none
Divers petits problèmes Windows 2012 AD/DNS et bureau à distance

    Discussion générale

  • Bonjour,

    Je rencontre divers petits problèmes sur un serveur 2012 AD/DNS.

    En premier lieu pour me connecter via le bureau à distance. Le serveur est configuré comme il faut pour autoriser l'accès à distance des utilisateurs (j'ai comparé avec d'autres serveurs sans problèmes, cela est correct). Les commandes d'authentification sont Ok (quand je tape volontairement un mauvais mot de passe, il me redemande le mot de passe) mais au lieu de m'ouvrir le bureau il 'envoie un message "accès refusé".

    Auriez-vous une idée ?

    Je pense que l'installation récente du serveur a été faite correctement , je pense même que le bureau à distance a du fonctionner au début.

    De plus, nous avons d'autres erreurs du type sur 'observateur d'évènements :

    ID 6 : L’inscription de certificat pour Système local n’a pas pu charger la stratégie à partir des serveurs de stratégies avec l’ID  Le type de chiffrement demandé n’est pas pris en charge par le contrôleur de domaine Kerberos. 0x80090342 (-2146892990 SEC_E_KDC_UNKNOWN_ETYPE) ()

    ID 67 : L’inscription de certificat pour Système local n’a pas pu charger la stratégie à partir des serveurs de stratégies avec l’ID  Le type de chiffrement demandé n’est pas pris en charge par le contrôleur de domaine Kerberos. 0x80090342 (-2146892990 SEC_E_KDC_UNKNOWN_ETYPE) ()

    De pljus, pour le DNS, l'inscription des machines ne se faisaient pas automatiquement avec l'option "Sécurisé uniquement" il a fallu choisir "Sécurisé et non sécurisé" pour que les machines s'inscrivent automatiquement dans le DNS. Et d'ailleurs il manque le répertoire _ldap***** dans l'arborescence du DNS.

    Auriez-vous déjà rencontré ce type de problèmes ?

    Le serveur fonctionne plutôt correctement mais tous ces messages ne sont pas sains et j'aimerais trouver des moyen de les résoudre.

    Merci par avance.

    Cordialement.

    samedi 21 octobre 2017 08:58

Toutes les réponses

  • Bonsoir,

    En premier lieu pour me connecter via le bureau à distance. Le serveur est configuré comme il faut pour autoriser l'accès à distance des utilisateurs (j'ai comparé avec d'autres serveurs sans problèmes, cela est correct). Les commandes d'authentification sont Ok (quand je tape volontairement un mauvais mot de passe, il me redemande le mot de passe) mais au lieu de m'ouvrir le bureau il 'envoie un message "accès refusé".

    Auriez-vous une idée ?

    Je vous invite à consulter ce lien :

    Frequently asked questions about the Remote Desktop clients

    De pljus, pour le DNS, l'inscription des machines ne se faisaient pas automatiquement avec l'option "Sécurisé uniquement" il a fallu choisir "Sécurisé et non sécurisé" pour que les machines s'inscrivent automatiquement dans le DNS. Et d'ailleurs il manque le répertoire _ldap***** dans l'arborescence du DNS.

    Pour ce message, il faut juste changer le l'option configurée dans les paramètres de la zone DNS en Sécurisé uniquement .C'est une recommandation.

    Pour les message de kerberos on a besoin de savoir l'ID et la source de l'événements pour pouvoir donner une piste utile.



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    dimanche 22 octobre 2017 00:37
    Modérateur
  • En complément aux remarques de Thameur:

    • sur un serveur 2012 AD/DNS: c'est un contrôleur de domaine ? Dans ce cas, seul les membres du groupes "domain admins" ou "builtin\administrators" pourront ouvrir une session. Cela explique surement l'erreur "accès refusé".
    • Event id 6 et 67: visiblement, vous ne communiquez pas comme il faut sur le réseau. Vérifier l'état de santé de votre contrôleur de domaine: dcdiag et repadmin.
    • Inscription DNS: cela va de paire avec les event id 6 et 67. J'aurais tendance à penser que vous faites de l'IPSec sur le réseau. Votre solution est un contournement que vous pouvez maintenir le temps d'identifier la raison des erreurs de chiffrements réseau.
    • _LDAP: à nouveau, cela se produit lorsque les communications chiffrées ne passent pas. La partition contenant les informations de zone n'est pas complétement répliquée. Dans ce cas, dcdiag et repadmin devrait retourner des erreurs.
    dimanche 22 octobre 2017 10:44
  • Bonsoir,

    Merci pour votre réponse.

    N'ayant accès à distance au site , je n'ai pu aller plus loin dans les recherches. Dès que je peux m'y déplacer , je vous tiendrai au courant de mes avancées.

    Crdialement.

    lundi 23 octobre 2017 20:49
  • Bonjour,

    Ayant réussi à me conecter sur le serveur avec vnc, je rencontre en effet de nombreux problèmes de connectivité avec l'AD.

    Le test de Connectivité via dcdiag /test: DNS remonte entre autres une erreur lors de la connectivité LDAP/RPC.

    Les autres tests de registration remontent :

    TEST: Records registration (RReg)

    Carte réseau [00000011] HP Ethernet 1Gb 4-port 331i Adapter :<o:p></o:p>

    Avertissement :  Enregistrement CNAME manquant au niveau du serveur DNS 172.16.xxx.yyy :<o:p></o:p>

    c49c4fce-69bd-42d1-84e2-1a4c7e843ab7._msdcs.mondomaine.priv <o:p></o:p>

    [Error details: 9002 (Type: Win32 - Description: Défaillance du serveur DNS.)]<o:p></o:p>

    <u1:p></u1:p>Matching  SRV record found at DNS server 172.16.xxx.yyy: _ldap._tcp.mondomaine.priv<o:p></o:p>

    <u1:p></u1:p>Erreur :<o:p></o:p>

    Enregistrement SRV manquant au niveau du serveur DNS 172.16.xxx.yyy : _ldap._tcp.1a9fae6b-e738-4264-840c-1b01be33e41f.domains._ms<o:p></o:p>

    dcs.mondomaine.priv<o:p></o:p>

    <u1:p></u1:p>[Error details: 9002 (Type: Win32 - Description: Défaillance du serveur DNS.)]<o:p></o:p>

    Erreur :<o:p></o:p>

    Enregistrement SRV manquant au niveau du serveur DNS 172.16.xxx.yyy :<o:p></o:p>

    _kerberos._tcp.dc._msdcs.mondomaine.priv<o:p></o:p>

    [Error details: 9002 (Type: Win32 - Description: Défaillance du serveur DNS.)]<o:p></o:p>

    <u1:p></u1:p> Erreur :<o:p></o:p>

    Enregistrement SRV manquant au niveau du serveur DNS 172.16.xxx.yyy : _ldap._tcp.dc._msdcs.mondomaine.priv

    [Error details: 9002 (Type: Win32 - Description: Défaillance du serveur DNS.)]<o:p></o:p>

    <u1:p></u1:p> Matching  SRV record found at DNS server 172.16.xxx.yyy: _kerberos._tcp.mondomaine.priv<o:p></o:p>

    <u1:p></u1:p>  Matching  SRV record found at DNS server 172.16.xxx.yyy: _kerberos._udp.mondomaine.priv<o:p></o:p>

    <u1:p></u1:p> Matching  SRV record found at DNS server 172.16.xxx.yyy: _kpasswd._tcp.mondomaine.priv<o:p></o:p>

    <u1:p></u1:p> Matching  SRV record found at DNS server 172.16.xxx.yyy: _ldap._tcp.Default-First-Site-Name._sites.mondomaine.priv<o:p></o:p>

    <u1:p></u1:p>
    <u1:p></u1:p>
    Résumé des résultats des tests DNS :<o:p></o:p>

    <u1:p></u1:p> Auth Basc Forw Del  Dyn  RReg Ext<o:p></o:p>

    ________________________________________________________________<o:p></o:p>

    Domaine : mondomaine.priv<o:p></o:p>

    ad                           PASS FAIL PASS FAIL WARN FAIL n/a<o:p></o:p>

     ......................... Le test DNS de mondomaine.priv a échoué<o:p></o:p>

    Test omis à la demande de l'utilisateur : LocatorCheck<o:p></o:p>

    Test omis à la demande de l'utilisateur : Intersite<o:p></o:p>

    <u1:p></u1:p>


    mardi 24 octobre 2017 15:10
  • Combien de site ? de DC? 

    Type de lien entre les sites ? Filtrage de ports ?

    Voir :

    https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd

    Quel est la configuration réseau des DCs ? DNS primaire, secondaire  ?

    Tous les DCs sont serveurs DNS ? Les zones DNS sont intégrés AD et les MAJ sécurisées sont autorisés ?

    Tu peux faire un net share sur le DC et vérifier la présence des partages netlogon et sysvol ? S'ils ne sont pas présent cela peur laisser penser que ton DC n'a jamais fini correctement la première initialisation après la promotion.


    mardi 24 octobre 2017 17:11
    Modérateur
  • Bonjour,

    Comme indiqué par Philippe, il semble que vous avez un problème réseau pour cela il faut commencer par la vérification du :

    • Configuration des paramètres DNS sur chaque DC,
    • configuration réseau et firwall

    SI le problème réseau est réglé, il faut lancer la commande ipconfig /registreDNS sur chaque DC et forcer le redémarrage du service netlogon pour la génération automatique des enregistrement SRV.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 24 octobre 2017 17:20
    Modérateur
  • Votre domaine AD est dans un sale état. Il faut reprendre les bases comme l'indique Philippe et Thameur. Premièrement, occupez-vous de revérifier la configuration réseau :

    • adresse IP
    • Masque de sous-réseau
    • Passerelle par défaut
    • Dns Primaire
    • Dns Secondaire

    Faites un IPCONFIG /ALL et donnez-nous le résultat. Préparez-vous aux questions suivantes :

    1. quelle est l'adresse de la passerelle par défaut ?
    2. le pare-feu du serveur est-til activé ?
    3. si la passerelle accepte les requêtes ICMP ECHO, un ping répond-il bien ?
    4. est-ce le seul serveur DNS de votre domaine ?

    mardi 24 octobre 2017 19:22
  • Bonjour,

    Tout d'abord merci pour vos réponses.

    Je n'ai qu'un seul site avec un seul DC, ce même serveur est donc DNS intégré à l'AD. 

    La config réseau un réseau public 172.16.11.yyy/255.255.255.0 avec une passerelle en 172.16.11.254. Le DNS est celui de la machine elle-même. 

    Tous les postes de travail sont sur le même site et le même réseau.

    Les DNS autres sont dans les redirecteurs du serveur DNS.

    Le parefeu a été désactive volontairement sur la zone domaine suite aux problèmes rencontrés pour vérifier si cela se comportait mieux, cela n'avait pas été concluant. Les pings et autres répondent bien.

    Le net share me présente bien netlogon et sysvol.

    Je prends un peu le problème en cours mais tout me parait correct au niveau réseau.

    mercredi 25 octobre 2017 08:16
  • effectivement, ca semble correcte à première vue. Juste une notion : réseau public = adresse accessible sur le Net. 172.16 est un réseau privé normalement de classe B (/16). Mais cela ne pose pas de problème :)

    Pouvez-vous faire le test suivant :

    • nslookup
    • Set type=SRV
    • mondomaine.priv

    Cela doit vous retourner l'IP du DC uniquement. D'autre part, il ne faut pas avoir de message "time-out" avec la réponse.

    mercredi 25 octobre 2017 09:30
  • En effet , erreur en public et privé.

    Par contre, Le serveur DNS a bien un problème : le serveur par défaut est unknown au lieu de me mettre ad.mondomaine.priv , l'adresse est elle bien correcte.

    et il me renvoie bien un request timeout.


    mercredi 25 octobre 2017 10:15
  • Par contre, Le serveur DNS a bien un problème : le serveur par défaut est unknown au lieu de me mettre ad.mondomaine.priv , l'adresse est elle bien correcte.

    Nslookup indique unknow si tu n'as pas de zone DNS inversé, cela n'est pas un problème pour l'AD.

    Tu as des erreurs dans les enregistrements DNS, le redémarrage du service Netlogon recrée les enregistrements SRV manquant. IPconfig /registerDNS recrée l'enregistrement A du DC si nécessaire.

    Vérifie l'observaateur d'événement pour les erreurs DNS. Regarde si tu as une erreur du genre :https://social.technet.microsoft.com/wiki/contents/articles/1461.event-id-4521-dns-server-active-directory-integration.aspx

    Dans sites et services AD tu n'as pas de trace d'un ancien DC ?

    Ton DC n'a qu'une carte réseau et une IP ?

    mercredi 25 octobre 2017 11:51
    Modérateur
  • J'ai bien une zone DNS inversé mais elle est vide car si je mets les propriétés de la zone en Sécurisé Uniquement cela ne s'inscrit. Meme cas que pour ma zone directe que j'ai du passer en Sécurisé et non Sécurisé pour que les PC s'abonnant au domaine s'inscrivent automatiquement dans la zone.

    J'ai déjà relancé netlogon et ipconfig /registerdns plusieurs mais le résultat n'est pas meilleur.

    J'avais même supprimé la zone la semaine dernière deseinstaller le serveur DNS puis remonter mais le résultat fut le même.

    Je n'ai pas d'anciens DC dans Sites AD.

    Par contre, avant ce serveur il y avait un DNS avec un autre nom de zone dans la même classe Ip 172.16.11.0/24 ?

    Mais il a été arrêté avant la mise en service ce celui-ci.

    mercredi 25 octobre 2017 12:12
  • Meme cas que pour ma zone directe que j'ai du passer en Sécurisé et non Sécurisé pour que les PC s'abonnant au domaine s'inscrivent automatiquement dans la zone

    Ce n'est pas normal les PCs du domaine devraient s'inscrire avec les mises à jours sécurisés. Les zones sont intégrés AD je suppose sinon l'option sécurisé uniquement ne devrait pas être disponible.

    Les droits par défaut de la zone n'ont pas été modifié ? Les horloges sont synchronisées avec le bon fuseau horaire ? Erreur DNS dans l'observateur d'événement ?

    Comment sont mises à jour les zones DNS : http://pbarth.fr/node/35

    Par contre, avant ce serveur il y avait un DNS avec un autre nom de zone dans la même classe Ip 172.16.11.0/24 ?

    Cela ne devrait pas poser de problème si les postes utilisent le bon serveur DNS d'autant plus qu'il ne s'agit pas du même nom de domaine.

    mercredi 25 octobre 2017 12:32
    Modérateur
  • Non les droits par défaut n'ont pas été modifiés , du moins pas depuis la re-installation du serveur DNS en fin de semaine dernière.

    Par contre, dans ma zone directe, les répertoires DomainDnsZOnes et ForesDnsZOnes n'ont pas été créés.

    De plus sous Zone de recherche directe je n'ai pas de conteneur _msdcs.mondomaine.priv.

    Pour les horloges, c'est OK.

    Dans l'observateur d'évènements j'ai surtout des erreurs du type kerberos (comme vu plus haut) ou Echec de l'appel de fonction de liaison LDAP)

    mercredi 25 octobre 2017 12:53
  • De plus sous Zone de recherche directe je n'ai pas de conteneur _msdcs.mondomaine.priv.

    Recrée la zone manquante avec le même nom et redémarre le service netlogon...

    Comme expliqué dans l'article que je t'ai indiqué.

    Vérifie également que tes zones sont bien intégrées AD.


    mercredi 25 octobre 2017 14:44
    Modérateur
  • A noter au passage : si on pouvait éviter le mixage des rôles ADDS et RDS... Coté sécurité c'est beurk et de nos jours avec un serveur physique et une licence Standard il est possible de monter les deux VMs :)
    mercredi 25 octobre 2017 15:54
  • J'ai bien recréé cette zone .

    Elle se remplit avec gc et pdc mais pas avec dc et domains.

    Par contre, quand je crée une zone j'obtiens "La zone ne peut être répliquée vers tous les serveurs DNS controleurs (qui exécutent WS2003 ou ultérieur) du domaine car la partition d'annuaire d'applications requise n'existe pas. Seuls les administrateurs d'entreprise disposent des autorisations appropriés pour créer une partition d'annuaire d'applications. 

    Etonnant j'ai bien les droits en tant qu'Administrateur.

    Pour arriver à créer la zone j'ai du utiliser Répliquer vers tous les controleurs de domaine AD.

    Je n'arrive pas à comprendre d'où vient ce manque de droits que je retrouve ..

    mercredi 25 octobre 2017 16:33
  • Si tu ouvres modification ADSI (adsiedit.msc) et que tu te connectes sur la partition de configuration :

    Tu as bien les partitions ForestDNSZones et DomainDNSZones :

    A première vue ton AD n'est pas en bon état en plus avec le RDS dessus, c'est peut-être plus propre de refaire... Maintenant je ne sais pas s'il est en production et s'il y a autre choses dessus .
    mercredi 25 octobre 2017 16:46
    Modérateur
  • Tu as pu progresser ?
    lundi 30 octobre 2017 18:07
    Modérateur