ont besoin de l'AD comme Exchange, ils vont contacter un autre DC si vous avez installé plusieurs DC  sur le même site, si ce n'est le cas , il faut attendre la fin du reboot pour la reprise du service.

  Pour cela je vous recommande de planifier le reboot dans les horaires hors travail, pour minimiser l'impact sur la production.

  ---

  Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

  • Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 4 juin 2017 12:46

  vendredi 2 juin 2017 11:46

  Réponse

  |

  Citation

  Modérateur
• 

  

  1

  Connectez-vous pour voter

  Thameur tu es sur de cela ?

  Si un utilisateur essaye d'accéder à un nouveau share, si il n'y a pas de DC disponible, alors pas de TGS donc pas d'accés au share non ?

  ---

  Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

  vendredi 2 juin 2017 12:30

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Thameur tu es sur de cela ?

  Si un utilisateur essaye d'accéder à un nouveau share, si il n'y a pas de DC disponible, alors pas de TGS donc pas d'accés au share non ?

  ---

  Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

  Bonjour,

  Si l'utilisateur n'a jamais accéder à une ressource (share ou site web par exemple) or  il a accédé mais le ticket est expiré , dans ce cas il  a besoin de contacter le contrôleur de domaine pour recevoir le ticket kerberos TGS délivré. 

  Par contre sil'utilisateur a déjà accéder au share et le ticket kerberos délivré par le contrôleur de domaine n'est pas encore expiré , il peut y accéder sans avoir besoin de contacter le contrôleur de domaine.

  Dans l'authentification kerberos, le client a besoin d'un contrôleur de domaine pour demander un nouveau ticket TGS dans les deux cas suivants:

  • l'accès à une nouvelle ressource (nouveau share, nouveau site web....ect)
  • Le ticket kerberos dans le cache déjà délivré pour la même ressource est expiré 

  Pour cela dans ma réponse précédente , j'ai dit les utilisateurs authentifiés pour l'ouverture de session sur leurs poste de travail et aussi authentifiés pour accéder à une ressource kerberos comme les share et les sites web interne ..ect.
  
  
  

  ---

  Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

  
  

  • Modifié Thameur BOURBITAMVP, Moderator vendredi 2 juin 2017 15:12
  • Marqué comme réponse Vouin dimanche 4 juin 2017 16:04

  vendredi 2 juin 2017 14:05

  Réponse

  |

  Citation

  Modérateur
• 

  

  2

  Connectez-vous pour voter

  Je ne suis pas d'accord.

  Lorsqu'on va sur un serveur de fichier, ce n'est pas un TGT qu'on demande mais un TGS. Le TGT est délivré uniquement à l'ouverture de session ou toutes les 10h (par défaut).

  De ce fait, un utilisateur authentifié aura toujours son TGT valide, mais si il souhaite accéder à une nouvelle ressource, aucun DC ne sera dispo pour lui fournir le TGS associé et donc pas d'accés possible.

  Il y a bien un possible impact à prévoir le temps du reboot.

  ---

  Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

  vendredi 2 juin 2017 14:58

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  En gros si tu n'as pas de ticket kerberos en cours et que tu as besoin d'un nouveau ticket il faut contacter le DC.

  En dehors de Kerberos l'authentification NtLM est souvent utilisé pour pas mal de produit, il n'y a pas que Kerberos ...

  Il peut aussi avoir une solution VPN basé sur l'AD, du proxy authentifié etc ... 

  Dans tous les cas pour les opérations d'authentification basé sur l'AD il faut contacter un DC, pas de DC, pas d'authentification.

  
  

  vendredi 2 juin 2017 15:31

  Réponse

  |

  Citation

  Modérateur
• 

  

  2

  Connectez-vous pour voter

  C'est une faute de frappe de ma part par rapport(S) et (T).

  le TGT est utilisé par le client pour initier la demande d'un TGS quand il essaie accéder à un service qui utilise le protocole kerberos  comme protocole d'authentification .
  Si l'utilisateur a déjà authentifié à une ressource juste avant le reboot du DC, donc il a déjà récupérer le TGS associé à cette ressource,  pas besoin de DC pour authentification pendant le reboot qui va durer juste quelques minutes .
  Par contre ,s'il s'agit d'une nouvelle ressource dans ce cas  il y aura un impact bien sur au niveau d'authentification parce que l’utilisateur a besoin de s'authentifier et avoir le TGS délivré par le contrôleur de domaine pour cette nouvelle ressource, pour cela j'ai bien dit dans mes réponses précédentes pas impact sur les  utilisateurs authentifiés pour un reboot qui peut ne peut pas dépasser quelques minutes.

  Si tu veux afficher la date d'expiration des ticket kerberos en cache dans le poste du client:

  #pour les ticket TGS
  klist
  
  #pour les ticket TGT
  klist tgt

  
  

  matteu31400 ,j'ai pas compris sur quoi tu n'est pas d'accord j'ai dit la même choses dans réponses précédentes ? 

  
  

  ---

  Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

  • Marqué comme réponse Vouin dimanche 4 juin 2017 16:03

  vendredi 2 juin 2017 15:52

  Réponse

  |

  Citation

  Modérateur
• 

  

  1

  Connectez-vous pour voter

  ok, merci pour toutes vos réponses

  je confirme, cet après midi j'ai rebooté la vm qui contient  le DC, cela prend  2 minutes et personne n'y a rien vu....

  mais il n'y a que 6 postes de connecté, et ils étaient déjà authentifiés

  par contre je vous invite à lire mon post sur la perte de l'AD au bout de 26h, car le pb est toujours là....

  encore merci

  Yves

  • Marqué comme réponse Thameur BOURBITAMVP, Moderator dimanche 4 juin 2017 11:54

  vendredi 2 juin 2017 18:01

  Réponse

  |

  Citation
• 

  

  2

  Connectez-vous pour voter

  ok, merci pour toutes vos réponses

  je confirme, cet après midi j'ai rebooté la vm qui contient  le DC, cela prend  2 minutes et personne n'y a rien vu....

  mais il n'y a que 6 postes de connecté, et ils étaient déjà authentifiés

  par contre je vous invite à lire mon post sur la perte de l'AD au bout de 26h, car le pb est toujours là....

  encore merci

  Yves

  Bonjour,

  Merci pour votre retour ,merci de ne pas oublier de marquer les réponses qui vous semblent utiles.

  ---

  Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

  dimanche 4 juin 2017 09:01

  Réponse

  |

  Citation

  Modérateur