none
Erreur lors de migration FSMO RRS feed

  • Discussion générale

  • Bonjour,

    Je travaille en prestation chez un client.

    Nous remplaçons son serveur (actuellement en 2008 R2) pour basculer sur une infrastructure en Windows Server 2016.

    La foret et le domaine sont en 2008 R2 (domaine déjà migrée d'un serveur en 2003).

    Objectif : Migrer les fichiers, l'AD, le DNS, le DHCP sur le nouveau serveur.

    Mon nouveau serveur est déjà inscrit en tant que contrôleur de domaine. J'aimerai y migrer les rôles FSMO mais mon DCdiag est bourrés d'erreurs (notamment au niveau du déchiffrage de clé Kerberos). Nslookup quant à lui n'est pas anormal.

    J'ai déjà effectué mes tâches de maintenance de "haut-niveau" (Réenregistrer le DNS, purger les tickets Kerberos, nettoyer un peu le DNS) ainsi que quelques unes de "bas-niveau" (notamment manipulé en LDAP les rôles FSMO en forçant les propriétaires. Cela c'est très mal passé, ils sont devenus complètement inconstant mais j'ai réussi à les récupérer miraculeusement).

    J'ai aussi promu/dépromu mon nouveau serveur et supprimé/réinstallé le couple AD/DNS.

    Je n'ai plus tellement d'idée. Je pense que cela vient bien du DNS sur l'ancien serveur mais je ne vois pas comment le "réparer" sans incidence sur la structure (y'a 500 postes derrière).

    Merci d'avance pour vos réponses.

    mardi 18 septembre 2018 15:24

Toutes les réponses

  • Bonjour,

    Avant de faire une quelquonque manipulation, pouvez vous nous fournir le dcdiag du serveur en question svp ?

    (ouvrir une invite de commande en tant qu'admin et saisir cette commande)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    • Modifié matteu31400 mercredi 19 septembre 2018 07:48
    mardi 18 septembre 2018 19:47
  • Bonjour,

    Nous parlons de bien de la rétrogradation de l'ancien serveur ? Au vu de l'état actuel de l'infrastructure, je ne peux pas effectuer le DCpromo de l'ancien serveur. Au risque de perdre mes rôle FSMO et notamment mon catalogue global.

    Peux-être puis-je vous fournir des logs du dcdiag déjà ?


    mercredi 19 septembre 2018 07:44
  • Je m'excuse, j'édite mon poste. C'est bien dcdiag que je voulais écrire...

    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    • Modifié matteu31400 mercredi 19 septembre 2018 07:48
    mercredi 19 septembre 2018 07:47
  • Bonjour,

    Nouveau sur le forum, j'espère que cette façon de faire est autorisé. J'ai anonymisé les noms de domaines et de serveur.

    (J'ai un problème d'encodage, les accents ne sont pas reconnus)

    Diagnostic du serveur d'annuaire
    
    
    Ex‚cution de l'installation initialeÿ: 
    
       Tentative de recherche de serveur associ‚...
    
       Serveur associ‚ÿ: RAGXXX02
    
       * Forˆt AD identifi‚e. 
       Collecte des informations initiales termin‚e.
    
    
    Ex‚cution des tests initiaux n‚cessaires
    
       
       Test du serveurÿ: Premier-Site-par-defaut\RAGXXX02
    
          D‚marrage du testÿ: Connectivity
    
             ......................... Le test Connectivity
    
              de RAGXXX02 a r‚ussi
    
    
    Ex‚cution des tests principaux
    
       
       Test du serveurÿ: Premier-Site-par-defaut\RAGXXX02
    
          D‚marrage du testÿ: Advertising
    
             ......................... Le test Advertising
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: FrsEvent
    
             ......................... Le test FrsEvent
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: DFSREvent
    
             ......................... Le test DFSREvent
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: SysVolCheck
    
             ......................... Le test SysVolCheck
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: KccEvent
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x80000785
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:41:08
    
                ChaŒne d'‚v‚nementÿ:
    
                chec de la tentative d'‚tablissement d'un lien de r‚plication pour la partition de r‚pertoire inscriptible. 
    
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x80000785
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:41:08
    
                ChaŒne d'‚v‚nementÿ:
    
                chec de la tentative d'‚tablissement d'un lien de r‚plication pour la partition de r‚pertoire inscriptible. 
    
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x80000785
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:41:08
    
                ChaŒne d'‚v‚nementÿ:
    
                chec de la tentative d'‚tablissement d'un lien de r‚plication pour la partition de r‚pertoire inscriptible. 
    
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x80000785
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:41:08
    
                ChaŒne d'‚v‚nementÿ:
    
                chec de la tentative d'‚tablissement d'un lien de r‚plication pour la partition de r‚pertoire inscriptible. 
    
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x80000785
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:41:08
    
                ChaŒne d'‚v‚nementÿ:
    
                chec de la tentative d'‚tablissement d'un lien de r‚plication pour la partition de r‚pertoire inscriptible. 
    
    
             ......................... Le test KccEvent
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: KnowsOfRoleHolders
    
             ......................... Le test KnowsOfRoleHolders
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: MachineAccount
    
             ......................... Le test MachineAccount
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: NCSecDesc
    
             L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas 
    
                Replicating Directory Changes In Filtered Set
             de droits d'accŠs pour le contexte de nommageÿ:
    
             DC=ForestDnsZones,DC=XXXXX,DC=local
             L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas 
    
                Replicating Directory Changes In Filtered Set
             de droits d'accŠs pour le contexte de nommageÿ:
    
             DC=DomainDnsZones,DC=XXX,DC=local
             ......................... Le test NCSecDesc
    
              de RAGXXX02 a ‚chou‚
          D‚marrage du testÿ: NetLogons
    
             ......................... Le test NetLogons
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: ObjectsReplicated
    
             ......................... Le test ObjectsReplicated
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: Replications
    
             AVERTISSEMENT SUR LA LATENCE DE RPLICATION
    
             RAGXXX02ÿ: Heure actuelleÿ: 2018-09-19 09:55:39.
    
                CN=Schema,CN=Configuration,DC=XXXXX,DC=local
                   DerniŠre r‚plication re‡ue de RAGXXX03 … 
              2018-09-05 08:53:15 
                CN=Configuration,DC=XXXXX,DC=local
                   DerniŠre r‚plication re‡ue de RAGXXX03 … 
              2018-09-05 08:53:14 
                DC=XXXXX,DC=local
                   DerniŠre r‚plication re‡ue de RAGXXX03 … 
              2018-09-05 08:53:15 
             ......................... Le test Replications
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: RidManager
    
             ......................... Le test RidManager
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: Services
    
             ......................... Le test Services
    
              de RAGXXX02 a r‚ussi
          D‚marrage du testÿ: SystemLog
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   08:56:39
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0x000016AD
    
                Temps g‚n‚r‚ÿ: 09/19/2018   08:59:35
    
                ChaŒne d'‚v‚nementÿ:
    
                L'installation de la session … partir de l'ordinateur MONCPTPL01 n'a pas pu ˆtre authentifi‚e. L'erreur suivante s'est produiteÿ: 
    
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:03:30
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:08:45
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0x40000004
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:11:08
    
                ChaŒne d'‚v‚nementÿ:
    
                Le client Kerberos a re‡u une erreur KRB_AP_ERR_MODIFIED du serveurÿragXXX02$. Le nom cible utilis‚ ‚tait E3514235-4B06-11D1-AB04-00C04FC2DCD2/3f4eac85-2f3a-474e-9f3a-ea58858ea6d1/XXXXX.local@XXXXX.local. Cela indique que le serveur cible n'a pas r‚ussi … d‚chiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte diff‚rent de celui utilis‚ par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilis‚ par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffŠre par rapport … celui que possŠde le centre de distribution de cl‚s Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de cl‚s Kerberos sont tous deux mis … jour pour utiliser le mot de passe actuel. Si le nom de serveur n'est pas pleinement qualifi‚, et que le domaine cibleÿ(XXXXX.LOCAL) diffŠre du domaine clientÿ(XXXXX.LOCAL), v‚rifiez s'il existe des comptes de serveur de mˆme nom dans ces deux domaines, ou utilisez le nom pleinement qualifi‚ pour identifier le serveur.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:15:33
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:15:36
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:15:36
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:20:52
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x000003FC
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:23:49
    
                ChaŒne d'‚v‚nementÿ:
    
                L'‚tendue, 172.18.14.0, est remplie … 85 pour cent avec seulement 3 adresses IP restantes.
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x000003FC
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:23:49
    
                ChaŒne d'‚v‚nementÿ:
    
                L'‚tendue, 172.50.14.0, est remplie … 81 pour cent avec seulement 2 adresses IP restantes.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0x000016AD
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:23:49
    
                ChaŒne d'‚v‚nementÿ:
    
                L'installation de la session … partir de l'ordinateur MONRES012017 n'a pas pu ˆtre authentifi‚e. L'erreur suivante s'est produiteÿ: 
    
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0x40000004
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:26:08
    
                ChaŒne d'‚v‚nementÿ:
    
                Le client Kerberos a re‡u une erreur KRB_AP_ERR_MODIFIED du serveurÿragXXX02$. Le nom cible utilis‚ ‚tait LDAP/3f4eac85-2f3a-474e-9f3a-ea58858ea6d1._msdcs.XXXXX.local. Cela indique que le serveur cible n'a pas r‚ussi … d‚chiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte diff‚rent de celui utilis‚ par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilis‚ par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffŠre par rapport … celui que possŠde le centre de distribution de cl‚s Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de cl‚s Kerberos sont tous deux mis … jour pour utiliser le mot de passe actuel. Si le nom de serveur n'est pas pleinement qualifi‚, et que le domaine cibleÿ(XXXXX.LOCAL) diffŠre du domaine clientÿ(XXXXX.LOCAL), v‚rifiez s'il existe des comptes de serveur de mˆme nom dans ces deux domaines, ou utilisez le nom pleinement qualifi‚ pour identifier le serveur.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:27:40
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0x40000004
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:32:11
    
                ChaŒne d'‚v‚nementÿ:
    
                Le client Kerberos a re‡u une erreur KRB_AP_ERR_MODIFIED du serveurÿragXXX02$. Le nom cible utilis‚ ‚tait cifs/RAGXXX03.XXXXX.local. Cela indique que le serveur cible n'a pas r‚ussi … d‚chiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur (SPN) cible est inscrit sur un compte diff‚rent de celui utilis‚ par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilis‚ par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffŠre par rapport … celui que possŠde le centre de distribution de cl‚s Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de cl‚s Kerberos sont tous deux mis … jour pour utiliser le mot de passe actuel. Si le nom de serveur n'est pas pleinement qualifi‚, et que le domaine cibleÿ(XXXXX.LOCAL) diffŠre du domaine clientÿ(XXXXX.LOCAL), v‚rifiez s'il existe des comptes de serveur de mˆme nom dans ces deux domaines, ou utilisez le nom pleinement qualifi‚ pour identifier le serveur.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:32:58
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'avertissement s'est produit. ID de l'‚v‚nementÿ:
    
             0x000016AF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:36:08
    
                ChaŒne d'‚v‚nementÿ:
    
                Lors des 4.20 derniŠres heures, 394 ordinateurs client se sont connect‚s … ce contr“leur de domaine, leurs adresses IP ne correspondant … aucun des sites existants de l'entreprise. Ces clients ont donc des sites ind‚finis et peuvent se connecter … n'importe quel contr“leur de domaine, y compris ceux se trouvant dans des emplacements distants ‚loign‚s des clients. Le site d'un client est d‚termin‚ par la mappage de son sous-r‚seau … un des sites existants. Pour d‚placer les clients ci-dessus vers un de ces sites, cr‚ez ‚ventuellement des objets sous-r‚seau qui feront correspondre les adresses IP ci-dessus avec un des sites existants. Les noms et les adresses IP des clients en question ont ‚t‚ enregistr‚s sur cet ordinateur dans le XXXhier journal suivant : '%SystemRoot%\debug\netlogon.log' et ‚ventuellement dans le XXXhier journal '%SystemRoot%\debug\netlogon.bak' cr‚‚ si le journal pr‚c‚dent est plein. Les journaux peuvent contenir des informations de d‚bogage non li‚es suppl‚mentaires. Pour filtrer que l'information n‚cessaire, recherchez les lignes contenant le texte 'NO_CLIENT_SITE:'. Le premier mot suivant cette chaŒne est le nom du client et le second est l'adresse IP du client. La taille maximale des journaux est d‚finie par la valeur DWORD de Registre suivante : 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LogFileMaxSize' ; la valeur par d‚faut est de 20000000 octets. La taille maximale actuelle est de 20000000 octets. Pour d‚finir une taille maximale diff‚rente, cr‚ez la valeur de Registre ci-dessus et d‚finissez la taille maximale d‚sir‚e en octets.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:39:53
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:45:02
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:51:59
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             ......................... Le test SystemLog
    
              de RAGXXX02 a ‚chou‚
          D‚marrage du testÿ: VerifyReferences
    
             ......................... Le test VerifyReferences
    
              de RAGXXX02 a r‚ussi
       
       
       Ex‚cution de tests de partitions sur ForestDnsZones
    
          D‚marrage du testÿ: CheckSDRefDom
    
             ......................... Le test CheckSDRefDom
    
              de ForestDnsZones a r‚ussi
          D‚marrage du testÿ: CrossRefValidation
    
             ......................... Le test CrossRefValidation
    
              de ForestDnsZones a r‚ussi
       
       Ex‚cution de tests de partitions sur DomainDnsZones
    
          D‚marrage du testÿ: CheckSDRefDom
    
             ......................... Le test CheckSDRefDom
    
              de DomainDnsZones a r‚ussi
          D‚marrage du testÿ: CrossRefValidation
    
             ......................... Le test CrossRefValidation
    
              de DomainDnsZones a r‚ussi
       
       Ex‚cution de tests de partitions sur Schema
    
          D‚marrage du testÿ: CheckSDRefDom
    
             ......................... Le test CheckSDRefDom
    
              de Schema a r‚ussi
          D‚marrage du testÿ: CrossRefValidation
    
             ......................... Le test CrossRefValidation
    
              de Schema a r‚ussi
       
       Ex‚cution de tests de partitions sur Configuration
    
          D‚marrage du testÿ: CheckSDRefDom
    
             ......................... Le test CheckSDRefDom
    
              de Configuration a r‚ussi
          D‚marrage du testÿ: CrossRefValidation
    
             ......................... Le test CrossRefValidation
    
              de Configuration a r‚ussi
       
       Ex‚cution de tests de partitions sur XXXXX
    
          D‚marrage du testÿ: CheckSDRefDom
    
             ......................... Le test CheckSDRefDom
    
              de XXXXX a r‚ussi
          D‚marrage du testÿ: CrossRefValidation
    
             ......................... Le test CrossRefValidation
    
              de XXXXX a r‚ussi
       
       Ex‚cution de tests d'entreprise sur XXXXX.local
    
          D‚marrage du testÿ: LocatorCheck
    
             ......................... Le test LocatorCheck
    
              de XXXXX.local a r‚ussi
          D‚marrage du testÿ: Intersite
    
             ......................... Le test Intersite
    
              de XXXXX.local a r‚ussi
    

    mercredi 19 septembre 2018 08:03
  • Bonjour,

    Alors en effet c'est pas joli joli...

    Pouvez vous installer ad replication status tool et faire un imprime ecran du resultat une fois que vous avez fait refresh replication status : https://www.microsoft.com/en-us/download/details.aspx?id=30005

    Vous pouvez héberger l'imprime écran sur un site tier et mettre le lien ici. Vous pouvez cacher les information "confidentielles".

    Je n'ai pas assez d'expérience dans le domaine pour vous dire avec précision quel est le message le plus critique à traiter mais :

    Echec de la tentative d'établissement d'un lien de réplication pour la partition de répertoire inscriptible.

    -> Je dois chercher pour comprendre un peu mieux.

    test NCSecDesc

    En échec, c'est parce que l'environnement n'a pas été préparé pour la mise en place d'un RODC

    -> Cela peut être ignoré ce n'est pas une erreur en soi.

    Le test de réplication

    indique qu'il n'y a pas eu de réplication depuis 14 jours avec ragxxx03. Cela est anormal et indique bien un problème de connectivité entre les 2 DC. Il faudrait faire un dcdiag sur cet autre DC également. Vous pouvez utiliser portqry pour tester la partie RPC depuis DC2 vers DC3

    https://www.microsoft.com/en-us/download/details.aspx?id=24009

    Test du system log

    Il y a un nom dupliqué sur le réseau. Il faut absolument traité ce problème.

    Exécuter nbtstat -n pour voir quel est le nom qui pose problème et régler le soucis.

    Erreur KRB_AP_ERR_MODIFIED à traiter ou a priori il faut vérifier les SPNs

    https://social.technet.microsoft.com/wiki/contents/articles/18996.active-directory-powershell-script-to-list-all-spns-used.aspx

    Vous pouvez utiliser ce script pour voir si tout va bien.

    Etendue DHCP qui sont presque remplis donc à vérifier.

    Pour moi, il faut traiter d'urgence le problème de doublon de nom sur le réseau et lancer l'adreplstatus et le soucis de SPN. Je vous laisse revenir vers nous avec les infos !



    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mercredi 19 septembre 2018 08:31
  • Tu as fais un DCdiag avant de démarrer ta migration ? En général la migration se fait à partir d'un environnement propre et vérifié. 

    Tu n"as que deux DC ? l'ancien et le nouveau 2016.

    Eh ben :

     Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP

    Le client Kerberos a re‡u une erreur KRB_AP_ERR_MODIFIED 
    AVERTISSEMENT SUR LA LATENCE DE RPLICATION

    chec de la tentative d'‚tablissement d'un lien de r‚plication pour la partition de r‚pertoire inscriptible. 

    C'est vraiment pas joli ...

    Tu as utilisé repadmin /showrepl pour voir qu'elle partition a des soucis de réplication. ou AD replication Status Tool

    (notamment manipulé en LDAP les rôles FSMO en forçant les propriétaires. Cela c'est très mal passé, ils sont devenus complètement inconstant mais j'ai réussi à les récupérer miraculeusement).

    C'est sur avec ce genre de truc, peu de chance d'avoir un résultat propre.
    Pourquoi tout le monde pense que les rôles FSMO c'est le saint Graal à protéger ?

    N'importe quel DC peut reprendre les rôles. Il est possible de forcer, mais dans ce cas l'ancien serveur qui avait les rôles ne doit JAMAIS revenir sur le réseau.

    Le plus propre serait de supprimer le nouveau DC et nettoier l'AD.
    UTilise DCdiag et fait un AD propre. utilise également repadmin.

    Ensuite réinstalle le nouveau serveur et migre proprement.

    Si cela peut aider :

    https://becomeitexpert.com/produit/planifier-migrer-infrastructure-active-directory-vers-windows-server-2012-r2-1ere-edition/

    mercredi 19 septembre 2018 09:17
  • Merci pour vos deux réponses.

    Rien n'est a proprement parlé migrer. J'ai aussi un serveur dédié à Exchange qui est DC secondaire.

    En utilisant le DCdiag et showrepl j'ai des réplications SYSVOL qui ne se font pas, des erreurs de doublons Netbios et des erreurs Kerberos. Quand je tente de migrer les rôles via la GUI Utilisateurs et Ordinateurs Active Directory (notamment le maitre d'opération) j'ai ce message : "Le contrôleur de domaine actuel est le maître d'opération. Pour transférer le rôle vers un autre ordinateur vous devez d'abord vous y connecter".

    Avec un setspn -X, je n'ai pas de doublon.

    Avec  AD Replication Status Tools, J'ai un "Accés Refusé" sur mon nouveau serveur depuis l'ancien.

    Donc je vais effectivement rétrograder/désinstaller les roles AD et DNS de mon serveur et faire du nettoyage. 

    Le gros du problème viendrait donc d'un nom en double niveau NetBios alors ? Je vais me pencher sur ce cas dans un premier temps.

    mercredi 19 septembre 2018 09:37
  •  J'ai aussi un serveur dédié à Exchange qui est DC secondaire.

    Ca c'est pas une bonne  pratique ... Pas de role AD DS sur les serveurs Exchanges.

    Donc tu as plusieurs anciens DCs. Fait un dcdiag /a ou fais les DCdiag sur tous les DCs.

    En utilisant le DCdiag et showrepl j'ai des réplications SYSVOL qui ne se font pas, des erreurs de doublons Netbios et des erreurs Kerberos. 

    repadmin /showrepl ne s'occupe pas de la réplication de fichier sysvol mais de la réplications des objets de l'annuaire LDAP. Je suppose que tes erreurs sont dans DCDiag.

    Quand je tente de migrer les rôles via la GUI Utilisateurs et Ordinateurs Active Directory (notamment le maitre d'opération) j'ai ce message : "Le contrôleur de domaine actuel est le maître d'opération. Pour transférer le rôle vers un autre ordinateur vous devez d'abord vous y connecter".

    Tu ne devrais même pas être entrain de faire ce genre de chose à cette étape... Tu as trop d'erreurs à gérer d'abord.

     "Le contrôleur de domaine actuel est le maître d'opération. Pour transférer le rôle vers un autre ordinateur vous devez d'abord vous y connecter".

    Ca ce n'est pas une erreur ... c'est juste que tu dois connecter ta console sur le serveur qui doit prendre les rôles et ceux quelque soit le serveur sur lequel tu ouvres la console.

    Voir :http://www.pbarth.fr/node/79

    Avec  AD Replication Status Tools, J'ai un "Accés Refusé" sur mon nouveau serveur depuis l'ancien.

    Tu as bien fais exécuter en tant qu'admin ?

    mercredi 19 septembre 2018 10:26
  • J'ai donc rétrogradé puis supprimé les rôles AD/DNS de mon nouveau serveur (j'ai du forcé la rétrogradation). J'ai ensuite supprimé l'objet au nom de mon nouveau serveur dans l'AD/Domain Controller

    Je me concentre en ce moment sur le nbtstat, il me relève bien des doublons :

                    Table nom local NetBIOS

           Nom                Type         Statut
        ---------------------------------------------
        RAGXXX02       <00>  UNIQUE     Inscrit 
        RAGXXX          <1C>  Groupe       Inscrit 
        RAGXXX          <00>  Groupe       Inscrit 
        RAGXXX02       <20>  UNIQUE      Inscrit 
        RAGXXX02       <1B>  UNIQUE      Inscrit 

    "RAGXXX02" est mon serveur actuel. Celui que je cherche à remplacer. La technique pour un proste de travailler serait de le sortir du domaine, de le renommer puis de l'inclure de nouveau pour nettoyer les enregistrements NetBIOS. Mais dans le cas du serveur je n'ai pas de piste pour le nettoyage de ces doublons... 

    De plus quand le nbstat me relève le groupe "RAGXXX" en doublon, c'est une OU ? Sachant qu'il apparaît bien qu'une fois...

    mercredi 19 septembre 2018 12:14
  • Losques que tu utilises dns pour recherche des services tu as des enregistrements SRV qui définissent un nom et un port tcp. Par exemple monDC.domaine.local est le nom du serveur est 88 c'est le port de Kerberos, 389 le port des annuaires ldap

    etc ...

    Lorsque tu utilises NEtbios il y a un mécanisme similaire, dont les anciens utilisateurs de Wins se rappeleront.

    00 c'est la station de travail, 1C c'est le contrôleur de domaine, et 20 le service de fichier.

    Dans ton post unique ou groupe c'est le type.

    Je ne vois pas les noms dupliqué.

    Recherche les événements dans le journal d'événement et regarde s'il y a plus de détail sur le nom de l'objet dupliqués

       Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:03:30
    
                ChaŒne d'‚v‚nementÿ:
    
                Un nom dupliqu‚ a ‚t‚ d‚tect‚ sur le r‚seau TCP. L'adresse IP de l'ordinateur qui a envoy‚ le message est dans les donn‚es. Utilisez nbtstat -n dans une fenˆtre de commande pour voir quel nom est en ‚tat de conflit.
    
             Un ‚v‚nement d'erreur s'est produit. ID de l'‚v‚nementÿ: 0xC00010DF
    
                Temps g‚n‚r‚ÿ: 09/19/2018   09:08:45
    


    mercredi 19 septembre 2018 12:32
  • Les migrations de schéma ne tolèrent que 2 version d'OS, il faudrait migrer vers un 2012 R2, rétrograder 2008 r2 puis augmenter le niveau fonctionnel de la foret, et enfin migrer vers le 2016. Avant ces opérations, je ferai une retrogradation de 2016 pour qu'il n'y est pas dans la foret de dc avec de trop grands écarts de versions. 
    mercredi 19 septembre 2018 12:55
  • Les migrations de schéma ne tolèrent que 2 version d'OS, 

    On ne parle pas de migration de schéma mais de mise à jour .

    Pour le reste tu peux migrer de 2003 à 2012R2 ou 2016 directement... C'est juste qu''a partir de 2012 adprep n'est plus livré pour du 32 bits, mais il est exécuté automatiquement depuis l'assistant de configurations AD.

    Il n'y a pas de notion de 2 versions d'écart à ce niveau.

    puis augmenter le niveau fonctionnel de la foret, et enfin migrer vers le 2016.

    Il ne faut pas confondre les niveaux fonctionnel avec les versions de schéma ce sont deux choses totalement différentes .

    mercredi 19 septembre 2018 13:28
  • Merci pour vos réponses.

    J'ai tout de même montée une virtuelle en 2012 pour le test. Ce serveur est actuellement contrôleur de domaine aussi. Et effectivement, rien de mieux.

    J'ai l'impression que mes soucis d'interconnexion viennent particulièrement du service Kerberos. Toutefois, je ne suis pas du tout un expert sur ce protocole. Est-ce possible, via un assistant graphique ou une ligne de commande de vérifier la communication entre mes serveurs ? De vérifier qu'il n'y a pas de problème de déchiffrement de clé ? (c'est l'erreur qui m'est relevé dans le dcdiag).

    mercredi 19 septembre 2018 15:08
  • J'ai pris du temps pour vous aider, (tout comme tous les participants au forum) et c'est dommage de ne pas tout lire...

    Je vous invite donc à regarder ma partie

    Le test de réplication


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mercredi 19 septembre 2018 15:29
  • J'ai effectué ce test tout à l'heure (au moment ou le nouveau serveur était encore dans le domaine). 

    Je ne sais pas tellement comment lire ce log. 

    Voici le lien : https://textuploader.com/dv7n0

    J'ai aussi effectué un DCdiag au moment ou le serveur était sur le domaine, et il s'apparentait à ce que j'ai posté en début de thread.

    Je reviendrai vers vous une fois que j'aurai testé toutes les pistes que vous m'avez gentiment fournies. Je vous tiens informé des solutions.

    mercredi 19 septembre 2018 15:38
  • J'ai tout de même montée une virtuelle en 2012 pour le test. Ce serveur est actuellement contrôleur de domaine aussi. Et effectivement, rien de mieux.

    Ajouter des DCs dans un domaine qui n'est pas propre ne fait que multiplier les problèmes. 

    Vous avez rechercher l'erreur dans l'observateur d'événement ? 


    mercredi 19 septembre 2018 15:59