none
probleme authentification ordinateur RODC RRS feed

  • Discussion générale

  • Bonjour,

    J'ai mis en oeuvre en début d'année un RODC sur un de nos site.

    Cependant, il semblerait que les postes ne s'authentifient plus sur le domaine et de ce fait, le renouvellement du mot de passe du compte ordinateur ne se fait pas. Au final ca se traduit par un message un jour sur le poste de l'ordinateur qui est : qu'il n'existe plus de relation d'approbation entre le poste et le domaine.Cela se produit sur les pc présents sur ce site uniquement.

    J'ai suivi divers tutos sur le net mais pour résumer j'ai monté un rodc avec pour dns primaire lui meme, et secondaire un DC.

    il fait également dns et dhcp.

    Il distribue comme serveur dns lui meme en premier et un DC en second.

    j'ai fais un groupe avec tous les compte utilisateur du site que j'ai rajouté dans utilisateur dont le mot de passe peut etre mis en cache.

    J'ai également prérempli tous les pc pour qu'il soient mis en cache et ils apparaissent bien dans la fenetre correspondante dans l'AD.

    Je ne sais pas comment diagnostiquer ce probleme. Les utilisateur travaille normalement jusqu'a ce que message d'erreur apparaisse.

    jeudi 26 mai 2016 09:42

Toutes les réponses

  • dcdiag sur le RODC + repa dmin /showrepl

    Les ordinateurs ont des comptes et des mots de passe dans l'AD qui changent automatiquement.

    Le message laisse pensé que le mdp local du compte de machine n'est pas correct par rapport à ton domaine.


     

    jeudi 26 mai 2016 10:17
    Modérateur
  • Bonjour,

    Merci pour ton aide.

    Tout est ok de ce coté la.

    En effet, c'est cette conclusion également que je me suis donné.

    Le compte utilisateur et le compte ordinateur doivent etre authentifié sur l'AD. On dirait que pour le compte utilisateur ca fonctionne bien, mais pas pour le compte ordinateur. De ce fait, le mot de passe d'authentification liant le pc à l'AD ne peut pas être regénéré donc il est différent entre l'AD et le poste. Du cou, il ne parvient plus à s'authentifier.

    Je souhaiterais trouver la cause de ce problème :)

    jeudi 26 mai 2016 12:50
  • Tu peux regarder l'observateur d'événement du poste en question ?

     

    jeudi 26 mai 2016 18:22
    Modérateur
  • Je devrai pouvoir faire ca demain surement oui pour voir ca :)

    Dans le groupe mot de passe dont la réplication est autorisé, j'avais mis que les utilisateurs. Si je mets pas ordi, en théorie, ca veut dire qu'il va aller voir un DC pour cette action non ?

    Mais je comprends toujours pas pourquoi j'ai un probleme :s

    jeudi 26 mai 2016 19:11
  • Bonsoir

    y a t-il des pare-feux et du filtrage entre les différents sites?

    La communication réseau est-elle possible de manière permanente entre les sites?

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 26 mai 2016 21:02
  • Bonjour,

    Merci pour votre contribution.

    Communication permanente et aucun pare feu.

    Petite précision qui a son importance surement :

    Sur ce site, on a souvent des problème avec les postes qui ne s'enregistrent pas dans le serveur DNS.

    Il est donc impossible de les pinger via leur nom, mais aucun soucis avec l'ip

    Par contre, si je me connecte sur le RODC, je ping bien le poste via son nom dns (mais non présent sur le serveur dns bien sur). requete wins je suppose ?

    Sur ce site, je vois que le serveur de temps est le RODC , est ce que c'est une bonne pratique ? Le serveur RODC quand à lui se synchronise sur le PDC


    Voici les différentes erreurs que je peux trouver sur un poste :

    NtpClient n’a pas pu définir de domaine homologue utilisable comme source de temps en raison d’une erreur de découverte. Il réessaiera dans 3473457 minutes, puis doublera l’intervalle d’attente pour les tentatives suivantes. L’erreur était : Rubrique introuvable. (0x800706E1)

    Le service Explorateur d’ordinateur a rencontré un nombre d’échecs trop important en essayant de retrouver la copie de sauvegarde de la liste sur le transport \Device\NetBT_Tcpip_{67F335B9-D464-41DC-B570-663BA846B0A7}. L’explorateur secondaire s’arrête.

    Le service Explorateur d’ordinateur a rencontré un nombre d’échecs trop important en essayant de retrouver la copie de sauvegarde de la liste sur le transport \Device\NetBT_Tcpip_{67F335B9-D464-41DC-B570-663BA846B0A7}. L’explorateur secondaire s’arrête.

    Échec du traitement de la stratégie de groupe en raison d’une absence de connectivité réseau vers un contrôleur de domaine. Il peut s’agir d’un problème temporaire. Un message de réussite est généré une fois que l’ordinateur est connecté au contrôleur de domaine et que la stratégie de groupe est correctement traitée. Si aucun message de réussite ne s’affiche pendant plusieurs heures, contactez votre administrateur.

    La résolution du nom FQDN de mon pc a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu.

    Sachant que le pc a bien le RODC comme dns primaire, le ping bien et en second il a bien un DC qu'il ping bien également.

    vendredi 27 mai 2016 11:32
  • requete wins je suppose ?

    Tu as configuré un serveur Wins ?

    Non rien a voir avec Wins mais par défaut s'il n'arrive pas à résoudre avec le serveur DNS il va essayer un broadcast et si le poste est dans le même LAN que le serveur la résolution d'adresse fonctionne avec le broadcast.

    Tu as configuré la synchronisation d'horloge sur l'émulateur PDC de ton domaine. Attention au décalage d'horloge :

    http://pbarth.fr/node/87

    vendredi 27 mai 2016 13:58
    Modérateur
  • Pardon je dis des betises :p

    C'est le llmnr ca non ? c'est bien le phénomène du broadcast dont je souhaitais parler mais me souviens plus du nom.

    Pas de problème de synchronisation de temps.

    Mes postes se synchronisent bien sur les DC qui eux même se synchronisent sur le pdc

    vendredi 27 mai 2016 14:22
  • pas d'autres idées ?
    mardi 31 mai 2016 16:45
  • Il y a pas un specialiste RODC qui traine par la svp ^^ ?

    Voila mon soucis :

    Bon alors apres un peu de temps qui s'écoule, il semblerait que le problème ne vienne pas de la...

     

    De nouveau, je peux pinguer le poste en étant sur le même réseau que lui, mais depuis un autre réseau, je ne le ping pas, il n'y a pas d'enregistrement DNS qui est crée...
    Je ne comprends pas vraiment pourquoi la du cou.....

     

    Depuis qu'on a mis ce RODC en place, on a que des soucis d'authentification :(pourtant en regardant sur internet, ca n'avait pas l'air bien compliqué à mettre en place...

     

    Pour rappel :

     

    Installation du RODC avec dnc + dhcp
    Création d'un nouveau site + attribution du bon réseaux
    Création d'un groupe avec tous les utilisateur et tous les compte machine. Ajout de ce groupe dans le groupe objet dont le mot de passe est autorisé à être en cache.
    Le DNS1 du RODC pointe vers 1 DC

     

    les commande dcdiag et repadmin /showrepl ne retournent aucune erreur.
    Si je crée un enregistrement sur un DC il est bien répliqué sur le DNS.
    Par contre, on dirait bien que mes postes clients n'arrivent jamais à contacter le DC. Cependant, les utilisateur n'y voit que du feu et ont toujours accés à leur espace de travail habituel (lecteur réseau sur un autre sous réseaux etc...).

     

    Le problème c'est que la station ne parvient plus à contacter un DC et donc le mot de passe du compte ordinateur ne se synchronise pas avec celui de l'AD et tous les 60 jours ou 30 jours je ne sais plus de mémoire, on a le droit de sortir puis remettre le poste dans le domaine car la station d'approbation entre le poste et un controleur de domaine a échoué.

    vendredi 24 juin 2016 06:07
  • Tu as regardé l'observateur d'événement du poste client ?

    Tu n'as de filtrage sur ton routeur ?

    Pour le changement de mot de passe ton compte d'ordinateur doit pouvoir joindre un DC en écriture.

    vendredi 24 juin 2016 07:08
    Modérateur
  • Bonjour,

    Merci pour tes questions.

    Bon après vérification, ce poste la avait été oublier dans le groupe de réplication dont le mot de passe est autorisé donc je pense que ca vient de la.

    Je l'ai rajouté.

    vendredi 24 juin 2016 13:02