none
pbs kerberos RRS feed

  • Question

  • Bonsoir à tous,

    J'avais un AD 2008 qui a été migré vers 2016. Donc sur le domaine en 2008, un serveur 2016 a été rajouté, mis en domaine, les roles fmso ont été transfères, et l'ancien serveur 2008 est resté tel quel car il héberge une ancienne appli qui n'est pas déplaçable.

    Le tout est virtualisé Hyper-V.

    entre temps un cryptolocker est passé par la......

    les vm ont été restaurées avant le crypto, mais l'ancien serveur (VM) (dont les données ne bougent plus et est destiné exclusivement à de la consultation) n'était sauvegardé qu'une fois par mois. Donc lors de la restauration, le 2016 a été restauré à la veille et le 2008 au mois dernier.

    vous voyez où je veux en venir .......

    du coup maintenant sur le 2008 je peux monter dessus par l'ip mais plus par son nom NetBIOS. je pense que cela doit être un pb de ticket kerberos plus à jour, mais j'aimerai bien un retour d'expérience avant de mettre le bazard dans l'infra.

    quelqu'un a t-il déjà eu à faire avec cette situation ? et comment s'en sort-on ?

    (oui, du coup je sauvegarderai donc l'ancien 2008 plus souvent .....)

    merci d'avance pour vos retours d'expérience.

    et d'avance, bonnes fêtes à tous !

    Claude

    dimanche 15 décembre 2019 20:54

Réponses

  • Bonsoir,

    Philippe, à un moment je n'avais plus la réplication désactivée, mais tjs pas de réplication et toujours impossible de monter sur l'ancien serveur avec son nom NetBIOS.

    Finalement, j'ai fait un dcpromo /forceremoval.

    1) arret de la vm

    2) suppression de la carte reseau (pour pas mettre le bazard, au cas où ...)

    3) remise en route et dcpromo /forceremoval - reboot

    4) suppression des roles dns, dhcp, adds - reboot

    5) remise en place de la carte reseau

    cet ancien serveur est donc devenu un serveur autonome, il me restera à le mettre dans le domaine en tant que serveur membre et à nettoyer dns du dc (nouveau serveur)

    pour l'instant, ca fonctionne, les anciennes applis sont dispo maintenant.

    Merci à vous pour votre temps et vos réponses.

    c'est dans ce genre de situation qu'on passe de la théorie à la pratique et qu'on apprend !!!

    Bonnes fêtes à tous !

    Claude

    mardi 17 décembre 2019 17:06

Toutes les réponses

  • Bonjour,

    du coup maintenant sur le 2008 je peux monter dessus par l'ip mais plus par son nom NetBIOS. je pense que cela doit être un pb de ticket kerberos plus à jour, mais j'aimerai bien un retour d'expérience avant de mettre le bazard dans l'infra.

    Du coup ça devrai être un problème DNS. Pour votre information , pour accéder à une machine distance en accède soit via l'IP ou FQDN . Si vous utiliser le nETBIOS , la machine vas chercher le FQDN de la machine cible via les nom dns déclaré dans la liste des nom DNS searchlist dans les paramètres de la carte réseau.Du coup regarder si la liste searchlist est bien déclaré dans la carte réseau ou vous essayer d'accéder au serveur en question et vous arrivez bien à résoudre le nom FQDN du DC 2008 via la commande.

    nslookup



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    dimanche 15 décembre 2019 22:23
    Modérateur
  • Bonjour,

    Merci pour votre réponse, cependant :

    sur cet ancien DC 2008, sa config DNS (après transfert des rôles fmso) avait été changée en  1er dns = le nouveau DC 2016.

    un nslookup sur le 2008 me répond bien avec le fqdn du nouveau DC 2016.

    sur le nouveau DC, un ping du nom NetBIOS de l'ancien DC 2008 me resoud bien l'ip.

    Claude

    lundi 16 décembre 2019 06:08
  • Si la résolution DNS fonctionne, c'est donc que ce n'est pas ton problème.

    Quel est le message d'erreur que tu obtiens quand tu tente de te connecter sur ton 2008 ?

    lundi 16 décembre 2019 08:21
  • Bonsoir,

    merci pour vos réponses.

    Quand, du nouveau DC je me connecte sur l'ancien (\\ancienserveur ou fqdn) j'obtiens le message  "\\ancienserveur n'est pas accessible. Vous ne disposez peut-être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l'administrateur de ce serveur pour savoir si vous disposez des autorisations d'accès. le nom du compte cible est incorrect"

    Dans l'observateur d'évènements j'ai l'event 4/security-kerberos

    " le client kerberos a recu une erreur KRB_AP_ERR_MODIFIED du serveur ancienserveur$. le nom cible utilisé était cifsancienserveur. cela indique que le serveur cible n'a pas réussi a déchiffrer le ticket fourni par le client. cela risque de se produire lorsque le nom principal du serveur (spn) cible est inscrit sur un compte diffèrent de celui utilisé par le service cible........"

    de l'ancien serveur, je peux aller sur \\le_nouveau_serveur_rds et je vois bien les partages.

    de l'ancien serveur, j'ai le meme message d'erreur si je vais sur \\le_nouveau_serveur_dc

    du nouveau serveur rds si je veux aller sur \\ancienserveur j'ai le meme message d'erreur.

    j'ai essayé de supprimer et remettre la carte reseau, cela n'a rien changé.

    Claude

    lundi 16 décembre 2019 19:39
  • et l'ancien serveur 2008 est resté tel quel car il héberge une ancienne appli qui n'est pas déplaçable

    C'est a dire ? il a été rétrogradé ou il était encore contrôleur de domaine ? 

    Donc lors de la restauration, le 2016 a été restauré à la veille et le 2008 au mois dernier.

    Attention lors de la restauration d'un ordinateur dans un domaine, encore plus sur un DC. 

    Les comptes d'ordinateurs changent leur mot de passe sur un cycle de 30 jours.

    Il peut être nécessaire de réinitialiser le mot de passe du  compte ordinateur du contrôleur de domaine, et il est probable qu'ils soient incohérent entre les 2 contrôleurs de domaine.

    dcdiag et repadmin /showrepl montrent des erreurs ?

    Lors d'un sinistre il est recommandé de ne restaurer qu'un contrôleur de domaine pour chaque domaine et de reconstruire les autres après nettoyages des métadonnées. Cela permet de garantir la cohérence de l'annuaire. D’où l’intérêt de séparer les rôles.

    La restauration doit se faire avec un outil gérant la restauration de l'état du système.

    Question annexe, les deux sytèmes sont à l'heure ?
    lundi 16 décembre 2019 19:45
  • un setspn -x sur les 2 serveurs me repond 0 groupe de spn en double detecté.

    un ipconfig /registerdns sur l'ancien dc avec arret et relance de netlogon n'a rien changé

    Claude

    lundi 16 décembre 2019 20:00
  • Merci Philippe pour votre réponse,

    l'ancien serveur était encore DC.

    Le mot de passe sur les 2 serveurs est le même ...... après changement du mot de passe sur l'ancien serveur pour qu'il soit le même que sur le nouveau serveur.

    les 2 serveurs ont bien la même date/heure.

    === repadmin /showrepl sur l'ancien dc:

    premier-site par-defaut\ancienserveur

    options dsa : is_gc disable_inbound_repl disable_outbound_repl

    options de site : none

    messages : le serveur de destination (nouveau serveur via rpc) rejette actuellement les demandes de replication

    === repadmin /showrepl sur le nouveau dc:

    premier-site par-defaut\nouveauserveur

    options dsa : is_gc

    options de site : none

    messages : le serveur de destination (ancienserveur via rpc) rejette actuellement les demandes de replication

    Claude

    lundi 16 décembre 2019 20:16
  • en fait je pense faire un dcpromo /forceremoval

    car cet ancien serveur ne fait qu'héberger une ancienne appli et pourrait très bien n'être qu'un serveur membre.

    cela vous semble t-il judicieux ?

    Claude

    lundi 16 décembre 2019 20:40
  • en fait je pense faire un dcpromo /forceremoval

    car cet ancien serveur ne fait qu'héberger une ancienne appli et pourrait très bien n'être qu'un serveur membre.

    cela vous semble t-il judicieux ?

    Claude

    Bonjour,

    Si vous avez lancé la commande dcpromo /forceremoval , faut que vous lancer la procédure metadata cleanup pour supprimer les traces de DC. Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 16 décembre 2019 22:47
    Modérateur
  • options dsa : is_gc disable_inbound_repl disable_outbound_repl

    Tu as lancé la commande sur lequel.

    La réplication entrante et sortante a été désactivé ! Depuis combien de temps ?

    Si c'est pas trop long tu peux la réactiver :

    repadmin /options dc02.lab.lan -DISABLE_OUTBOUND_REPL

    ...

    A lire :

    http://www.pbarth.fr/node/143


    mardi 17 décembre 2019 07:39
  • Bonsoir,

    Philippe, à un moment je n'avais plus la réplication désactivée, mais tjs pas de réplication et toujours impossible de monter sur l'ancien serveur avec son nom NetBIOS.

    Finalement, j'ai fait un dcpromo /forceremoval.

    1) arret de la vm

    2) suppression de la carte reseau (pour pas mettre le bazard, au cas où ...)

    3) remise en route et dcpromo /forceremoval - reboot

    4) suppression des roles dns, dhcp, adds - reboot

    5) remise en place de la carte reseau

    cet ancien serveur est donc devenu un serveur autonome, il me restera à le mettre dans le domaine en tant que serveur membre et à nettoyer dns du dc (nouveau serveur)

    pour l'instant, ca fonctionne, les anciennes applis sont dispo maintenant.

    Merci à vous pour votre temps et vos réponses.

    c'est dans ce genre de situation qu'on passe de la théorie à la pratique et qu'on apprend !!!

    Bonnes fêtes à tous !

    Claude

    mardi 17 décembre 2019 17:06