locked
Serveurs qui sortent du domaine RRS feed

  • Question

  • Bonjour,

    depuis quelques jour nous avons un soucis sur nos serveur 2008R2.

    En effet régulièrement les serveurs perdent la relation d'approbation avec les contrôleurs de domaine.

    Pour corriger le soucis on passe les serveurs en Workgroups, on redémarre ,on supprime le serveur de l'ad et on le rentre dans le domaine.

    Le soucis est que cela se reproduit, presque tout les jours.

    On ne trouve rien d'ans les log des serveurs (sauf les erreurs de type logon pour les connexions infructueuse suite à la sortie du domaine) et rien de spécial sur les serveurs.

    Quelqu'un aurais une piste ?

    mardi 16 février 2016 10:47

Réponses

Toutes les réponses

  • Hello

    Oui plusieurs :

    1. Synchronisation du temps ?
    2. Kerberos ?
    3. Est-ce que ces serveurs ont été créés par "clonage" ?

    Est-ce que tu as vérifié si tu avais des notifications sur le service de temps ?

    Florent

    mardi 16 février 2016 11:15
  • les serveurs ne sont pas des serveur clonés.

    Au niveau de l'heure pas de soucis.

    pas contre effectivement j'ai des erreur kerberos:

    "le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur xxx$. Le nom cible utilisé était XXXX$. Cela indique que le serveur cible n'a pas réussi à déchiffrer le ticket fourni par le client. Cela risque de se produire lorsque le nom principal du serveur(SPN) cible est inscrit sur un compte différent de celui utilisé par le service cible. Veuillez vous assurer que le SPN est inscrit sur, et uniquement sur, le compte utilisé par le serveur. Cette erreur peut aussi se produire lorsque le service cible utilise un mot de passe pour le compte du service cible qui diffère par rapport à celui que possède le centre de distribution de cles Kerberos pour le compte du service cible. Veuillez vous assurer que le service sur le serveur et le centre de distribution de clés kerberos sont tous deux mis a jour pour utiliser le mot de passe actuel."

    Par contre je ne comprend pas trop se que cela veut dire !

    mardi 16 février 2016 13:07
  • Salut,

    Tu peux essayer de reseter le password du compte ordinateur de tes DC en suivant ce post :

    http://sumoomicrosoft.blogspot.co.uk/2012/07/reset-domain-controller-computer-account.html

    mardi 16 février 2016 16:00
  • par principe fait un dcdiag et repadmin /showrepl sur tes DC .
    mardi 16 février 2016 16:54
  • j'ai déjà fait les deux manipulations.

    Et rien sur les DC, pas de soucis de réplication pas de Pb avec dcdiag.

    mardi 16 février 2016 17:54
  • Le Service Principal Name est une valeur que l'on trouve dans les objets AD. Le SPN est inclus dans le ticket d'authentification Kerberos. Il est possible que tu as un autre compte qui utilise le même SPN.

    utilise setspn -x ou un script du genre  https://gallery.technet.microsoft.com/scriptcenter/Get-SPN-Get-Service-3bd5524a

    et retrouve les spn dupliqué
    mardi 16 février 2016 18:14
  • Hello

    Le SPN (Service Principal Name) est ce qui, entre autres, sert à décrire aux autres serveurs/PC "qui peut faire quoi" et "offre quoi" comme service.

    Ces informations sont conservées dans l'Active Directory. Ce sont des informations très techniques qui sont indispensables au bon fonctionnement de l'AD. La syntaxe ne s'invente pas mais peut se retrouver.

    Pour un contrôleur de domaine il y a environ 10 à 12 SPN qui doivent être inscrits dans l'AD (inscrits au moment ou le contrôleur de domaine établit ses services).

    Le principe/structure est toujours le même :
    ServiceClass/Host:Port/ServiceName

    Pour vérifier quelle information est inscrite, est-ce que tu pourrais taper une commande sur ton contrôleur de domaine, la commande ci-dessous (en supposant que ton DC s'appelle "MONDC" :

    setspn -l MONDC

    Il va t'afficher (plein) de lignes décrivant les services SPN inscrits dans l'AD.

    Maintenant il va falloir lui demander de "corriger" cela.
    Il peut le faire tout seul, avec la commande ci-dessous, mais attention ce n'est pas anodin :

    setspn -R MONDC

    Cela force le contrôleur de domaine à réinscrire/corriger les enregistrements SPN dans l'AD.
    Plus d'information sur cette page (que je t'invite à lire).

    Florent

    mardi 16 février 2016 19:27