locked
AD 2008R2 : problème authentification RRS feed

  • Discussion générale

  • Bonjour,

    J'ai un AD2008R2, 2 contrôleurs de domaine (CG), tous les rôles FSMO sont sur le même DC.

    Lorsque j'éteins le serveur qui a les rôles FSMO, la plupart de mes applis SSO ne fonctionnent plus (exchange par exemple) alors que je vois bien que le 2nd serveur authentifie pas mal d'utilisateurs à l'ouverture de session (LOGONSERVER)

    Qu'est-ce que je dois vérifier (et corriger) pour que le 2nd serveur prenne le relai ?

    Merci

    mercredi 29 mai 2019 10:03

Toutes les réponses

  • Pour ma part, je vérifie les enregistrements DNS pour m'assurer qu'ils sont corrects ou existants.

    Au niveau des zones de recherches directes, existe t'il la zone "_msdcs.nomdomaineAD" ?

    Si oui, tu regarde le contenu et vérifie les enregistrements dans les différents dossiers.

    Si non, tu dois disposer de cette zone en sous-domaine de ton domaine AD. Il faut vérifier les enregistrements existants.

    Egalement vérifier dans la zone de ton domaine AD le contenu des sous dossiers "_sites", "domaindnszones" et "forestdnszones".

    A te lire.

    mercredi 29 mai 2019 10:15
  • Les deux DCs sont des  catalogues globaux ? Il est impératif de disposer d'au moins un catalogue global en ligne pour que l'authentification fonctionne ...

    http://www.pbarth.fr/node/6

    Dcdiag et sur net share sur les deux serveurs ? Pas d'erreur ?

    Les partages sysvol et netlogon sont bien montés sur les deux serveurs ?

    Au niveau des applications qui utilisent le SSO, sont-ils configuré avec les deux serveurs ? utilisent-ils DNS pour rechercher les DCs (Exchange par exemple utilise DNS et utilise beaucoup le catalogue global) ? Si l'applicatif est configuré avec un seul serveur, forcément l'authentification ne fonctionnera pas s'il est éteint.

    Les rôles FSMO ne sont pas directement liés à l'authentification.

    mercredi 29 mai 2019 20:04
  • Pour ma part, je vérifie les enregistrements DNS pour m'assurer qu'ils sont corrects ou existants.

    Au niveau des zones de recherches directes, existe t'il la zone "_msdcs.nomdomaineAD" ?

    Si oui, tu regarde le contenu et vérifie les enregistrements dans les différents dossiers.

    Si non, tu dois disposer de cette zone en sous-domaine de ton domaine AD. Il faut vérifier les enregistrements existants.

    Egalement vérifier dans la zone de ton domaine AD le contenu des sous dossiers "_sites", "domaindnszones" et "forestdnszones".

    A te lire.

    Bonjour,

    J'ai tout vérifié, les 2 serveurs apparaissent bien partout...

    lundi 3 juin 2019 10:31
  • Les deux DCs sont des  catalogues globaux ? Il est impératif de disposer d'au moins un catalogue global en ligne pour que l'authentification fonctionne ...

    http://www.pbarth.fr/node/6

    Dcdiag et sur net share sur les deux serveurs ? Pas d'erreur ?

    Les partages sysvol et netlogon sont bien montés sur les deux serveurs ?

    Au niveau des applications qui utilisent le SSO, sont-ils configuré avec les deux serveurs ? utilisent-ils DNS pour rechercher les DCs (Exchange par exemple utilise DNS et utilise beaucoup le catalogue global) ? Si l'applicatif est configuré avec un seul serveur, forcément l'authentification ne fonctionnera pas s'il est éteint.

    Les rôles FSMO ne sont pas directement liés à l'authentification.

    Bonjour,
    Oui comme je le précisais dans mon post initial, les 2 serveurs sont bien CG, les enregistrements DNS semblent OK. J'ai migré de DFS à DFS-R sans souci
    Je vais revérifier la configuration des applications mais à priori c'est correct

    Merci

    lundi 3 juin 2019 10:32
  • dcdiag sur le deuxième DC ? 
    lundi 3 juin 2019 14:00
  • Tu es bien sur d'avoir les 2 serveurs qui sont AD/DNS au niveau des serveurs de noms de la zone _msdcs ?

    Il faut regarder sur la zone de recherche complète mais également sur la délégation de la zone qui correspond à ton AD.

    Les recherches d'authentification se font sur cette zone là.

    lundi 3 juin 2019 14:42
  • Est ce que le serveur exchange a bien dans son configuration IP les 2 DC configurés comme serveur DNS ?

    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    vendredi 7 juin 2019 13:30