Pb de réplication AD 2003 suite à un décalage horaire

Le
Nac Jack
Bonjour,

Suite à un décalage horaire très important (retour en l'an 2000) sur
notre PDC, la réplication de l'AD ne fonctionne plus. Sur les DC chrchant à
contacter le PDC j'ai les erreurs suivantes :

-Système-
Type de l'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 4
Date : 16/10/2008
Heure : 09:01:47
Utilisateur : N/A
Ordinateur : NSRVDOM2
Description :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
host/nsrvdom1.cciag.lan. Le nom cible utilisé était . Cela indique que le mot
de passe utilisé pour crypter le ticket de service Kerberos diffère de celui
du serveur cible. Cela est généralement dû à la présence de comptes
d'ordinateur de même nom dans le domaine Kerberos cible (CCIAG.LAN) et le
domaine Kerberos client. Contactez votre administrateur système.


Type de l'événement : Erreur
Source de l'événement : Kerberos
Catégorie de l'événement : Aucun
ID de l'événement : 4
Date : 16/10/2008
Heure : 09:00:18
Utilisateur : N/A
Ordinateur : NSRVDOM2
Description :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
host/nsrvdom1.cciag.lan. Le nom cible utilisé était CCIAGNSRVDOM1$. Cela
indique que le mot de passe utilisé pour crypter le ticket de service
Kerberos diffère de celui du serveur cible. Cela est généralement dû à la
présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible
(CCIAG.LAN) et le domaine Kerberos client. Contactez votre administrateur
système.


-Service d'annuaire-
Type de l'événement : Erreur
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1311
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Le Vérificateur de cohérence de connaissances a détecté des problèmes avec
la partition d'annuaire suivante.

Partition d'annuaire :
CN=Configuration,DCÌiag,DC=lan

Les informations de connectivité du site sont insuffisantes dans Sites et
services Active Directory pour que le Vérificateur de cohérence de
connaissances puisse créer la topologie de réplication de l'arborescence. Il
se peut également qu'un ou plusieurs contrôleurs de domaine dans cette
partition d'annuaire ne puissent pas répliquer les informations de la
partition d'annuaire. Cette erreur est probablement due à des contrôleurs de
domaine inaccessibles.

Action utilisateur
Utilisez Sites et services Active Directory pour effectuer une des actions
suivantes :
- Publier les informations de connectivité du site afin que le Vérificateur
de cohérence de connaissances puisse déterminer un itinéraire permettant à
cette partition d'annuaire d'atteindre ce site. Il s'agit de l'option
préférée.
- Ajouter un objet Connexion au contrôleur de domaine qui contient la
partition d'annuaire dans ce site à partir d'un contrôleur de domaine qui
contient la même partition d'annuaire dans un autre site.

Si aucune de ces tâches Sites et services Active Directory ne corrige cette
condition, consultez les événements précédents entrés dans le journal par le
Vérificateur de cohérence de connaissances qui identifient les contrôleurs de
domaine inaccessibles.


Type de l'événement : Avertissement
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1566
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Tous les contrôleurs de domaine du site suivant qui répliquent la partition
d'annuaire via ce transport sont actuellement indisponibles.

Site :
CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Partition de l'annuaire :
CN=Configuration,DCÌiag,DC=lan
Transport :
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DCÌiag,DC=lan


Type de l'événement : Avertissement
Source de l'événement : NTDS KCC
Catégorie de l'événement : Vérificateur de cohérence de la connaissance
ID de l'événement : 1865
Date : 16/10/2008
Heure : 10:08:15
Utilisateur : AUTORITE NTANONYMOUS LOGON
Ordinateur : NSRVDOM2
Description :
Le Vérificateur de cohérence de connaissances n'a pas pu former une
topologie réseau d'arborescence complète. En conséquence, les sites suivants
ne peuvent pas être atteints à partir du site local.

Sites :
CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan

Après quelques recherches sur internet, j'ai identifié les problèmes
suivants :
-La résolution netbios vers le PDC ne fonctionne pas, par contre on peut le
pinguer sans problème (donc DNS doit être bon).
-La commande "repadmin /showrepl /verbose" renvoi:
DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Address: 48051891-ba29-426d-acaf-6bae8f2fe537._msdcs.cciag.lan
DC invocationID: 730b9143-aff2-4d9c-a0f5-6126e5814cbf
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2316220/OU, 2316220/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Address: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0._msdcs.cciag.lan
DC invocationID: cc48b510-b43c-4f0a-9e1e-38efbbc4dae7
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2474740/OU, 2474740/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Address: f4a1da47-0b1f-4189-9caf-e0f348f62a87._msdcs.cciag.lan
DC invocationID: 160dcdd9-06a8-46d1-b435-0a5faa7b351e
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2236933/OU, 2236933/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Address: 3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
DC invocationID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 4542687/OU, 4542687/PU
Last attempt @ 2008-10-16 09:46:47 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
294 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Address: 48051891-ba29-426d-acaf-6bae8f2fe537._msdcs.cciag.lan
DC invocationID: 730b9143-aff2-4d9c-a0f5-6126e5814cbf
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2316220/OU, 2316220/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Address: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0._msdcs.cciag.lan
DC invocationID: cc48b510-b43c-4f0a-9e1e-38efbbc4dae7
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2474740/OU, 2474740/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Address: f4a1da47-0b1f-4189-9caf-e0f348f62a87._msdcs.cciag.lan
DC invocationID: 160dcdd9-06a8-46d1-b435-0a5faa7b351e
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 2236933/OU, 2236933/PU
Last attempt @ 2008-10-16 08:46:48 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Address: 3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
DC invocationID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
DO_SCHEDULED_SYNCS WRITEABLE COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS
USNs: 4542687/OU, 4542687/PU
Last attempt @ 2008-10-16 09:46:47 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
294 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

Source: Site-PolynomeNSRVDOM1
******* 294 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.

(pas d'erreur pour CN=Schema CN=Configuration ni pour la section Domain)

Je pense qu'il faut que je régénère les tickets de sécurité kerberos entre
mon PDC et mes DC "secondaire" ou quelques chose du genre mais je ne sait pas
comment faire

Merci d'avance.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nac Jack
Le #17544721
J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
maintenant tout à fait synchrone avec celles des mes autres DC.
Emmanuel Dreux
Le #17548201
Votre scénario... c'est la grosse grosse grosse catastrophe!

Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.

Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.

Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.

Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...

sauf que:

chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.

CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.

Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.

Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.

Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.

Ouf, vous avez réglé 25% de vos problèmes.

Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(

Comme écrit en première ligne, très très mauvais scénario!!!

Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
maintenant tout à fait synchrone avec celles des mes autres DC.


Emmanuel Dreux
Le #17548191
Ah oui,

je crois que c'est le bon moment de sortir votre N° de carte bleue... et
d'appeler Microsoft.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Emmanuel Dreux" a écrit :

Votre scénario... c'est la grosse grosse grosse catastrophe!

Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.

Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.

Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.

Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...

sauf que:

chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.

CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.

Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.

Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.

Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.

Ouf, vous avez réglé 25% de vos problèmes.

Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(

Comme écrit en première ligne, très très mauvais scénario!!!

Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.


Emmanuel Dreux
Le #17548441
Je viens d'en discuter avec mes collègues.

Si cette situation nous arrivait maintenant, nous arrêterions le service KDC
et netlogon sur tous les DC et reconstruction immédiate des PDC emulators
depuis le dernier backup.
Ca permet de repartir en service dégradé minimum qui laisse ensuite le temps
de reconstruire les autres DC.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Emmanuel Dreux" a écrit :

Votre scénario... c'est la grosse grosse grosse catastrophe!

Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.

Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.

Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.

Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...

sauf que:

chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.

CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.

Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.

Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.

Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.

Ouf, vous avez réglé 25% de vos problèmes.

Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(

Comme écrit en première ligne, très très mauvais scénario!!!

Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.


Nac Jack
Le #17548771
Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
cette situation ^^

Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
l'authentification kerberos basé dessus...).

J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
source de temps externe, que j'ai fini par identifier comme défectueuse, et
est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
de temps pour passer sur une source stable : le service de temps du PDC à
validé la source et s'est ensuite synchronisé correctement.
J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
(octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
et MaxPosPhaseCorrection dans le passé.

Donc seul le PDC à vu son référentiel temporel modifié.

Après quelques investigations de plus je me suis rendu compte qu'à l'époque
ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
indépendante (hou le vilain !!!).
Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
pense que dans tout les cas ça n'agraveras pas la situation.

Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC

Domain Controller Diagnosis

Performing initial setup:
* Verifying that the local machine NSRVDOM1, is a DC.
* Connecting to directory service on server NSRVDOM1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 5 DC(s). Testing 1 of them.
Done gathering initial info.

Doing initial required tests

Testing server: Site-PolynomeNSRVDOM1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... NSRVDOM1 passed test Connectivity

Doing primary tests

Testing server: Site-PolynomeNSRVDOM1
Starting test: Replications
* Replications Check
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
* Replication Latency Check
DC=ForestDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... NSRVDOM1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC NSRVDOM1.
* Security Permissions Check for
DC=ForestDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DCÌiag,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DCÌiag,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DCÌiag,DC=lan
(Domain,Version 2)
......................... NSRVDOM1 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \NSRVDOM1netlogon
Verified share \NSRVDOM1sysvol
......................... NSRVDOM1 passed test NetLogons
Starting test: Advertising
The DC NSRVDOM1 is advertising itself as a DC and having a DS.
The DC NSRVDOM1 is advertising as an LDAP server
The DC NSRVDOM1 is advertising as having a writeable directory
The DC NSRVDOM1 is advertising as a Key Distribution Center
The DC NSRVDOM1 is advertising as a time server
The DS NSRVDOM1 is advertising as a GC.
......................... NSRVDOM1 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Domain Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role PDC Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Rid Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
......................... NSRVDOM1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 5603 to 1073741823
* NSRVDOM1.cciag.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4103 to 4602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1469
......................... NSRVDOM1 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
* SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :LDAP/NSRVDOM1.cciag.lan
* SPN found :LDAP/NSRVDOM1
* SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
* SPN found
:LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan
* SPN found :HOST/NSRVDOM1
* SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
* SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
......................... NSRVDOM1 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... NSRVDOM1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
NSRVDOM1 is in domain DCÌiag,DC=lan
Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
domain DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... NSRVDOM1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... NSRVDOM1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may
cause

Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 16:47:31
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 17:02:31
(Event String could not be retrieved)
......................... NSRVDOM1 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15
minutes.
......................... NSRVDOM1 passed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC0001B7A
Time Generated: 10/16/2008 16:37:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
......................... NSRVDOM1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)

CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on


CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan

are correct.
The system object reference (frsComputerReferenceBL)

CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan

and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are

correct.
The system object reference (serverReferenceBL)

CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan

and backlink on

CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan

are correct.
......................... NSRVDOM1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : cciag
Starting test: CrossRefValidation
......................... cciag passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... cciag passed test CheckSDRefDom

Running enterprise tests on : cciag.lan
Starting test: Intersite
Doing intersite inbound replication test on site Site-Polynome:
Locating & Contacting Intersite Topology Generator (ISTG) ...
The ISTG for site Site-Polynome is: NSRVDOM1.
Checking for down bridgeheads ...
Bridghead Site-PoterneNSRVDOM2 is up and replicating fine.
Bridghead Site-PolynomeNSRVDOM1 is up and replicating fine.
*Warning: Remote bridgehead Site-VLNNSRVDOM5 has some

replication syncs failing. It will be 0 failed replication

attempts before the bridgehead is considered ineligible to
be a

bridgehead.
Doing in depth site analysis ...
Remote site Site-Poterne is replicating to the local site

Site-Polynome the writeable NC ForestDnsZones correctly.
Remote site Site-Poterne is replicating to the local site

Site-Polynome the writeable NC DomainDnsZones correctly.
Remote site Site-Poterne is replicating to the local site

Site-Polynome the writeable NC Schema correctly.
Remote site Site-Poterne is replicating to the local site

Site-Polynome the writeable NC Configuration correctly.
Remote site Site-Poterne is replicating to the local site

Site-Polynome the writeable NC cciag correctly.
Remote site Site-VLN is replicating to the local site

Site-Polynome the writeable NC ForestDnsZones correctly.
Remote site Site-VLN is replicating to the local site

Site-Polynome the writeable NC DomainDnsZones correctly.
Remote site Site-VLN is replicating to the local site

Site-Polynome the writeable NC Schema correctly.
Remote site Site-VLN is replicating to the local site

Site-Polynome the writeable NC Configuration correctly.
Remote site Site-VLN is replicating to the local site

Site-Polynome the writeable NC cciag correctly.
Skipping site Site-Poterne, this site is outside the scope provided
by

the command line arguments provided.
Skipping site Site-IDA, this site is outside the scope provided by
the

command line arguments provided.
Skipping site Site-VLN, this site is outside the scope provided by
the

command line arguments provided.
Skipping site Site-AVI, this site is outside the scope provided by
the

command line arguments provided.
......................... cciag.lan passed test Intersite
Starting test: FsmoCheck
GC Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
PDC Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
Time Server Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
Preferred Time Server Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
KDC Name: \NSRVDOM1.cciag.lan
Locator Flags: 0xe00003fd
......................... cciag.lan passed test FsmoCheck
Test omitted by user request: DNS
Test omitted by user request: DNS

Et en ce qui concerne la Synchro du temps sur le domaine :
<17:01[C:Program FilesSupport Tools 2003]> w32tm /monitor /domain:cciag.lan
NSRVDOM1.cciag.lan *** PDC *** [192.168.1.1]:
ICMP: 1ms delay.
NTP: +0.0000000s offset from NSRVDOM1.cciag.lan
RefID: imag.imag.fr [129.88.30.1]
NSRVDOM2.cciag.lan [192.168.2.1]:
ICMP: 0ms delay.
NTP: +0.2827861s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
NSRVDOM5.cciag.lan [192.168.5.1]:
ICMP: 2ms delay.
NTP: -0.4078111s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
nsrvdom3.cciag.lan [192.168.3.1]:
ICMP: 0ms delay.
NTP: -0.3717693s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]
NSRVDOM4.cciag.lan [192.168.4.1]:
ICMP: 2ms delay.
NTP: +0.2101782s offset from NSRVDOM1.cciag.lan
RefID: NSRVDOM1.cciag.lan [192.168.1.1]

Je pense que je tenterais demain les manip que vou me proposez pour le
changement de mot de passe, si celles-ci sont toujours d'actualité au vu de
l'explication (un peu plus claire ?) que je viens de fournir.

Dans l'attente de votre confirmation,
Clément.

"Emmanuel Dreux" a écrit :

Je viens d'en discuter avec mes collègues.

Si cette situation nous arrivait maintenant, nous arrêterions le service KDC
et netlogon sur tous les DC et reconstruction immédiate des PDC emulators
depuis le dernier backup.
Ca permet de repartir en service dégradé minimum qui laisse ensuite le temps
de reconstruire les autres DC.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Emmanuel Dreux" a écrit :

> Votre scénario... c'est la grosse grosse grosse catastrophe!
>
> Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
> Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
> l'heure.
>
> Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
> dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
>
> Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
> Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
> /showreps.
>
> Au fur et à mesure que les DC se remettront à l'heure, la réplication
> redémarrera...
>
> sauf que:
>
> chaque machine change son mot de passe périodiquement. Avec la réplication
> cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
> risque d'avoir des access denied dans tous les sens.
> revenus en 2008 les DC vont changer leur mot de passe... et avec la
> réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
> qui génèreront donc des tickets kerberos invalides pour répliquer.
>
> CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
> réactiver la réplication.
>
> Si vous êtes dans ce cas:
> 1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
> 2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
> emulator (netdom resetpwd)
> 3. Forcez la réplication avec le pdc emluator.
>
> Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
> Kerberso et qui possède les bon mot de passe de tout le monde.
>
> Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
> retrouver dans ce cas.
>
> Ouf, vous avez réglé 25% de vos problèmes.
>
> Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
> d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
>
> Comme écrit en première ligne, très très mauvais scénario!!!
>
> Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
> les clés de registre suivantes sur tous les DC, elles bloqueront les trop
> grands décallage horaires:
> MaxNegPhaseCorrection
> MaxPosPhaseCorrection
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> > maintenant tout à fait synchrone avec celles des mes autres DC.


Emmanuel Dreux
Le #17554591
Access denied lors de la réplication.
no comment :-)

Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
si le problème de réplication est lié à un seul DC (par exemple ce PDC
emulator).

Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
pas les réplications ou alors c'est le contraire, les partenaires ne tirent
pas depuis le pdc).

Le plan d'action variera en fonction de l'état des lieux.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
cette situation ^^

Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
l'authentification kerberos basé dessus...).

J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
source de temps externe, que j'ai fini par identifier comme défectueuse, et
est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
de temps pour passer sur une source stable : le service de temps du PDC à
validé la source et s'est ensuite synchronisé correctement.
J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
(octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
et MaxPosPhaseCorrection dans le passé.

Donc seul le PDC à vu son référentiel temporel modifié.

Après quelques investigations de plus je me suis rendu compte qu'à l'époque
ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
indépendante (hou le vilain !!!).
Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
pense que dans tout les cas ça n'agraveras pas la situation.

Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC

Domain Controller Diagnosis

Performing initial setup:
* Verifying that the local machine NSRVDOM1, is a DC.
* Connecting to directory service on server NSRVDOM1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 5 DC(s). Testing 1 of them.
Done gathering initial info.

Doing initial required tests

Testing server: Site-PolynomeNSRVDOM1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... NSRVDOM1 passed test Connectivity

Doing primary tests

Testing server: Site-PolynomeNSRVDOM1
Starting test: Replications
* Replications Check
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
* Replication Latency Check
DC=ForestDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... NSRVDOM1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC NSRVDOM1.
* Security Permissions Check for
DC=ForestDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DCÌiag,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DCÌiag,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DCÌiag,DC=lan
(Domain,Version 2)
......................... NSRVDOM1 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \NSRVDOM1netlogon
Verified share \NSRVDOM1sysvol
......................... NSRVDOM1 passed test NetLogons
Starting test: Advertising
The DC NSRVDOM1 is advertising itself as a DC and having a DS.
The DC NSRVDOM1 is advertising as an LDAP server
The DC NSRVDOM1 is advertising as having a writeable directory
The DC NSRVDOM1 is advertising as a Key Distribution Center
The DC NSRVDOM1 is advertising as a time server
The DS NSRVDOM1 is advertising as a GC.
......................... NSRVDOM1 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Domain Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role PDC Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Rid Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
......................... NSRVDOM1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 5603 to 1073741823
* NSRVDOM1.cciag.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4103 to 4602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1469
......................... NSRVDOM1 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
* SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :LDAP/NSRVDOM1.cciag.lan
* SPN found :LDAP/NSRVDOM1
* SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
* SPN found
:LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan
* SPN found :HOST/NSRVDOM1
* SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
* SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
......................... NSRVDOM1 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... NSRVDOM1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
NSRVDOM1 is in domain DCÌiag,DC=lan
Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
domain DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... NSRVDOM1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... NSRVDOM1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may
cause

Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 16:47:31
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 17:02:31
(Event String could not be retrieved)
......................... NSRVDOM1 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15
minutes.
......................... NSRVDOM1 passed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC0001B7A
Time Generated: 10/16/2008 16:37:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
......................... NSRVDOM1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)

CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on


CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan

are correct.
The system object reference (frsComputerReferenceBL)

CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan

and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are

correct.
The system object reference (serverReferenceBL)

CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan

and backlink on

CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan

are correct.
......................... NSRVDOM1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom


Nac Jack
Le #17556321
D'après les résultats de cette commande, le PDC arrive à contacter tous les
DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
le PDC.

Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :

C:Program FilesSupport Tools>repadmin.exe /showrepl

repadmin running command /showrepl against server localhost

Site-PoterneNSRVDOM2
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11

==== INBOUND NEIGHBORS =====================================
DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

CN=Schema,CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

Source: Site-PolynomeNSRVDOM1
******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.

Dès lors que suis-je censé faire ?

Clément.

"Emmanuel Dreux" a écrit :

Access denied lors de la réplication.
no comment :-)

Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
si le problème de réplication est lié à un seul DC (par exemple ce PDC
emulator).

Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
pas les réplications ou alors c'est le contraire, les partenaires ne tirent
pas depuis le pdc).

Le plan d'action variera en fonction de l'état des lieux.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

> Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> cette situation ^^
>
> Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> l'authentification kerberos basé dessus...).
>
> J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> source de temps externe, que j'ai fini par identifier comme défectueuse, et
> est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> de temps pour passer sur une source stable : le service de temps du PDC à
> validé la source et s'est ensuite synchronisé correctement.
> J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> et MaxPosPhaseCorrection dans le passé.
>
> Donc seul le PDC à vu son référentiel temporel modifié.
>
> Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> indépendante (hou le vilain !!!).
> Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> pense que dans tout les cas ça n'agraveras pas la situation.
>
> Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
>
> Domain Controller Diagnosis
>
> Performing initial setup:
> * Verifying that the local machine NSRVDOM1, is a DC.
> * Connecting to directory service on server NSRVDOM1.
> * Collecting site info.
> * Identifying all servers.
> * Identifying all NC cross-refs.
> * Found 5 DC(s). Testing 1 of them.
> Done gathering initial info.
>
> Doing initial required tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Connectivity
> * Active Directory LDAP Services Check
> * Active Directory RPC Services Check
> ......................... NSRVDOM1 passed test Connectivity
>
> Doing primary tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Replications
> * Replications Check
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> * Replication Latency Check
> DC=ForestDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DC=DomainDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> * Replication Site Latency Check
> ......................... NSRVDOM1 passed test Replications
> Test omitted by user request: Topology
> Test omitted by user request: CutoffServers
> Starting test: NCSecDesc
> * Security Permissions check for all NC's on DC NSRVDOM1.
> * Security Permissions Check for
> DC=ForestDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> DC=DomainDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> (Schema,Version 2)
> * Security Permissions Check for
> CN=Configuration,DCÌiag,DC=lan
> (Configuration,Version 2)
> * Security Permissions Check for
> DCÌiag,DC=lan
> (Domain,Version 2)
> ......................... NSRVDOM1 passed test NCSecDesc
> Starting test: NetLogons
> * Network Logons Privileges Check
> Verified share \NSRVDOM1netlogon
> Verified share \NSRVDOM1sysvol
> ......................... NSRVDOM1 passed test NetLogons
> Starting test: Advertising
> The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> The DC NSRVDOM1 is advertising as an LDAP server
> The DC NSRVDOM1 is advertising as having a writeable directory
> The DC NSRVDOM1 is advertising as a Key Distribution Center
> The DC NSRVDOM1 is advertising as a time server
> The DS NSRVDOM1 is advertising as a GC.
> ......................... NSRVDOM1 passed test Advertising
> Starting test: KnowsOfRoleHolders
> Role Schema Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Domain Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role PDC Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Rid Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Infrastructure Update Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> ......................... NSRVDOM1 passed test KnowsOfRoleHolders
> Starting test: RidManager
> * Available RID Pool for the Domain is 5603 to 1073741823
> * NSRVDOM1.cciag.lan is the RID Master
> * DsBind with RID Master was successful
> * rIDAllocationPool is 4103 to 4602
> * rIDPreviousAllocationPool is 1103 to 1602
> * rIDNextRID: 1469
> ......................... NSRVDOM1 passed test RidManager
> Starting test: MachineAccount
> Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
> * SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :LDAP/NSRVDOM1.cciag.lan
> * SPN found :LDAP/NSRVDOM1
> * SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
> * SPN found
> :LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
> * SPN found
> :E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan
> * SPN found :HOST/NSRVDOM1
> * SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
> * SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
> ......................... NSRVDOM1 passed test MachineAccount
> Starting test: Services
> * Checking Service: Dnscache
> * Checking Service: NtFrs
> * Checking Service: IsmServ
> * Checking Service: kdc
> * Checking Service: SamSs
> * Checking Service: LanmanServer
> * Checking Service: LanmanWorkstation
> * Checking Service: RpcSs
> * Checking Service: w32time
> * Checking Service: NETLOGON
> ......................... NSRVDOM1 passed test Services
> Test omitted by user request: OutboundSecureChannels
> Starting test: ObjectsReplicated
> NSRVDOM1 is in domain DCÌiag,DC=lan
> Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
> domain DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> Checking for CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> ......................... NSRVDOM1 passed test ObjectsReplicated
> Starting test: frssysvol
> * The File Replication Service SYSVOL ready test
> File Replication Service's SYSVOL is ready
> ......................... NSRVDOM1 passed test frssysvol
> Starting test: frsevent
> * The File Replication Service Event log test
> There are warning or error events within the last 24 hours after the
>
> SYSVOL has been shared. Failing SYSVOL replication problems may
> cause
>
> Group Policy problems.
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 16:47:31
> (Event String could not be retrieved)
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 17:02:31
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test frsevent
> Starting test: kccevent
> * The KCC Event log test
> Found no KCC errors in Directory Service Event log in the last 15
> minutes.
> ......................... NSRVDOM1 passed test kccevent
> Starting test: systemlog
> * The System Event log test
> An Error Event occured. EventID: 0xC0001B7A
> Time Generated: 10/16/2008 16:37:25
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test systemlog
> Test omitted by user request: VerifyReplicas
> Starting test: VerifyReferences
> The system object reference (serverReference)
>
> CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
>
>
> CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
>
> are correct.
> The system object reference (frsComputerReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
>
> correct.
> The system object reference (serverReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on
>


Emmanuel Dreux
Le #17558691
Arrêtez le service KDC sur le PDC emulator et désactivez le.

puis resettez son mot de passe:
sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
/userd:Un_Domain_Admin /passwordd:*

cf http://support.microsoft.com/kb/260575

Ensuite, sur le PDC emulator

ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
Un_DC_PARTENAIRE.

Repliquez les DC enter eux.
Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
rebootez le PDC emulator, service KDC toujours désactivé.

Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
dont le mot de passe est connu de tout le monde.
La réplication devrait alors passer et vous pourrez réactivez le service KDC.

Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
emulator et seizure des roles.
Repromotez le pdc emulator et retransférer lui les roles.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

D'après les résultats de cette commande, le PDC arrive à contacter tous les
DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
le PDC.

Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :

C:Program FilesSupport Tools>repadmin.exe /showrepl

repadmin running command /showrepl against server localhost

Site-PoterneNSRVDOM2
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11

==== INBOUND NEIGHBORS ===================================== >
DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

CN=Schema,CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.

Source: Site-PolynomeNSRVDOM1
******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.

Dès lors que suis-je censé faire ?

Clément.

"Emmanuel Dreux" a écrit :

> Access denied lors de la réplication.
> no comment :-)
>
> Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> si le problème de réplication est lié à un seul DC (par exemple ce PDC
> emulator).
>
> Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> pas depuis le pdc).
>
> Le plan d'action variera en fonction de l'état des lieux.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > cette situation ^^
> >
> > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > l'authentification kerberos basé dessus...).
> >
> > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > de temps pour passer sur une source stable : le service de temps du PDC à
> > validé la source et s'est ensuite synchronisé correctement.
> > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > et MaxPosPhaseCorrection dans le passé.
> >
> > Donc seul le PDC à vu son référentiel temporel modifié.
> >
> > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > indépendante (hou le vilain !!!).
> > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > pense que dans tout les cas ça n'agraveras pas la situation.
> >
> > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> >
> > Domain Controller Diagnosis
> >
> > Performing initial setup:
> > * Verifying that the local machine NSRVDOM1, is a DC.
> > * Connecting to directory service on server NSRVDOM1.
> > * Collecting site info.
> > * Identifying all servers.
> > * Identifying all NC cross-refs.
> > * Found 5 DC(s). Testing 1 of them.
> > Done gathering initial info.
> >
> > Doing initial required tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Connectivity
> > * Active Directory LDAP Services Check
> > * Active Directory RPC Services Check
> > ......................... NSRVDOM1 passed test Connectivity
> >
> > Doing primary tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Replications
> > * Replications Check
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > * Replication Latency Check
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > * Replication Site Latency Check
> > ......................... NSRVDOM1 passed test Replications
> > Test omitted by user request: Topology
> > Test omitted by user request: CutoffServers
> > Starting test: NCSecDesc
> > * Security Permissions check for all NC's on DC NSRVDOM1.
> > * Security Permissions Check for
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > (Schema,Version 2)
> > * Security Permissions Check for
> > CN=Configuration,DCÌiag,DC=lan
> > (Configuration,Version 2)
> > * Security Permissions Check for
> > DCÌiag,DC=lan
> > (Domain,Version 2)
> > ......................... NSRVDOM1 passed test NCSecDesc
> > Starting test: NetLogons
> > * Network Logons Privileges Check
> > Verified share \NSRVDOM1netlogon
> > Verified share \NSRVDOM1sysvol
> > ......................... NSRVDOM1 passed test NetLogons
> > Starting test: Advertising
> > The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> > The DC NSRVDOM1 is advertising as an LDAP server
> > The DC NSRVDOM1 is advertising as having a writeable directory
> > The DC NSRVDOM1 is advertising as a Key Distribution Center
> > The DC NSRVDOM1 is advertising as a time server
> > The DS NSRVDOM1 is advertising as a GC.
> > ......................... NSRVDOM1 passed test Advertising


Nac Jack
Le #17587751
Cela refonctionne à merveille !! Pas besoin d'aller jusqu'au reformatage du
PDC (et tant mieux ^.^' ).

Merci pour le temps que vous m'avez consacré, ainsi que de la procédure de
résolution qui m'a évité bien des problèmes.

Clément.

"Emmanuel Dreux" a écrit :

Arrêtez le service KDC sur le PDC emulator et désactivez le.

puis resettez son mot de passe:
sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
/userd:Un_Domain_Admin /passwordd:*

cf http://support.microsoft.com/kb/260575

Ensuite, sur le PDC emulator

ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
Un_DC_PARTENAIRE.

Repliquez les DC enter eux.
Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
rebootez le PDC emulator, service KDC toujours désactivé.

Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
dont le mot de passe est connu de tout le monde.
La réplication devrait alors passer et vous pourrez réactivez le service KDC.

Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
emulator et seizure des roles.
Repromotez le pdc emulator et retransférer lui les roles.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

> D'après les résultats de cette commande, le PDC arrive à contacter tous les
> DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> le PDC.
>
> Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
>
> C:Program FilesSupport Tools>repadmin.exe /showrepl
>
> repadmin running command /showrepl against server localhost
>
> Site-PoterneNSRVDOM2
> DC Options: IS_GC
> Site Options: (none)
> DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
>
> ==== INBOUND NEIGHBORS ===================================== > >
> DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=ForestDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=DomainDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> Source: Site-PolynomeNSRVDOM1
> ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> Last error: -2146893022 (0x80090322):
> Le nom principal de la cible n'est pas correct.
>
> Dès lors que suis-je censé faire ?
>
> Clément.
>
> "Emmanuel Dreux" a écrit :
>
> > Access denied lors de la réplication.
> > no comment :-)
> >
> > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > emulator).
> >
> > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > pas depuis le pdc).
> >
> > Le plan d'action variera en fonction de l'état des lieux.
> >
> > --
> > Cordialement,
> > Emmanuel Dreux
> > http://www.ilinfo.fr
> >
> >
> > "Nac Jack" a écrit :
> >
> > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > cette situation ^^
> > >
> > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > l'authentification kerberos basé dessus...).
> > >
> > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > validé la source et s'est ensuite synchronisé correctement.
> > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > et MaxPosPhaseCorrection dans le passé.
> > >
> > > Donc seul le PDC à vu son référentiel temporel modifié.
> > >
> > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > indépendante (hou le vilain !!!).
> > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > pense que dans tout les cas ça n'agraveras pas la situation.
> > >
> > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > >
> > > Domain Controller Diagnosis
> > >
> > > Performing initial setup:
> > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > * Connecting to directory service on server NSRVDOM1.
> > > * Collecting site info.
> > > * Identifying all servers.
> > > * Identifying all NC cross-refs.
> > > * Found 5 DC(s). Testing 1 of them.
> > > Done gathering initial info.
> > >
> > > Doing initial required tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Connectivity
> > > * Active Directory LDAP Services Check
> > > * Active Directory RPC Services Check
> > > ......................... NSRVDOM1 passed test Connectivity
> > >
> > > Doing primary tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Replications
> > > * Replications Check
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > * Replication Latency Check
> > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > * Replication Site Latency Check
> > > ......................... NSRVDOM1 passed test Replications


Emmanuel Dreux
Le #17588201
Super!

c'était pas évident à travers le newsgroup de qualifier et corriger un pb
si complexe en si peu de mails.

Bravo pour votre perspicacité et compréhension du pb.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Nac Jack" a écrit :

Cela refonctionne à merveille !! Pas besoin d'aller jusqu'au reformatage du
PDC (et tant mieux ^.^' ).

Merci pour le temps que vous m'avez consacré, ainsi que de la procédure de
résolution qui m'a évité bien des problèmes.

Clément.

"Emmanuel Dreux" a écrit :

> Arrêtez le service KDC sur le PDC emulator et désactivez le.
>
> puis resettez son mot de passe:
> sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
> /userd:Un_Domain_Admin /passwordd:*
>
> cf http://support.microsoft.com/kb/260575
>
> Ensuite, sur le PDC emulator
>
> ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
> Un_DC_PARTENAIRE.
>
> Repliquez les DC enter eux.
> Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
> rebootez le PDC emulator, service KDC toujours désactivé.
>
> Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
> dont le mot de passe est connu de tout le monde.
> La réplication devrait alors passer et vous pourrez réactivez le service KDC.
>
> Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
> emulator et seizure des roles.
> Repromotez le pdc emulator et retransférer lui les roles.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > D'après les résultats de cette commande, le PDC arrive à contacter tous les
> > DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> > le PDC.
> >
> > Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
> >
> > C:Program FilesSupport Tools>repadmin.exe /showrepl
> >
> > repadmin running command /showrepl against server localhost
> >
> > Site-PoterneNSRVDOM2
> > DC Options: IS_GC
> > Site Options: (none)
> > DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> > DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
> >
> > ==== INBOUND NEIGHBORS ===================================== > > >
> > DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > Source: Site-PolynomeNSRVDOM1
> > ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> > Last error: -2146893022 (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> >
> > Dès lors que suis-je censé faire ?
> >
> > Clément.
> >
> > "Emmanuel Dreux" a écrit :
> >
> > > Access denied lors de la réplication.
> > > no comment :-)
> > >
> > > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > > emulator).
> > >
> > > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > > pas depuis le pdc).
> > >
> > > Le plan d'action variera en fonction de l'état des lieux.
> > >
> > > --
> > > Cordialement,
> > > Emmanuel Dreux
> > > http://www.ilinfo.fr
> > >
> > >
> > > "Nac Jack" a écrit :
> > >
> > > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > > cette situation ^^
> > > >
> > > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > > l'authentification kerberos basé dessus...).
> > > >
> > > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > > validé la source et s'est ensuite synchronisé correctement.
> > > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > > et MaxPosPhaseCorrection dans le passé.
> > > >
> > > > Donc seul le PDC à vu son référentiel temporel modifié.
> > > >
> > > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > > indépendante (hou le vilain !!!).
> > > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > > pense que dans tout les cas ça n'agraveras pas la situation.
> > > >
> > > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > > >
> > > > Domain Controller Diagnosis
> > > >
> > > > Performing initial setup:
> > > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > > * Connecting to directory service on server NSRVDOM1.
> > > > * Collecting site info.
> > > > * Identifying all servers.
> > > > * Identifying all NC cross-refs.
> > > > * Found 5 DC(s). Testing 1 of them.
> > > > Done gathering initial info.
> > > >
> > > > Doing initial required tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Connectivity
> > > > * Active Directory LDAP Services Check
> > > > * Active Directory RPC Services Check
> > > > ......................... NSRVDOM1 passed test Connectivity
> > > >
> > > > Doing primary tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Replications
> > > > * Replications Check
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > * Replication Latency Check
> > > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.


Publicité
Poster une réponse
Anonyme