locked
Active Directory planté après modification SPN RRS feed

  • Discussion générale

  • Bonjour à tous,

    Je vous expose mon soucis :

    Je viens d'installé le rôle ADFS sur un contrôleur de domaine. Pendant l'installation tout se passe bien, seul un warning s'affiche me disant que le SPN n'a pas pu être modifié et qu'il faudra le faire à la main.

    J'installe le rôle ADFS sur mon 2ème contrôleur de domaine et hop une erreur me disant que je ne peux pas aller plus loin car problème de SPN.

    Je retourne donc sur mon 1er DC et je modifie mon SPN sans trop réfléchir : setspn -a HOST/mon_dc /mon_compte_de_service

    J'ai été un peu vite sans vraiment savoir ce qui allait se passer, et je n'ai toujours pas bien compris ce que bidouille ce SPN.

    N'empêche que je ne peux plus me loguer sur mon DC 1 !!

    J'ai fais le tour mais je ne vois aucune solution, donc si quelqu'un en a une je suis preneur !

    Merci d'avance

    Ronan

    lundi 28 avril 2014 15:28

Toutes les réponses

  • Bonjour,

    Je pense que ce problème est dû à la double utilisateur du Nom du serveur :

    "Hostname du DC" est le même que le "Nom service de federation".

    De plus, à ma connaissance l'install d'AD FS sur un DC est fortement déconseillé : AD FS nécessite une IDB, un self signed certificate, donc bcp de changement apportés à la machine sur lequel s'installe.

    La solution qui pourrait éventuellement résoudre votre problème est la suivante :

    => Commencez par changer le nom du serveur (le DC)

    => Changez le nom de service de federation (le SPN ne doit pas avoir le meme nom que le DC)

    => réattribuez le hostname de base à votre DC.

    Avez-vous tenter de tout simplement supprimer AD FS ?

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    lundi 28 avril 2014 16:30
  • Bonjour,

    merci pour la réponse, le seul soucis c'est que je ne peux pas me loguer sur le dc donc je ne peux pas modifier quoique ce soit...

    Je n'ai pas lu qu'il ne fallait pas l'installer à côté d'un ADDS... Je vais vérifier tout ça mais ca pourrait bien causer mon problème en effet !

    Ronan

    lundi 28 avril 2014 16:39
  • connectez-vous en tant qu'Admin local (.\Administrateur) au lieu d'ouvrir une session sur le domaine.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    lundi 28 avril 2014 18:02
  • Il n'y a pas de compte local sur un DC...
    lundi 28 avril 2014 18:21
  • je suis d'accord qu'il n'y a pas de SAM sur un DC mais plutôt de la DB d'AD, mais je parle de l'AD restore mode avec le mot de passe de restauration que vous avez spécifié au moment de la promotion de votre DC.

    D'abord, planifiez un downtime (je connais pas la taille de votre société ni les horaires de connexions sur le DC) mais si vous pouvez (à partir de 18h par exemple) rebooter le DC, tapotez au démarrage (phase BIOS) sur la touche F8 => Mode de restauration AD => ce qui va faire que votre serveur démarre sans AD et vous pouvez utiliser le local admin account utilisé créé au moment de l'install de votre serveur.

    Goodluck Robiback35.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    lundi 28 avril 2014 18:42
  • Hummm très bonne idée, je tente ceci demain.

    Je vous tiens au courant !

    Merci

    Ronan

    lundi 28 avril 2014 19:01
  • Hello,

    Donc j'ai bien réussi à me connecter à mon DC, supprimer le rôle ADFS.

    J'ai supprimé les SPN en cause depuis adsi.edit mais rien de nouveau.

    Un prestataire vient cet après-midi voir d'où provient le soucis.

    A+

    Ronan

    mardi 29 avril 2014 09:45
  • avez-vous essayé de changer le hostname de votre Dc, rebooter le serveur et réattribuez le hostname de base, ca va changer le SPN entre temps et ça peut corriger le problème.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    mardi 29 avril 2014 10:22