Pb de réplication AD 2003 suite à un décalage horaire
Le
Nac Jack
Bonjour,
Suite à un décalage horaire très important (retour en l'an 2000) sur
notre PDC, la réplication de l'AD ne fonctionne plus. Sur les DC chrchant à
contacter le PDC j'ai les erreurs suivantes :
-Système-
Type de l'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 4
Date : 16/10/2008
Heure : 09:01:47
Utilisateur : N/A
Ordinateur : NSRVDOM2
Description :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
host/nsrvdom1.cciag.lan. Le nom cible utilisé était . Cela indique que le mot
de passe utilisé pour crypter le ticket de service Kerberos diffère de celui
du serveur cible. Cela est généralement dû à la présence de comptes
d'ordinateur de même nom dans le domaine Kerberos cible (CCIAG.LAN) et le
domaine Kerberos client. Contactez votre administrateur système.
Type de l'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 4
Date : 16/10/2008
Heure : 09:00:18
Utilisateur : N/A
Ordinateur : NSRVDOM2
Description :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
host/nsrvdom1.cciag.lan. Le nom cible utilisé était CCIAG\NSRVDOM1$. Cela
indique que le mot de passe utilisé pour crypter le ticket de service
Kerberos diffère de celui du serveur cible. Cela est généralement dû à la
présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible
(CCIAG.LAN) et le domaine Kerberos client. Contactez votre administrateur
système.
-Service d'annuaire-
Type de l'événement : Erreur
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1311
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Le Vérificateur de cohérence de connaissances a détecté des problèmes avec
la partition d'annuaire suivante.
Partition d'annuaire :
CN=Configuration,DCÌiag,DC=lan
Les informations de connectivité du site sont insuffisantes dans Sites et
services Active Directory pour que le Vérificateur de cohérence de
connaissances puisse créer la topologie de réplication de l'arborescence. Il
se peut également qu'un ou plusieurs contrôleurs de domaine dans cette
partition d'annuaire ne puissent pas répliquer les informations de la
partition d'annuaire. Cette erreur est probablement due à des contrôleurs de
domaine inaccessibles.
Action utilisateur
Utilisez Sites et services Active Directory pour effectuer une des actions
suivantes :
- Publier les informations de connectivité du site afin que le Vérificateur
de cohérence de connaissances puisse déterminer un itinéraire permettant à
cette partition d'annuaire d'atteindre ce site. Il s'agit de l'option
préférée.
- Ajouter un objet Connexion au contrôleur de domaine qui contient la
partition d'annuaire dans ce site à partir d'un contrôleur de domaine qui
contient la même partition d'annuaire dans un autre site.
Si aucune de ces tâches Sites et services Active Directory ne corrige cette
condition, consultez les événements précédents entrés dans le journal par le
Vérificateur de cohérence de connaissances qui identifient les contrôleurs de
domaine inaccessibles.
Type de l'événement : Avertissement
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1566
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Tous les contrôleurs de domaine du site suivant qui répliquent la partition
d'annuaire via ce transport sont actuellement indisponibles.
Site :
CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Partition de l'annuaire :
CN=Configuration,DCÌiag,DC=lan
Transport :
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Type de l'événement : Avertissement
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1865
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Le Vérificateur de cohérence de connaissances n'a pas pu former une
topologie réseau d'arborescence complète. En conséquence, les sites suivants
ne peuvent pas être atteints à partir du site local.
Sites :
CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Après quelques recherches sur internet, j'ai identifié les problèmes
suivants :
-La résolution netbios vers le PDC ne fonctionne pas, par contre on peut le
pinguer sans problème (donc DNS doit être bon).
-La commande "repadmin /showrepl /verbose" renvoi:
DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDA\NSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Address: 48051891-ba29-426d-acaf-6bae8f2fe537._msdcs.cciag.lan
DC invocationID: 730b9143-aff2-4d9c-a0f5-6126e5814cbf
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2316220/OU, 2316220/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-AVI\NSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Address: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0._msdcs.cciag.lan
DC invocationID: cc48b510-b43c-4f0a-9e1e-38efbbc4dae7
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2474740/OU, 2474740/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-VLN\NSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Address: f4a1da47-0b1f-4189-9caf-e0f348f62a87._msdcs.cciag.lan
DC invocationID: 160dcdd9-06a8-46d1-b435-0a5faa7b351e
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2236933/OU, 2236933/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-Polynome\NSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Address: 3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
DC invocationID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 4542687/OU, 4542687/PU
Last attempt @ 2008-10-16 09:46:47 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
294 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDA\NSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Address: 48051891-ba29-426d-acaf-6bae8f2fe537._msdcs.cciag.lan
DC invocationID: 730b9143-aff2-4d9c-a0f5-6126e5814cbf
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2316220/OU, 2316220/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-AVI\NSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Address: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0._msdcs.cciag.lan
DC invocationID: cc48b510-b43c-4f0a-9e1e-38efbbc4dae7
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2474740/OU, 2474740/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-VLN\NSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Address: f4a1da47-0b1f-4189-9caf-e0f348f62a87._msdcs.cciag.lan
DC invocationID: 160dcdd9-06a8-46d1-b435-0a5faa7b351e
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2236933/OU, 2236933/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-Polynome\NSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Address: 3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
DC invocationID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 4542687/OU, 4542687/PU
Last attempt @ 2008-10-16 09:46:47 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
294 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
Source: Site-Polynome\NSRVDOM1
******* 294 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.
(pas d'erreur pour CN=Schema CN=Configuration ni pour la section Domain)
Je pense qu'il faut que je régénère les tickets de sécurité kerberos entre
mon PDC et mes DC "secondaire" ou quelques chose du genre mais je ne sait pas
comment faire
Merci d'avance.
Suite à un décalage horaire très important (retour en l'an 2000) sur
notre PDC, la réplication de l'AD ne fonctionne plus. Sur les DC chrchant à
contacter le PDC j'ai les erreurs suivantes :
-Système-
Type de l'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 4
Date : 16/10/2008
Heure : 09:01:47
Utilisateur : N/A
Ordinateur : NSRVDOM2
Description :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
host/nsrvdom1.cciag.lan. Le nom cible utilisé était . Cela indique que le mot
de passe utilisé pour crypter le ticket de service Kerberos diffère de celui
du serveur cible. Cela est généralement dû à la présence de comptes
d'ordinateur de même nom dans le domaine Kerberos cible (CCIAG.LAN) et le
domaine Kerberos client. Contactez votre administrateur système.
Type de l'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 4
Date : 16/10/2008
Heure : 09:00:18
Utilisateur : N/A
Ordinateur : NSRVDOM2
Description :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
host/nsrvdom1.cciag.lan. Le nom cible utilisé était CCIAG\NSRVDOM1$. Cela
indique que le mot de passe utilisé pour crypter le ticket de service
Kerberos diffère de celui du serveur cible. Cela est généralement dû à la
présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible
(CCIAG.LAN) et le domaine Kerberos client. Contactez votre administrateur
système.
-Service d'annuaire-
Type de l'événement : Erreur
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1311
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Le Vérificateur de cohérence de connaissances a détecté des problèmes avec
la partition d'annuaire suivante.
Partition d'annuaire :
CN=Configuration,DCÌiag,DC=lan
Les informations de connectivité du site sont insuffisantes dans Sites et
services Active Directory pour que le Vérificateur de cohérence de
connaissances puisse créer la topologie de réplication de l'arborescence. Il
se peut également qu'un ou plusieurs contrôleurs de domaine dans cette
partition d'annuaire ne puissent pas répliquer les informations de la
partition d'annuaire. Cette erreur est probablement due à des contrôleurs de
domaine inaccessibles.
Action utilisateur
Utilisez Sites et services Active Directory pour effectuer une des actions
suivantes :
- Publier les informations de connectivité du site afin que le Vérificateur
de cohérence de connaissances puisse déterminer un itinéraire permettant à
cette partition d'annuaire d'atteindre ce site. Il s'agit de l'option
préférée.
- Ajouter un objet Connexion au contrôleur de domaine qui contient la
partition d'annuaire dans ce site à partir d'un contrôleur de domaine qui
contient la même partition d'annuaire dans un autre site.
Si aucune de ces tâches Sites et services Active Directory ne corrige cette
condition, consultez les événements précédents entrés dans le journal par le
Vérificateur de cohérence de connaissances qui identifient les contrôleurs de
domaine inaccessibles.
Type de l'événement : Avertissement
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1566
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Tous les contrôleurs de domaine du site suivant qui répliquent la partition
d'annuaire via ce transport sont actuellement indisponibles.
Site :
CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Partition de l'annuaire :
CN=Configuration,DCÌiag,DC=lan
Transport :
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Type de l'événement : Avertissement
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1865
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Le Vérificateur de cohérence de connaissances n'a pas pu former une
topologie réseau d'arborescence complète. En conséquence, les sites suivants
ne peuvent pas être atteints à partir du site local.
Sites :
CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Après quelques recherches sur internet, j'ai identifié les problèmes
suivants :
-La résolution netbios vers le PDC ne fonctionne pas, par contre on peut le
pinguer sans problème (donc DNS doit être bon).
-La commande "repadmin /showrepl /verbose" renvoi:
DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDA\NSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Address: 48051891-ba29-426d-acaf-6bae8f2fe537._msdcs.cciag.lan
DC invocationID: 730b9143-aff2-4d9c-a0f5-6126e5814cbf
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2316220/OU, 2316220/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-AVI\NSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Address: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0._msdcs.cciag.lan
DC invocationID: cc48b510-b43c-4f0a-9e1e-38efbbc4dae7
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2474740/OU, 2474740/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-VLN\NSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Address: f4a1da47-0b1f-4189-9caf-e0f348f62a87._msdcs.cciag.lan
DC invocationID: 160dcdd9-06a8-46d1-b435-0a5faa7b351e
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2236933/OU, 2236933/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-Polynome\NSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Address: 3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
DC invocationID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 4542687/OU, 4542687/PU
Last attempt @ 2008-10-16 09:46:47 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
294 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDA\NSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Address: 48051891-ba29-426d-acaf-6bae8f2fe537._msdcs.cciag.lan
DC invocationID: 730b9143-aff2-4d9c-a0f5-6126e5814cbf
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2316220/OU, 2316220/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-AVI\NSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Address: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0._msdcs.cciag.lan
DC invocationID: cc48b510-b43c-4f0a-9e1e-38efbbc4dae7
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2474740/OU, 2474740/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-VLN\NSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Address: f4a1da47-0b1f-4189-9caf-e0f348f62a87._msdcs.cciag.lan
DC invocationID: 160dcdd9-06a8-46d1-b435-0a5faa7b351e
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2236933/OU, 2236933/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-Polynome\NSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Address: 3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
DC invocationID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 4542687/OU, 4542687/PU
Last attempt @ 2008-10-16 09:46:47 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
294 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
Source: Site-Polynome\NSRVDOM1
******* 294 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.
(pas d'erreur pour CN=Schema CN=Configuration ni pour la section Domain)
Je pense qu'il faut que je régénère les tickets de sécurité kerberos entre
mon PDC et mes DC "secondaire" ou quelques chose du genre mais je ne sait pas
comment faire
Merci d'avance.
Poser une question
maintenant tout à fait synchrone avec celles des mes autres DC.
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
je crois que c'est le bon moment de sortir votre N° de carte bleue... et
d'appeler Microsoft.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Emmanuel Dreux" a écrit :
Si cette situation nous arrivait maintenant, nous arrêterions le service KDC
et netlogon sur tous les DC et reconstruction immédiate des PDC emulators
depuis le dernier backup.
Ca permet de repartir en service dégradé minimum qui laisse ensuite le temps
de reconstruire les autres DC.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Emmanuel Dreux" a écrit :
optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
cette situation ^^
Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
l'authentification kerberos basé dessus...).
J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
source de temps externe, que j'ai fini par identifier comme défectueuse, et
est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
de temps pour passer sur une source stable : le service de temps du PDC à
validé la source et s'est ensuite synchronisé correctement.
J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
(octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
et MaxPosPhaseCorrection dans le passé.
Donc seul le PDC à vu son référentiel temporel modifié.
Après quelques investigations de plus je me suis rendu compte qu'à l'époque
ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
indépendante (hou le vilain !!!).
Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
pense que dans tout les cas ça n'agraveras pas la situation.
Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine NSRVDOM1, is a DC.
* Connecting to directory service on server NSRVDOM1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 5 DC(s). Testing 1 of them.
Done gathering initial info.
Doing initial required tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... NSRVDOM1 passed test Connectivity
Doing primary tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Replications
* Replications Check
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
* Replication Latency Check
DC=ForestDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... NSRVDOM1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC NSRVDOM1.
* Security Permissions Check for
DC=ForestDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DCÌiag,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DCÌiag,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DCÌiag,DC=lan
(Domain,Version 2)
......................... NSRVDOM1 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \NSRVDOM1netlogon
Verified share \NSRVDOM1sysvol
......................... NSRVDOM1 passed test NetLogons
Starting test: Advertising
The DC NSRVDOM1 is advertising itself as a DC and having a DS.
The DC NSRVDOM1 is advertising as an LDAP server
The DC NSRVDOM1 is advertising as having a writeable directory
The DC NSRVDOM1 is advertising as a Key Distribution Center
The DC NSRVDOM1 is advertising as a time server
The DS NSRVDOM1 is advertising as a GC.
......................... NSRVDOM1 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Domain Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role PDC Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Rid Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
......................... NSRVDOM1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 5603 to 1073741823
* NSRVDOM1.cciag.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4103 to 4602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1469
......................... NSRVDOM1 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
* SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :LDAP/NSRVDOM1.cciag.lan
* SPN found :LDAP/NSRVDOM1
* SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
* SPN found
:LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan
* SPN found :HOST/NSRVDOM1
* SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
* SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
......................... NSRVDOM1 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... NSRVDOM1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
NSRVDOM1 is in domain DCÌiag,DC=lan
Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
domain DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... NSRVDOM1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... NSRVDOM1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may
cause
Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 16:47:31
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 17:02:31
(Event String could not be retrieved)
......................... NSRVDOM1 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15
minutes.
......................... NSRVDOM1 passed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC0001B7A
Time Generated: 10/16/2008 16:37:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
......................... NSRVDOM1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
The system object reference (frsComputerReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
correct.
The system object reference (serverReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on
CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
......................... NSRVDOM1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : cciag
Starting test: CrossRefValidation
......................... cciag passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... cciag passed test CheckSDRefDom
Running enterprise tests on : cciag.lan
Starting test: Intersite
Doing intersite inbound replication test on site Site-Polynome:
Locating & Contacting Intersite Topology Generator (ISTG) ...
The ISTG for site Site-Polynome is: NSRVDOM1.
Checking for down bridgeheads ...
Bridghead Site-PoterneNSRVDOM2 is up and replicating fine.
Bridghead Site-PolynomeNSRVDOM1 is up and replicating fine.
*Warning: Remote bridgehead Site-VLNNSRVDOM5 has some
replication syncs failing. It will be 0 failed replication
attempts before the bridgehead is considered ineligible to
be a
bridgehead.
Doing in depth site analysis ...
Remote site Site-Poterne is replicating to the local site
Site-Polynome the writeable NC ForestDnsZones correctly.
Remote site Site-Poterne is replicating to the local site
Site-Polynome the writeable NC DomainDnsZones correctly.
Remote site Site-Poterne is replicating to the local site
Site-Polynome the writeable NC Schema correctly.
Remote site Site-Poterne is replicating to the local site
Site-Polynome the writeable NC Configuration correctly.
Remote site Site-Poterne is replicating to the local site
Site-Polynome the writeable NC cciag correctly.
Remote site Site-VLN is replicating to the local site
Site-Polynome the writeable NC ForestDnsZones correctly.
Remote site Site-VLN is replicating to the local site
Site-Polynome the writeable NC DomainDnsZones correctly.
Remote site Site-VLN is replicating to the local site
Site-Polynome the writeable NC Schema correctly.
Remote site Site-VLN is replicating to the local site
Site-Polynome the writeable NC Configuration correctly.
Remote site Site-VLN is replicating to the local site
Site-Polynome the writeable NC cciag correctly.
Skipping site Site-Poterne, this site is outside the scope provided
by
the command line arguments provided.
Skipping site Site-IDA, this site is outside the scope provided by
the
command line arguments provided.
Skipping site Site-VLN, this site is outside the scope provided by
the
command line arguments provided.
Skipping site Site-AVI, this site is outside the scope provided by
the
command line arguments provided.
......................... cciag.lan passed test Intersite
Starting test: FsmoCheck
GC Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
PDC Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
Time Server Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
Preferred Time Server Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
KDC Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
......................... cciag.lan passed test FsmoCheck
Test omitted by user request: DNS
Test omitted by user request: DNS
Et en ce qui concerne la Synchro du temps sur le domaine :
NSRVDOM1.cciag.lan *** PDC *** [192.168.1.1]:
ICMP: 1ms delay.
NTP: +0.0000000s offset from NSRVDOM1.cciag.lan
RefID: imag.imag.fr [129.88.30.1]
NSRVDOM2.cciag.lan [192.168.2.1]:
ICMP: 0ms delay.
NTP: +0.2827861s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
NSRVDOM5.cciag.lan [192.168.5.1]:
ICMP: 2ms delay.
NTP: -0.4078111s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
nsrvdom3.cciag.lan [192.168.3.1]:
ICMP: 0ms delay.
NTP: -0.3717693s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
NSRVDOM4.cciag.lan [192.168.4.1]:
ICMP: 2ms delay.
NTP: +0.2101782s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
Je pense que je tenterais demain les manip que vou me proposez pour le
changement de mot de passe, si celles-ci sont toujours d'actualité au vu de
l'explication (un peu plus claire ?) que je viens de fournir.
Dans l'attente de votre confirmation,
Clément.
"Emmanuel Dreux" a écrit :