none
Impossible d'ajouter un serveur enfant à notre foret. RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour.

    Actuellement en formation, je suis coincé sur un exercice:

    Nous devons installer un nouveau poste dans la configuration suivante

    Poste 1, contrôleur de domaine et serveur DNS

    Poste 2: Contrôleur de domaine
    Ces deux postes font partie d'un domaine auquel nous souhaitons intégrer deux nouvelles machines, en créant un sous domaine enfant.

    Notre Poste 3 (et le 4 aussi) est censé être contrôleur de domaine dans le domaine enfant.nomededomaine.local

    Or, lorsque nous faisons cela, nous avons un message d'erreur indiquant l’échec de l'opération, a cause d'une valeur SPN fournie qui n'est pas unique à l’échelle de la foret.

    Or, notre nom de l'ordinateur n'est pas doublé sur notre foret.

    Cordialement.

    mardi 24 octobre 2017 14:52
    |

Réponses

  • Question
    Connectez-vous pour voter
    3
    Connectez-vous pour voter

    le SPN est en double, ce qui peut venir d'une opération de renommage d'un DC (ca arrive souvent si vous passez par la GUI). 

    Les opérations pour votre exercice :

    1. installer le controlleur de domaine sur le poste 1
    2. modifier la conf DNS client du poste 1 pour qu'il pointe sur lui même (127.0.0.1 ou son IP)
    3. Faire un DCDIAG sur poste 1 pour vérifier que le DC se porte bien
    4. configurer le poste 2 pour que le DNS client point sur poste 1
    5. promouvoir le poste 2 comme DC sur le domaine parent
    6. Faire un DCDIAG sur poste 2 pour vérifier que le DC se porte bien
    7. Faire un repadmin /showrepl pour vérifier que les réplications fonctionnent sur poste 1 et poste 2
    8. Modifier la configuration DNS client du poste 2 pour qu'il pointe sur lui-même en primaire et sur poste 1 en secondaire
    9. Modifier la configuration DNS client du poste 1 pour qu'il pointe sur poste 2 en secondaire
    10. configurer le poste 3 pour que son client DNS point sur poste 1 en primaire
    11. ajouter poste 3 dans le domaine parent
    12. promouvoir poste 3 comme contrôleur de domaine d'un nouveau domaine, enfant de la foret de poste 1
    13. Modifier la configuration DNS client de poste 3 pour qu'il pointe sur lui-même en primaire
    14. Faire un DCDIAG sur poste 3 pour vérifier que le DC se porte bien
    15. Faire un repadmin /showrepl pour s'assurer que les réplications se portent bien
    16. configurer poste 4 pour que son client DNS pointe sur poste 3
    17. promouvoir poste 4 comme contrôleur de domaine supplémentaire du domaine enfant
    18. faire un dcdiag sur poste 4 et verifier que tout va bien
    19. faire un repadmin /showrepl pour verifier que les réplications fonctionnent
    20. configurer le client DNS de poste 4 pour qu'il pointe sur lui-même en primaire et sur poste 3 en secondaire
    21. configurer le client DNS de poste 3 pour qu'il pointe sur poste 4 en secondaire

    Toute ses étapes sont sommaires, il y a plus à faire (configurer les sites et les services, réflechir correctement au nom de la foret et du domaine enfant, ...).

    N'oubliez jamais les règles élémentaires de l'AD : le DNS doit être impeccable, le DCDIAG ne doit pas retourner d'erreurs et REPADMIN doit être sans reproche.


    mardi 24 octobre 2017 20:02
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Tu peux essayer d'utiliser PowerShell est un script pour rechercher si un SPN avec ce nom existe déjà dans la forêt.

    https://gallery.technet.microsoft.com/scriptcenter/Get-SPN-Get-Service-3bd5524a

    Pour le plan de Loïc et selon les noms de domaines choisies vérifie la résolution de nom entre les domaines et selon le cas ajoute des redirecteurs DNS (attention à la durée de vie dans les caches).

    mercredi 25 octobre 2017 12:21
    |
    Modérateur

Toutes les réponses

  • Question
    Connectez-vous pour voter
    3
    Connectez-vous pour voter

    le SPN est en double, ce qui peut venir d'une opération de renommage d'un DC (ca arrive souvent si vous passez par la GUI). 

    Les opérations pour votre exercice :

    1. installer le controlleur de domaine sur le poste 1
    2. modifier la conf DNS client du poste 1 pour qu'il pointe sur lui même (127.0.0.1 ou son IP)
    3. Faire un DCDIAG sur poste 1 pour vérifier que le DC se porte bien
    4. configurer le poste 2 pour que le DNS client point sur poste 1
    5. promouvoir le poste 2 comme DC sur le domaine parent
    6. Faire un DCDIAG sur poste 2 pour vérifier que le DC se porte bien
    7. Faire un repadmin /showrepl pour vérifier que les réplications fonctionnent sur poste 1 et poste 2
    8. Modifier la configuration DNS client du poste 2 pour qu'il pointe sur lui-même en primaire et sur poste 1 en secondaire
    9. Modifier la configuration DNS client du poste 1 pour qu'il pointe sur poste 2 en secondaire
    10. configurer le poste 3 pour que son client DNS point sur poste 1 en primaire
    11. ajouter poste 3 dans le domaine parent
    12. promouvoir poste 3 comme contrôleur de domaine d'un nouveau domaine, enfant de la foret de poste 1
    13. Modifier la configuration DNS client de poste 3 pour qu'il pointe sur lui-même en primaire
    14. Faire un DCDIAG sur poste 3 pour vérifier que le DC se porte bien
    15. Faire un repadmin /showrepl pour s'assurer que les réplications se portent bien
    16. configurer poste 4 pour que son client DNS pointe sur poste 3
    17. promouvoir poste 4 comme contrôleur de domaine supplémentaire du domaine enfant
    18. faire un dcdiag sur poste 4 et verifier que tout va bien
    19. faire un repadmin /showrepl pour verifier que les réplications fonctionnent
    20. configurer le client DNS de poste 4 pour qu'il pointe sur lui-même en primaire et sur poste 3 en secondaire
    21. configurer le client DNS de poste 3 pour qu'il pointe sur poste 4 en secondaire

    Toute ses étapes sont sommaires, il y a plus à faire (configurer les sites et les services, réflechir correctement au nom de la foret et du domaine enfant, ...).

    N'oubliez jamais les règles élémentaires de l'AD : le DNS doit être impeccable, le DCDIAG ne doit pas retourner d'erreurs et REPADMIN doit être sans reproche.


    mardi 24 octobre 2017 20:02
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Tu peux essayer d'utiliser PowerShell est un script pour rechercher si un SPN avec ce nom existe déjà dans la forêt.

    https://gallery.technet.microsoft.com/scriptcenter/Get-SPN-Get-Service-3bd5524a

    Pour le plan de Loïc et selon les noms de domaines choisies vérifie la résolution de nom entre les domaines et selon le cas ajoute des redirecteurs DNS (attention à la durée de vie dans les caches).

    mercredi 25 octobre 2017 12:21
    |
    Modérateur