J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
maintenant tout à fait synchrone avec celles des mes autres DC.
J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
maintenant tout à fait synchrone avec celles des mes autres DC.
J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
maintenant tout à fait synchrone avec celles des mes autres DC.
Votre scénario... c'est la grosse grosse grosse catastrophe!
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Nac Jack" a écrit :
> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.
Votre scénario... c'est la grosse grosse grosse catastrophe!
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.
Votre scénario... c'est la grosse grosse grosse catastrophe!
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Nac Jack" a écrit :
> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.
Votre scénario... c'est la grosse grosse grosse catastrophe!
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Nac Jack" a écrit :
> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.
Votre scénario... c'est la grosse grosse grosse catastrophe!
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.
Votre scénario... c'est la grosse grosse grosse catastrophe!
Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
l'heure.
Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
/showreps.
Au fur et à mesure que les DC se remettront à l'heure, la réplication
redémarrera...
sauf que:
chaque machine change son mot de passe périodiquement. Avec la réplication
cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
risque d'avoir des access denied dans tous les sens.
revenus en 2008 les DC vont changer leur mot de passe... et avec la
réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
qui génèreront donc des tickets kerberos invalides pour répliquer.
CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
réactiver la réplication.
Si vous êtes dans ce cas:
1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
emulator (netdom resetpwd)
3. Forcez la réplication avec le pdc emluator.
Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
Kerberso et qui possède les bon mot de passe de tout le monde.
Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
retrouver dans ce cas.
Ouf, vous avez réglé 25% de vos problèmes.
Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
Comme écrit en première ligne, très très mauvais scénario!!!
Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
les clés de registre suivantes sur tous les DC, elles bloqueront les trop
grands décallage horaires:
MaxNegPhaseCorrection
MaxPosPhaseCorrection
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Nac Jack" a écrit :
> J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> maintenant tout à fait synchrone avec celles des mes autres DC.
Je viens d'en discuter avec mes collègues.
Si cette situation nous arrivait maintenant, nous arrêterions le service KDC
et netlogon sur tous les DC et reconstruction immédiate des PDC emulators
depuis le dernier backup.
Ca permet de repartir en service dégradé minimum qui laisse ensuite le temps
de reconstruire les autres DC.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Emmanuel Dreux" a écrit :
> Votre scénario... c'est la grosse grosse grosse catastrophe!
>
> Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
> Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
> l'heure.
>
> Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
> dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
>
> Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
> Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
> /showreps.
>
> Au fur et à mesure que les DC se remettront à l'heure, la réplication
> redémarrera...
>
> sauf que:
>
> chaque machine change son mot de passe périodiquement. Avec la réplication
> cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
> risque d'avoir des access denied dans tous les sens.
> revenus en 2008 les DC vont changer leur mot de passe... et avec la
> réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
> qui génèreront donc des tickets kerberos invalides pour répliquer.
>
> CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
> réactiver la réplication.
>
> Si vous êtes dans ce cas:
> 1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
> 2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
> emulator (netdom resetpwd)
> 3. Forcez la réplication avec le pdc emluator.
>
> Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
> Kerberso et qui possède les bon mot de passe de tout le monde.
>
> Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
> retrouver dans ce cas.
>
> Ouf, vous avez réglé 25% de vos problèmes.
>
> Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
> d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
>
> Comme écrit en première ligne, très très mauvais scénario!!!
>
> Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
> les clés de registre suivantes sur tous les DC, elles bloqueront les trop
> grands décallage horaires:
> MaxNegPhaseCorrection
> MaxPosPhaseCorrection
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> > maintenant tout à fait synchrone avec celles des mes autres DC.
Je viens d'en discuter avec mes collègues.
Si cette situation nous arrivait maintenant, nous arrêterions le service KDC
et netlogon sur tous les DC et reconstruction immédiate des PDC emulators
depuis le dernier backup.
Ca permet de repartir en service dégradé minimum qui laisse ensuite le temps
de reconstruire les autres DC.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Emmanuel Dreux" a écrit :
> Votre scénario... c'est la grosse grosse grosse catastrophe!
>
> Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
> Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
> l'heure.
>
> Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
> dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
>
> Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
> Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
> /showreps.
>
> Au fur et à mesure que les DC se remettront à l'heure, la réplication
> redémarrera...
>
> sauf que:
>
> chaque machine change son mot de passe périodiquement. Avec la réplication
> cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
> risque d'avoir des access denied dans tous les sens.
> revenus en 2008 les DC vont changer leur mot de passe... et avec la
> réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
> qui génèreront donc des tickets kerberos invalides pour répliquer.
>
> CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
> réactiver la réplication.
>
> Si vous êtes dans ce cas:
> 1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
> 2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
> emulator (netdom resetpwd)
> 3. Forcez la réplication avec le pdc emluator.
>
> Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
> Kerberso et qui possède les bon mot de passe de tout le monde.
>
> Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
> retrouver dans ce cas.
>
> Ouf, vous avez réglé 25% de vos problèmes.
>
> Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
> d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
>
> Comme écrit en première ligne, très très mauvais scénario!!!
>
> Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
> les clés de registre suivantes sur tous les DC, elles bloqueront les trop
> grands décallage horaires:
> MaxNegPhaseCorrection
> MaxPosPhaseCorrection
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> > maintenant tout à fait synchrone avec celles des mes autres DC.
Je viens d'en discuter avec mes collègues.
Si cette situation nous arrivait maintenant, nous arrêterions le service KDC
et netlogon sur tous les DC et reconstruction immédiate des PDC emulators
depuis le dernier backup.
Ca permet de repartir en service dégradé minimum qui laisse ensuite le temps
de reconstruire les autres DC.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Emmanuel Dreux" a écrit :
> Votre scénario... c'est la grosse grosse grosse catastrophe!
>
> Tous les DC du domaine synchronisent l'heure sur le PDC emulator.
> Ils sont donc tous revenus en 2000 sauf le PDC emulator qui est revenu à
> l'heure.
>
> Et comme Kerberos supporte 5 minutes de différences, tant que vous avez des
> dc avec plusieurs années de décalage, la réplication ne fonctionnera plus.
>
> Forcez la mise à jour de l'heure sur tous les DC avec la commande w32time.
> Vérifiez la réplication sur chaque DC à l'aide de la commande repadmin
> /showreps.
>
> Au fur et à mesure que les DC se remettront à l'heure, la réplication
> redémarrera...
>
> sauf que:
>
> chaque machine change son mot de passe périodiquement. Avec la réplication
> cassée, les DC n'auront pas les mots de passe à jour des autres DC et il
> risque d'avoir des access denied dans tous les sens.
> revenus en 2008 les DC vont changer leur mot de passe... et avec la
> réplication cassée, leurs mot de passe ne seront pas répliqués aux autres DC
> qui génèreront donc des tickets kerberos invalides pour répliquer.
>
> CA rique de se mordre la queue pour certains DC et vous ne pourrez pas
> réactiver la réplication.
>
> Si vous êtes dans ce cas:
> 1. Arrêtez le service kdc sur tous les DC sauf le PDC emulator.
> 2. Forcez le changement de mot de passe de ce dc qui ne réplique sur le PDC
> emulator (netdom resetpwd)
> 3. Forcez la réplication avec le pdc emluator.
>
> Par cette manip, vous repartez avec un KDC unique qui distribue des tickets
> Kerberso et qui possède les bon mot de passe de tout le monde.
>
> Vous pourrez restaurer la réplication DC par DC pour ceux qui risquent de se
> retrouver dans ce cas.
>
> Ouf, vous avez réglé 25% de vos problèmes.
>
> Maintenant,vous risquez de vous retrouver dans un très mauvais scénario
> d'USN Rollback... qui vous conduira à reconstruire votre domaine. :-(
>
> Comme écrit en première ligne, très très mauvais scénario!!!
>
> Dans le futur, (conseil pour tous les lecteurs de ce newsgroup) positionnez
> les clés de registre suivantes sur tous les DC, elles bloqueront les trop
> grands décallage horaires:
> MaxNegPhaseCorrection
> MaxPosPhaseCorrection
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > J'ai oublier de préciser que j'ai remis l'horloge du PDC d'aplomb, elle est
> > maintenant tout à fait synchrone avec celles des mes autres DC.
Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
cette situation ^^
Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
l'authentification kerberos basé dessus...).
J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
source de temps externe, que j'ai fini par identifier comme défectueuse, et
est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
de temps pour passer sur une source stable : le service de temps du PDC à
validé la source et s'est ensuite synchronisé correctement.
J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
(octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
et MaxPosPhaseCorrection dans le passé.
Donc seul le PDC à vu son référentiel temporel modifié.
Après quelques investigations de plus je me suis rendu compte qu'à l'époque
ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
indépendante (hou le vilain !!!).
Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
pense que dans tout les cas ça n'agraveras pas la situation.
Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine NSRVDOM1, is a DC.
* Connecting to directory service on server NSRVDOM1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 5 DC(s). Testing 1 of them.
Done gathering initial info.
Doing initial required tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... NSRVDOM1 passed test Connectivity
Doing primary tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Replications
* Replications Check
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
* Replication Latency Check
DC=ForestDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... NSRVDOM1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC NSRVDOM1.
* Security Permissions Check for
DC=ForestDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DCÌiag,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DCÌiag,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DCÌiag,DC=lan
(Domain,Version 2)
......................... NSRVDOM1 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share NSRVDOM1netlogon
Verified share NSRVDOM1sysvol
......................... NSRVDOM1 passed test NetLogons
Starting test: Advertising
The DC NSRVDOM1 is advertising itself as a DC and having a DS.
The DC NSRVDOM1 is advertising as an LDAP server
The DC NSRVDOM1 is advertising as having a writeable directory
The DC NSRVDOM1 is advertising as a Key Distribution Center
The DC NSRVDOM1 is advertising as a time server
The DS NSRVDOM1 is advertising as a GC.
......................... NSRVDOM1 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Domain Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role PDC Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Rid Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
......................... NSRVDOM1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 5603 to 1073741823
* NSRVDOM1.cciag.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4103 to 4602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1469
......................... NSRVDOM1 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
* SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :LDAP/NSRVDOM1.cciag.lan
* SPN found :LDAP/NSRVDOM1
* SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
* SPN found
:LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan
* SPN found :HOST/NSRVDOM1
* SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
* SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
......................... NSRVDOM1 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... NSRVDOM1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
NSRVDOM1 is in domain DCÌiag,DC=lan
Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
domain DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... NSRVDOM1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... NSRVDOM1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may
cause
Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 16:47:31
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 17:02:31
(Event String could not be retrieved)
......................... NSRVDOM1 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15
minutes.
......................... NSRVDOM1 passed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC0001B7A
Time Generated: 10/16/2008 16:37:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
......................... NSRVDOM1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
The system object reference (frsComputerReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
correct.
The system object reference (serverReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on
CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
......................... NSRVDOM1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
cette situation ^^
Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
l'authentification kerberos basé dessus...).
J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
source de temps externe, que j'ai fini par identifier comme défectueuse, et
est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
de temps pour passer sur une source stable : le service de temps du PDC à
validé la source et s'est ensuite synchronisé correctement.
J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
(octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
et MaxPosPhaseCorrection dans le passé.
Donc seul le PDC à vu son référentiel temporel modifié.
Après quelques investigations de plus je me suis rendu compte qu'à l'époque
ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
indépendante (hou le vilain !!!).
Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
pense que dans tout les cas ça n'agraveras pas la situation.
Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine NSRVDOM1, is a DC.
* Connecting to directory service on server NSRVDOM1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 5 DC(s). Testing 1 of them.
Done gathering initial info.
Doing initial required tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... NSRVDOM1 passed test Connectivity
Doing primary tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Replications
* Replications Check
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
* Replication Latency Check
DC=ForestDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... NSRVDOM1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC NSRVDOM1.
* Security Permissions Check for
DC=ForestDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DCÌiag,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DCÌiag,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DCÌiag,DC=lan
(Domain,Version 2)
......................... NSRVDOM1 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \NSRVDOM1netlogon
Verified share \NSRVDOM1sysvol
......................... NSRVDOM1 passed test NetLogons
Starting test: Advertising
The DC NSRVDOM1 is advertising itself as a DC and having a DS.
The DC NSRVDOM1 is advertising as an LDAP server
The DC NSRVDOM1 is advertising as having a writeable directory
The DC NSRVDOM1 is advertising as a Key Distribution Center
The DC NSRVDOM1 is advertising as a time server
The DS NSRVDOM1 is advertising as a GC.
......................... NSRVDOM1 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Domain Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role PDC Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Rid Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
......................... NSRVDOM1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 5603 to 1073741823
* NSRVDOM1.cciag.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4103 to 4602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1469
......................... NSRVDOM1 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
* SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :LDAP/NSRVDOM1.cciag.lan
* SPN found :LDAP/NSRVDOM1
* SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
* SPN found
:LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan
* SPN found :HOST/NSRVDOM1
* SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
* SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
......................... NSRVDOM1 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... NSRVDOM1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
NSRVDOM1 is in domain DCÌiag,DC=lan
Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
domain DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... NSRVDOM1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... NSRVDOM1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may
cause
Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 16:47:31
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 17:02:31
(Event String could not be retrieved)
......................... NSRVDOM1 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15
minutes.
......................... NSRVDOM1 passed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC0001B7A
Time Generated: 10/16/2008 16:37:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
......................... NSRVDOM1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
The system object reference (frsComputerReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
correct.
The system object reference (serverReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on
CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
......................... NSRVDOM1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
cette situation ^^
Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
l'authentification kerberos basé dessus...).
J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
source de temps externe, que j'ai fini par identifier comme défectueuse, et
est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
de temps pour passer sur une source stable : le service de temps du PDC à
validé la source et s'est ensuite synchronisé correctement.
J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
(octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
et MaxPosPhaseCorrection dans le passé.
Donc seul le PDC à vu son référentiel temporel modifié.
Après quelques investigations de plus je me suis rendu compte qu'à l'époque
ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
indépendante (hou le vilain !!!).
Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
pense que dans tout les cas ça n'agraveras pas la situation.
Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine NSRVDOM1, is a DC.
* Connecting to directory service on server NSRVDOM1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 5 DC(s). Testing 1 of them.
Done gathering initial info.
Doing initial required tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... NSRVDOM1 passed test Connectivity
Doing primary tests
Testing server: Site-PolynomeNSRVDOM1
Starting test: Replications
* Replications Check
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:35.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: CN=Configuration,DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
[Replications Check,NSRVDOM1] A recent replication attempt failed:
From NSRVDOM5 to NSRVDOM1
Naming Context: DCÌiag,DC=lan
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2008-10-16 16:42:45.
The last success occurred at 2008-10-16 14:47:34.
1 failures have occurred since the last success.
* Replication Latency Check
DC=ForestDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
CN=Configuration,DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
DCÌiag,DC=lan
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating this
nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... NSRVDOM1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC NSRVDOM1.
* Security Permissions Check for
DC=ForestDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DCÌiag,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DCÌiag,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DCÌiag,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DCÌiag,DC=lan
(Domain,Version 2)
......................... NSRVDOM1 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share NSRVDOM1netlogon
Verified share NSRVDOM1sysvol
......................... NSRVDOM1 passed test NetLogons
Starting test: Advertising
The DC NSRVDOM1 is advertising itself as a DC and having a DS.
The DC NSRVDOM1 is advertising as an LDAP server
The DC NSRVDOM1 is advertising as having a writeable directory
The DC NSRVDOM1 is advertising as a Key Distribution Center
The DC NSRVDOM1 is advertising as a time server
The DS NSRVDOM1 is advertising as a GC.
......................... NSRVDOM1 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Domain Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role PDC Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Rid Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
......................... NSRVDOM1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 5603 to 1073741823
* NSRVDOM1.cciag.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4103 to 4602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1469
......................... NSRVDOM1 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
* SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :LDAP/NSRVDOM1.cciag.lan
* SPN found :LDAP/NSRVDOM1
* SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
* SPN found
:LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
* SPN found :HOST/NSRVDOM1.cciag.lan
* SPN found :HOST/NSRVDOM1
* SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
* SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
......................... NSRVDOM1 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... NSRVDOM1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
NSRVDOM1 is in domain DCÌiag,DC=lan
Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
domain DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... NSRVDOM1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... NSRVDOM1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may
cause
Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 16:47:31
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x800034C4
Time Generated: 10/16/2008 17:02:31
(Event String could not be retrieved)
......................... NSRVDOM1 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15
minutes.
......................... NSRVDOM1 passed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC0001B7A
Time Generated: 10/16/2008 16:37:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B58
Time Generated: 10/16/2008 16:43:33
(Event String could not be retrieved)
......................... NSRVDOM1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
The system object reference (frsComputerReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
correct.
The system object reference (serverReferenceBL)
CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DCÌiag,DC=lan
and backlink on
CN=NTDS
Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
are correct.
......................... NSRVDOM1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Access denied lors de la réplication.
no comment :-)
Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
si le problème de réplication est lié à un seul DC (par exemple ce PDC
emulator).
Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
pas les réplications ou alors c'est le contraire, les partenaires ne tirent
pas depuis le pdc).
Le plan d'action variera en fonction de l'état des lieux.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
> Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> cette situation ^^
>
> Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> l'authentification kerberos basé dessus...).
>
> J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> source de temps externe, que j'ai fini par identifier comme défectueuse, et
> est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> de temps pour passer sur une source stable : le service de temps du PDC à
> validé la source et s'est ensuite synchronisé correctement.
> J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> et MaxPosPhaseCorrection dans le passé.
>
> Donc seul le PDC à vu son référentiel temporel modifié.
>
> Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> indépendante (hou le vilain !!!).
> Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> pense que dans tout les cas ça n'agraveras pas la situation.
>
> Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
>
> Domain Controller Diagnosis
>
> Performing initial setup:
> * Verifying that the local machine NSRVDOM1, is a DC.
> * Connecting to directory service on server NSRVDOM1.
> * Collecting site info.
> * Identifying all servers.
> * Identifying all NC cross-refs.
> * Found 5 DC(s). Testing 1 of them.
> Done gathering initial info.
>
> Doing initial required tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Connectivity
> * Active Directory LDAP Services Check
> * Active Directory RPC Services Check
> ......................... NSRVDOM1 passed test Connectivity
>
> Doing primary tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Replications
> * Replications Check
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> * Replication Latency Check
> DC=ForestDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DC=DomainDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> * Replication Site Latency Check
> ......................... NSRVDOM1 passed test Replications
> Test omitted by user request: Topology
> Test omitted by user request: CutoffServers
> Starting test: NCSecDesc
> * Security Permissions check for all NC's on DC NSRVDOM1.
> * Security Permissions Check for
> DC=ForestDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> DC=DomainDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> (Schema,Version 2)
> * Security Permissions Check for
> CN=Configuration,DCÌiag,DC=lan
> (Configuration,Version 2)
> * Security Permissions Check for
> DCÌiag,DC=lan
> (Domain,Version 2)
> ......................... NSRVDOM1 passed test NCSecDesc
> Starting test: NetLogons
> * Network Logons Privileges Check
> Verified share NSRVDOM1netlogon
> Verified share NSRVDOM1sysvol
> ......................... NSRVDOM1 passed test NetLogons
> Starting test: Advertising
> The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> The DC NSRVDOM1 is advertising as an LDAP server
> The DC NSRVDOM1 is advertising as having a writeable directory
> The DC NSRVDOM1 is advertising as a Key Distribution Center
> The DC NSRVDOM1 is advertising as a time server
> The DS NSRVDOM1 is advertising as a GC.
> ......................... NSRVDOM1 passed test Advertising
> Starting test: KnowsOfRoleHolders
> Role Schema Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Domain Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role PDC Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Rid Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Infrastructure Update Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> ......................... NSRVDOM1 passed test KnowsOfRoleHolders
> Starting test: RidManager
> * Available RID Pool for the Domain is 5603 to 1073741823
> * NSRVDOM1.cciag.lan is the RID Master
> * DsBind with RID Master was successful
> * rIDAllocationPool is 4103 to 4602
> * rIDPreviousAllocationPool is 1103 to 1602
> * rIDNextRID: 1469
> ......................... NSRVDOM1 passed test RidManager
> Starting test: MachineAccount
> Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
> * SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :LDAP/NSRVDOM1.cciag.lan
> * SPN found :LDAP/NSRVDOM1
> * SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
> * SPN found
> :LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
> * SPN found
> :E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan
> * SPN found :HOST/NSRVDOM1
> * SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
> * SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
> ......................... NSRVDOM1 passed test MachineAccount
> Starting test: Services
> * Checking Service: Dnscache
> * Checking Service: NtFrs
> * Checking Service: IsmServ
> * Checking Service: kdc
> * Checking Service: SamSs
> * Checking Service: LanmanServer
> * Checking Service: LanmanWorkstation
> * Checking Service: RpcSs
> * Checking Service: w32time
> * Checking Service: NETLOGON
> ......................... NSRVDOM1 passed test Services
> Test omitted by user request: OutboundSecureChannels
> Starting test: ObjectsReplicated
> NSRVDOM1 is in domain DCÌiag,DC=lan
> Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
> domain DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> Checking for CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> ......................... NSRVDOM1 passed test ObjectsReplicated
> Starting test: frssysvol
> * The File Replication Service SYSVOL ready test
> File Replication Service's SYSVOL is ready
> ......................... NSRVDOM1 passed test frssysvol
> Starting test: frsevent
> * The File Replication Service Event log test
> There are warning or error events within the last 24 hours after the
>
> SYSVOL has been shared. Failing SYSVOL replication problems may
> cause
>
> Group Policy problems.
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 16:47:31
> (Event String could not be retrieved)
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 17:02:31
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test frsevent
> Starting test: kccevent
> * The KCC Event log test
> Found no KCC errors in Directory Service Event log in the last 15
> minutes.
> ......................... NSRVDOM1 passed test kccevent
> Starting test: systemlog
> * The System Event log test
> An Error Event occured. EventID: 0xC0001B7A
> Time Generated: 10/16/2008 16:37:25
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test systemlog
> Test omitted by user request: VerifyReplicas
> Starting test: VerifyReferences
> The system object reference (serverReference)
>
> CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
>
>
> CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
>
> are correct.
> The system object reference (frsComputerReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
>
> correct.
> The system object reference (serverReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on
>
Access denied lors de la réplication.
no comment :-)
Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
si le problème de réplication est lié à un seul DC (par exemple ce PDC
emulator).
Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
pas les réplications ou alors c'est le contraire, les partenaires ne tirent
pas depuis le pdc).
Le plan d'action variera en fonction de l'état des lieux.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
> Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> cette situation ^^
>
> Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> l'authentification kerberos basé dessus...).
>
> J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> source de temps externe, que j'ai fini par identifier comme défectueuse, et
> est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> de temps pour passer sur une source stable : le service de temps du PDC à
> validé la source et s'est ensuite synchronisé correctement.
> J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> et MaxPosPhaseCorrection dans le passé.
>
> Donc seul le PDC à vu son référentiel temporel modifié.
>
> Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> indépendante (hou le vilain !!!).
> Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> pense que dans tout les cas ça n'agraveras pas la situation.
>
> Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
>
> Domain Controller Diagnosis
>
> Performing initial setup:
> * Verifying that the local machine NSRVDOM1, is a DC.
> * Connecting to directory service on server NSRVDOM1.
> * Collecting site info.
> * Identifying all servers.
> * Identifying all NC cross-refs.
> * Found 5 DC(s). Testing 1 of them.
> Done gathering initial info.
>
> Doing initial required tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Connectivity
> * Active Directory LDAP Services Check
> * Active Directory RPC Services Check
> ......................... NSRVDOM1 passed test Connectivity
>
> Doing primary tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Replications
> * Replications Check
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> * Replication Latency Check
> DC=ForestDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DC=DomainDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> * Replication Site Latency Check
> ......................... NSRVDOM1 passed test Replications
> Test omitted by user request: Topology
> Test omitted by user request: CutoffServers
> Starting test: NCSecDesc
> * Security Permissions check for all NC's on DC NSRVDOM1.
> * Security Permissions Check for
> DC=ForestDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> DC=DomainDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> (Schema,Version 2)
> * Security Permissions Check for
> CN=Configuration,DCÌiag,DC=lan
> (Configuration,Version 2)
> * Security Permissions Check for
> DCÌiag,DC=lan
> (Domain,Version 2)
> ......................... NSRVDOM1 passed test NCSecDesc
> Starting test: NetLogons
> * Network Logons Privileges Check
> Verified share \NSRVDOM1netlogon
> Verified share \NSRVDOM1sysvol
> ......................... NSRVDOM1 passed test NetLogons
> Starting test: Advertising
> The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> The DC NSRVDOM1 is advertising as an LDAP server
> The DC NSRVDOM1 is advertising as having a writeable directory
> The DC NSRVDOM1 is advertising as a Key Distribution Center
> The DC NSRVDOM1 is advertising as a time server
> The DS NSRVDOM1 is advertising as a GC.
> ......................... NSRVDOM1 passed test Advertising
> Starting test: KnowsOfRoleHolders
> Role Schema Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Domain Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role PDC Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Rid Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Infrastructure Update Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> ......................... NSRVDOM1 passed test KnowsOfRoleHolders
> Starting test: RidManager
> * Available RID Pool for the Domain is 5603 to 1073741823
> * NSRVDOM1.cciag.lan is the RID Master
> * DsBind with RID Master was successful
> * rIDAllocationPool is 4103 to 4602
> * rIDPreviousAllocationPool is 1103 to 1602
> * rIDNextRID: 1469
> ......................... NSRVDOM1 passed test RidManager
> Starting test: MachineAccount
> Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
> * SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :LDAP/NSRVDOM1.cciag.lan
> * SPN found :LDAP/NSRVDOM1
> * SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
> * SPN found
> :LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
> * SPN found
> :E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan
> * SPN found :HOST/NSRVDOM1
> * SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
> * SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
> ......................... NSRVDOM1 passed test MachineAccount
> Starting test: Services
> * Checking Service: Dnscache
> * Checking Service: NtFrs
> * Checking Service: IsmServ
> * Checking Service: kdc
> * Checking Service: SamSs
> * Checking Service: LanmanServer
> * Checking Service: LanmanWorkstation
> * Checking Service: RpcSs
> * Checking Service: w32time
> * Checking Service: NETLOGON
> ......................... NSRVDOM1 passed test Services
> Test omitted by user request: OutboundSecureChannels
> Starting test: ObjectsReplicated
> NSRVDOM1 is in domain DCÌiag,DC=lan
> Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
> domain DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> Checking for CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> ......................... NSRVDOM1 passed test ObjectsReplicated
> Starting test: frssysvol
> * The File Replication Service SYSVOL ready test
> File Replication Service's SYSVOL is ready
> ......................... NSRVDOM1 passed test frssysvol
> Starting test: frsevent
> * The File Replication Service Event log test
> There are warning or error events within the last 24 hours after the
>
> SYSVOL has been shared. Failing SYSVOL replication problems may
> cause
>
> Group Policy problems.
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 16:47:31
> (Event String could not be retrieved)
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 17:02:31
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test frsevent
> Starting test: kccevent
> * The KCC Event log test
> Found no KCC errors in Directory Service Event log in the last 15
> minutes.
> ......................... NSRVDOM1 passed test kccevent
> Starting test: systemlog
> * The System Event log test
> An Error Event occured. EventID: 0xC0001B7A
> Time Generated: 10/16/2008 16:37:25
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test systemlog
> Test omitted by user request: VerifyReplicas
> Starting test: VerifyReferences
> The system object reference (serverReference)
>
> CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
>
>
> CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
>
> are correct.
> The system object reference (frsComputerReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
>
> correct.
> The system object reference (serverReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on
>
Access denied lors de la réplication.
no comment :-)
Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
si le problème de réplication est lié à un seul DC (par exemple ce PDC
emulator).
Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
pas les réplications ou alors c'est le contraire, les partenaires ne tirent
pas depuis le pdc).
Le plan d'action variera en fonction de l'état des lieux.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
> Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> cette situation ^^
>
> Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> l'authentification kerberos basé dessus...).
>
> J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> source de temps externe, que j'ai fini par identifier comme défectueuse, et
> est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> de temps pour passer sur une source stable : le service de temps du PDC à
> validé la source et s'est ensuite synchronisé correctement.
> J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> et MaxPosPhaseCorrection dans le passé.
>
> Donc seul le PDC à vu son référentiel temporel modifié.
>
> Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> indépendante (hou le vilain !!!).
> Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> pense que dans tout les cas ça n'agraveras pas la situation.
>
> Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
>
> Domain Controller Diagnosis
>
> Performing initial setup:
> * Verifying that the local machine NSRVDOM1, is a DC.
> * Connecting to directory service on server NSRVDOM1.
> * Collecting site info.
> * Identifying all servers.
> * Identifying all NC cross-refs.
> * Found 5 DC(s). Testing 1 of them.
> Done gathering initial info.
>
> Doing initial required tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Connectivity
> * Active Directory LDAP Services Check
> * Active Directory RPC Services Check
> ......................... NSRVDOM1 passed test Connectivity
>
> Doing primary tests
>
> Testing server: Site-PolynomeNSRVDOM1
> Starting test: Replications
> * Replications Check
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:35.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: CN=Configuration,DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> [Replications Check,NSRVDOM1] A recent replication attempt failed:
> From NSRVDOM5 to NSRVDOM1
> Naming Context: DCÌiag,DC=lan
> The replication generated an error (5):
> AccŠs refus‚.
> The failure occurred at 2008-10-16 16:42:45.
> The last success occurred at 2008-10-16 14:47:34.
> 1 failures have occurred since the last success.
> * Replication Latency Check
> DC=ForestDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DC=DomainDnsZones,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> CN=Configuration,DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> DCÌiag,DC=lan
> Latency information for 2 entries in the vector were ignored.
> 2 were retired Invocations. 0 were either: read-only
> replicas and are not verifiably latent, or dc's no longer replicating this
> nc. 0 had no latency information (Win2K DC).
> * Replication Site Latency Check
> ......................... NSRVDOM1 passed test Replications
> Test omitted by user request: Topology
> Test omitted by user request: CutoffServers
> Starting test: NCSecDesc
> * Security Permissions check for all NC's on DC NSRVDOM1.
> * Security Permissions Check for
> DC=ForestDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> DC=DomainDnsZones,DCÌiag,DC=lan
> (NDNC,Version 2)
> * Security Permissions Check for
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> (Schema,Version 2)
> * Security Permissions Check for
> CN=Configuration,DCÌiag,DC=lan
> (Configuration,Version 2)
> * Security Permissions Check for
> DCÌiag,DC=lan
> (Domain,Version 2)
> ......................... NSRVDOM1 passed test NCSecDesc
> Starting test: NetLogons
> * Network Logons Privileges Check
> Verified share NSRVDOM1netlogon
> Verified share NSRVDOM1sysvol
> ......................... NSRVDOM1 passed test NetLogons
> Starting test: Advertising
> The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> The DC NSRVDOM1 is advertising as an LDAP server
> The DC NSRVDOM1 is advertising as having a writeable directory
> The DC NSRVDOM1 is advertising as a Key Distribution Center
> The DC NSRVDOM1 is advertising as a time server
> The DS NSRVDOM1 is advertising as a GC.
> ......................... NSRVDOM1 passed test Advertising
> Starting test: KnowsOfRoleHolders
> Role Schema Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Domain Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role PDC Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Rid Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> Role Infrastructure Update Owner = CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
> ......................... NSRVDOM1 passed test KnowsOfRoleHolders
> Starting test: RidManager
> * Available RID Pool for the Domain is 5603 to 1073741823
> * NSRVDOM1.cciag.lan is the RID Master
> * DsBind with RID Master was successful
> * rIDAllocationPool is 4103 to 4602
> * rIDPreviousAllocationPool is 1103 to 1602
> * rIDNextRID: 1469
> ......................... NSRVDOM1 passed test RidManager
> Starting test: MachineAccount
> Checking machine account for DC NSRVDOM1 on DC NSRVDOM1.
> * SPN found :LDAP/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :LDAP/NSRVDOM1.cciag.lan
> * SPN found :LDAP/NSRVDOM1
> * SPN found :LDAP/NSRVDOM1.cciag.lan/CCIAG
> * SPN found
> :LDAP/3c7d5b48-2449-4387-99dd-5e14d9672df5._msdcs.cciag.lan
> * SPN found
> :E3514235-4B06-11D1-AB04-00C04FC2DCD2/3c7d5b48-2449-4387-99dd-5e14d9672df5/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan/cciag.lan
> * SPN found :HOST/NSRVDOM1.cciag.lan
> * SPN found :HOST/NSRVDOM1
> * SPN found :HOST/NSRVDOM1.cciag.lan/CCIAG
> * SPN found :GC/NSRVDOM1.cciag.lan/cciag.lan
> ......................... NSRVDOM1 passed test MachineAccount
> Starting test: Services
> * Checking Service: Dnscache
> * Checking Service: NtFrs
> * Checking Service: IsmServ
> * Checking Service: kdc
> * Checking Service: SamSs
> * Checking Service: LanmanServer
> * Checking Service: LanmanWorkstation
> * Checking Service: RpcSs
> * Checking Service: w32time
> * Checking Service: NETLOGON
> ......................... NSRVDOM1 passed test Services
> Test omitted by user request: OutboundSecureChannels
> Starting test: ObjectsReplicated
> NSRVDOM1 is in domain DCÌiag,DC=lan
> Checking for CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan in
> domain DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> Checking for CN=NTDS
> Settings,CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan in domain CN=Configuration,DCÌiag,DC=lan on 1 servers
> Object is up-to-date on all servers.
> ......................... NSRVDOM1 passed test ObjectsReplicated
> Starting test: frssysvol
> * The File Replication Service SYSVOL ready test
> File Replication Service's SYSVOL is ready
> ......................... NSRVDOM1 passed test frssysvol
> Starting test: frsevent
> * The File Replication Service Event log test
> There are warning or error events within the last 24 hours after the
>
> SYSVOL has been shared. Failing SYSVOL replication problems may
> cause
>
> Group Policy problems.
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 16:47:31
> (Event String could not be retrieved)
> An Warning Event occured. EventID: 0x800034C4
> Time Generated: 10/16/2008 17:02:31
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test frsevent
> Starting test: kccevent
> * The KCC Event log test
> Found no KCC errors in Directory Service Event log in the last 15
> minutes.
> ......................... NSRVDOM1 passed test kccevent
> Starting test: systemlog
> * The System Event log test
> An Error Event occured. EventID: 0xC0001B7A
> Time Generated: 10/16/2008 16:37:25
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> An Error Event occured. EventID: 0xC0001B58
> Time Generated: 10/16/2008 16:43:33
> (Event String could not be retrieved)
> ......................... NSRVDOM1 failed test systemlog
> Test omitted by user request: VerifyReplicas
> Starting test: VerifyReferences
> The system object reference (serverReference)
>
> CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan and backlink on
>
>
> CN=NSRVDOM1,CN=Servers,CN=Site-Polynome,CN=Sites,CN=Configuration,DCÌiag,DC=lan
>
> are correct.
> The system object reference (frsComputerReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on CN=NSRVDOM1,OU=Domain Controllers,DCÌiag,DC=lan are
>
> correct.
> The system object reference (serverReferenceBL)
>
> CN=NSRVDOM1,CN=Domain System Volume (SYSVOL share),CN=File
> Replication Service,CN=System,DCÌiag,DC=lan
>
> and backlink on
>
D'après les résultats de cette commande, le PDC arrive à contacter tous les
DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
le PDC.
Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
C:Program FilesSupport Tools>repadmin.exe /showrepl
repadmin running command /showrepl against server localhost
Site-PoterneNSRVDOM2
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
==== INBOUND NEIGHBORS ===================================== >
DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
Source: Site-PolynomeNSRVDOM1
******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.
Dès lors que suis-je censé faire ?
Clément.
"Emmanuel Dreux" a écrit :
> Access denied lors de la réplication.
> no comment :-)
>
> Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> si le problème de réplication est lié à un seul DC (par exemple ce PDC
> emulator).
>
> Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> pas depuis le pdc).
>
> Le plan d'action variera en fonction de l'état des lieux.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > cette situation ^^
> >
> > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > l'authentification kerberos basé dessus...).
> >
> > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > de temps pour passer sur une source stable : le service de temps du PDC à
> > validé la source et s'est ensuite synchronisé correctement.
> > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > et MaxPosPhaseCorrection dans le passé.
> >
> > Donc seul le PDC à vu son référentiel temporel modifié.
> >
> > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > indépendante (hou le vilain !!!).
> > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > pense que dans tout les cas ça n'agraveras pas la situation.
> >
> > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> >
> > Domain Controller Diagnosis
> >
> > Performing initial setup:
> > * Verifying that the local machine NSRVDOM1, is a DC.
> > * Connecting to directory service on server NSRVDOM1.
> > * Collecting site info.
> > * Identifying all servers.
> > * Identifying all NC cross-refs.
> > * Found 5 DC(s). Testing 1 of them.
> > Done gathering initial info.
> >
> > Doing initial required tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Connectivity
> > * Active Directory LDAP Services Check
> > * Active Directory RPC Services Check
> > ......................... NSRVDOM1 passed test Connectivity
> >
> > Doing primary tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Replications
> > * Replications Check
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > * Replication Latency Check
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > * Replication Site Latency Check
> > ......................... NSRVDOM1 passed test Replications
> > Test omitted by user request: Topology
> > Test omitted by user request: CutoffServers
> > Starting test: NCSecDesc
> > * Security Permissions check for all NC's on DC NSRVDOM1.
> > * Security Permissions Check for
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > (Schema,Version 2)
> > * Security Permissions Check for
> > CN=Configuration,DCÌiag,DC=lan
> > (Configuration,Version 2)
> > * Security Permissions Check for
> > DCÌiag,DC=lan
> > (Domain,Version 2)
> > ......................... NSRVDOM1 passed test NCSecDesc
> > Starting test: NetLogons
> > * Network Logons Privileges Check
> > Verified share NSRVDOM1netlogon
> > Verified share NSRVDOM1sysvol
> > ......................... NSRVDOM1 passed test NetLogons
> > Starting test: Advertising
> > The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> > The DC NSRVDOM1 is advertising as an LDAP server
> > The DC NSRVDOM1 is advertising as having a writeable directory
> > The DC NSRVDOM1 is advertising as a Key Distribution Center
> > The DC NSRVDOM1 is advertising as a time server
> > The DS NSRVDOM1 is advertising as a GC.
> > ......................... NSRVDOM1 passed test Advertising
D'après les résultats de cette commande, le PDC arrive à contacter tous les
DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
le PDC.
Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
C:Program FilesSupport Tools>repadmin.exe /showrepl
repadmin running command /showrepl against server localhost
Site-PoterneNSRVDOM2
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
==== INBOUND NEIGHBORS ===================================== >
DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
Source: Site-PolynomeNSRVDOM1
******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.
Dès lors que suis-je censé faire ?
Clément.
"Emmanuel Dreux" a écrit :
> Access denied lors de la réplication.
> no comment :-)
>
> Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> si le problème de réplication est lié à un seul DC (par exemple ce PDC
> emulator).
>
> Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> pas depuis le pdc).
>
> Le plan d'action variera en fonction de l'état des lieux.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > cette situation ^^
> >
> > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > l'authentification kerberos basé dessus...).
> >
> > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > de temps pour passer sur une source stable : le service de temps du PDC à
> > validé la source et s'est ensuite synchronisé correctement.
> > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > et MaxPosPhaseCorrection dans le passé.
> >
> > Donc seul le PDC à vu son référentiel temporel modifié.
> >
> > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > indépendante (hou le vilain !!!).
> > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > pense que dans tout les cas ça n'agraveras pas la situation.
> >
> > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> >
> > Domain Controller Diagnosis
> >
> > Performing initial setup:
> > * Verifying that the local machine NSRVDOM1, is a DC.
> > * Connecting to directory service on server NSRVDOM1.
> > * Collecting site info.
> > * Identifying all servers.
> > * Identifying all NC cross-refs.
> > * Found 5 DC(s). Testing 1 of them.
> > Done gathering initial info.
> >
> > Doing initial required tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Connectivity
> > * Active Directory LDAP Services Check
> > * Active Directory RPC Services Check
> > ......................... NSRVDOM1 passed test Connectivity
> >
> > Doing primary tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Replications
> > * Replications Check
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > * Replication Latency Check
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > * Replication Site Latency Check
> > ......................... NSRVDOM1 passed test Replications
> > Test omitted by user request: Topology
> > Test omitted by user request: CutoffServers
> > Starting test: NCSecDesc
> > * Security Permissions check for all NC's on DC NSRVDOM1.
> > * Security Permissions Check for
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > (Schema,Version 2)
> > * Security Permissions Check for
> > CN=Configuration,DCÌiag,DC=lan
> > (Configuration,Version 2)
> > * Security Permissions Check for
> > DCÌiag,DC=lan
> > (Domain,Version 2)
> > ......................... NSRVDOM1 passed test NCSecDesc
> > Starting test: NetLogons
> > * Network Logons Privileges Check
> > Verified share \NSRVDOM1netlogon
> > Verified share \NSRVDOM1sysvol
> > ......................... NSRVDOM1 passed test NetLogons
> > Starting test: Advertising
> > The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> > The DC NSRVDOM1 is advertising as an LDAP server
> > The DC NSRVDOM1 is advertising as having a writeable directory
> > The DC NSRVDOM1 is advertising as a Key Distribution Center
> > The DC NSRVDOM1 is advertising as a time server
> > The DS NSRVDOM1 is advertising as a GC.
> > ......................... NSRVDOM1 passed test Advertising
D'après les résultats de cette commande, le PDC arrive à contacter tous les
DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
le PDC.
Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
C:Program FilesSupport Tools>repadmin.exe /showrepl
repadmin running command /showrepl against server localhost
Site-PoterneNSRVDOM2
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
==== INBOUND NEIGHBORS ===================================== >
DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
CN=Schema,CN=Configuration,DCÌiag,DC=lan
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:51 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
(0x80090322):
Le nom principal de la cible n'est pas correct.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=ForestDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
DC=DomainDnsZones,DCÌiag,DC=lan
Site-IDANSRVDOM4 via RPC
DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-AVINSRVDOM3 via RPC
DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-VLNNSRVDOM5 via RPC
DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
Last attempt @ 2008-10-17 11:46:52 was successful.
Site-PolynomeNSRVDOM1 via RPC
DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
Le système distant n'est pas disponible. Pour obtenir des
informations à propos du dépannage réseau, consulter l'Aide Windows.
399 consecutive failure(s).
Last success @ 2008-10-13 08:18:42.
Source: Site-PolynomeNSRVDOM1
******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
Last error: -2146893022 (0x80090322):
Le nom principal de la cible n'est pas correct.
Dès lors que suis-je censé faire ?
Clément.
"Emmanuel Dreux" a écrit :
> Access denied lors de la réplication.
> no comment :-)
>
> Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> si le problème de réplication est lié à un seul DC (par exemple ce PDC
> emulator).
>
> Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> pas depuis le pdc).
>
> Le plan d'action variera en fonction de l'état des lieux.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > cette situation ^^
> >
> > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > l'authentification kerberos basé dessus...).
> >
> > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > de temps pour passer sur une source stable : le service de temps du PDC à
> > validé la source et s'est ensuite synchronisé correctement.
> > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > et MaxPosPhaseCorrection dans le passé.
> >
> > Donc seul le PDC à vu son référentiel temporel modifié.
> >
> > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > indépendante (hou le vilain !!!).
> > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > pense que dans tout les cas ça n'agraveras pas la situation.
> >
> > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> >
> > Domain Controller Diagnosis
> >
> > Performing initial setup:
> > * Verifying that the local machine NSRVDOM1, is a DC.
> > * Connecting to directory service on server NSRVDOM1.
> > * Collecting site info.
> > * Identifying all servers.
> > * Identifying all NC cross-refs.
> > * Found 5 DC(s). Testing 1 of them.
> > Done gathering initial info.
> >
> > Doing initial required tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Connectivity
> > * Active Directory LDAP Services Check
> > * Active Directory RPC Services Check
> > ......................... NSRVDOM1 passed test Connectivity
> >
> > Doing primary tests
> >
> > Testing server: Site-PolynomeNSRVDOM1
> > Starting test: Replications
> > * Replications Check
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:35.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > From NSRVDOM5 to NSRVDOM1
> > Naming Context: DCÌiag,DC=lan
> > The replication generated an error (5):
> > AccŠs refus‚.
> > The failure occurred at 2008-10-16 16:42:45.
> > The last success occurred at 2008-10-16 14:47:34.
> > 1 failures have occurred since the last success.
> > * Replication Latency Check
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > CN=Configuration,DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > DCÌiag,DC=lan
> > Latency information for 2 entries in the vector were ignored.
> > 2 were retired Invocations. 0 were either: read-only
> > replicas and are not verifiably latent, or dc's no longer replicating this
> > nc. 0 had no latency information (Win2K DC).
> > * Replication Site Latency Check
> > ......................... NSRVDOM1 passed test Replications
> > Test omitted by user request: Topology
> > Test omitted by user request: CutoffServers
> > Starting test: NCSecDesc
> > * Security Permissions check for all NC's on DC NSRVDOM1.
> > * Security Permissions Check for
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > (NDNC,Version 2)
> > * Security Permissions Check for
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > (Schema,Version 2)
> > * Security Permissions Check for
> > CN=Configuration,DCÌiag,DC=lan
> > (Configuration,Version 2)
> > * Security Permissions Check for
> > DCÌiag,DC=lan
> > (Domain,Version 2)
> > ......................... NSRVDOM1 passed test NCSecDesc
> > Starting test: NetLogons
> > * Network Logons Privileges Check
> > Verified share NSRVDOM1netlogon
> > Verified share NSRVDOM1sysvol
> > ......................... NSRVDOM1 passed test NetLogons
> > Starting test: Advertising
> > The DC NSRVDOM1 is advertising itself as a DC and having a DS.
> > The DC NSRVDOM1 is advertising as an LDAP server
> > The DC NSRVDOM1 is advertising as having a writeable directory
> > The DC NSRVDOM1 is advertising as a Key Distribution Center
> > The DC NSRVDOM1 is advertising as a time server
> > The DS NSRVDOM1 is advertising as a GC.
> > ......................... NSRVDOM1 passed test Advertising
Arrêtez le service KDC sur le PDC emulator et désactivez le.
puis resettez son mot de passe:
sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
/userd:Un_Domain_Admin /passwordd:*
cf http://support.microsoft.com/kb/260575
Ensuite, sur le PDC emulator
ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
Un_DC_PARTENAIRE.
Repliquez les DC enter eux.
Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
rebootez le PDC emulator, service KDC toujours désactivé.
Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
dont le mot de passe est connu de tout le monde.
La réplication devrait alors passer et vous pourrez réactivez le service KDC.
Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
emulator et seizure des roles.
Repromotez le pdc emulator et retransférer lui les roles.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Nac Jack" a écrit :
> D'après les résultats de cette commande, le PDC arrive à contacter tous les
> DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> le PDC.
>
> Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
>
> C:Program FilesSupport Tools>repadmin.exe /showrepl
>
> repadmin running command /showrepl against server localhost
>
> Site-PoterneNSRVDOM2
> DC Options: IS_GC
> Site Options: (none)
> DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
>
> ==== INBOUND NEIGHBORS ===================================== > >
> DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=ForestDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=DomainDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> Source: Site-PolynomeNSRVDOM1
> ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> Last error: -2146893022 (0x80090322):
> Le nom principal de la cible n'est pas correct.
>
> Dès lors que suis-je censé faire ?
>
> Clément.
>
> "Emmanuel Dreux" a écrit :
>
> > Access denied lors de la réplication.
> > no comment :-)
> >
> > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > emulator).
> >
> > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > pas depuis le pdc).
> >
> > Le plan d'action variera en fonction de l'état des lieux.
> >
> > --
> > Cordialement,
> > Emmanuel Dreux
> > http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
> >
> >
> > "Nac Jack" a écrit :
> >
> > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > cette situation ^^
> > >
> > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > l'authentification kerberos basé dessus...).
> > >
> > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > validé la source et s'est ensuite synchronisé correctement.
> > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > et MaxPosPhaseCorrection dans le passé.
> > >
> > > Donc seul le PDC à vu son référentiel temporel modifié.
> > >
> > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > indépendante (hou le vilain !!!).
> > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > pense que dans tout les cas ça n'agraveras pas la situation.
> > >
> > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > >
> > > Domain Controller Diagnosis
> > >
> > > Performing initial setup:
> > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > * Connecting to directory service on server NSRVDOM1.
> > > * Collecting site info.
> > > * Identifying all servers.
> > > * Identifying all NC cross-refs.
> > > * Found 5 DC(s). Testing 1 of them.
> > > Done gathering initial info.
> > >
> > > Doing initial required tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Connectivity
> > > * Active Directory LDAP Services Check
> > > * Active Directory RPC Services Check
> > > ......................... NSRVDOM1 passed test Connectivity
> > >
> > > Doing primary tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Replications
> > > * Replications Check
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > * Replication Latency Check
> > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > * Replication Site Latency Check
> > > ......................... NSRVDOM1 passed test Replications
Arrêtez le service KDC sur le PDC emulator et désactivez le.
puis resettez son mot de passe:
sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
/userd:Un_Domain_Admin /passwordd:*
cf http://support.microsoft.com/kb/260575
Ensuite, sur le PDC emulator
ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
Un_DC_PARTENAIRE.
Repliquez les DC enter eux.
Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
rebootez le PDC emulator, service KDC toujours désactivé.
Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
dont le mot de passe est connu de tout le monde.
La réplication devrait alors passer et vous pourrez réactivez le service KDC.
Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
emulator et seizure des roles.
Repromotez le pdc emulator et retransférer lui les roles.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr
"Nac Jack" a écrit :
> D'après les résultats de cette commande, le PDC arrive à contacter tous les
> DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> le PDC.
>
> Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
>
> C:Program FilesSupport Tools>repadmin.exe /showrepl
>
> repadmin running command /showrepl against server localhost
>
> Site-PoterneNSRVDOM2
> DC Options: IS_GC
> Site Options: (none)
> DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
>
> ==== INBOUND NEIGHBORS ===================================== > >
> DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=ForestDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=DomainDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> Source: Site-PolynomeNSRVDOM1
> ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> Last error: -2146893022 (0x80090322):
> Le nom principal de la cible n'est pas correct.
>
> Dès lors que suis-je censé faire ?
>
> Clément.
>
> "Emmanuel Dreux" a écrit :
>
> > Access denied lors de la réplication.
> > no comment :-)
> >
> > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > emulator).
> >
> > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > pas depuis le pdc).
> >
> > Le plan d'action variera en fonction de l'état des lieux.
> >
> > --
> > Cordialement,
> > Emmanuel Dreux
> > http://www.ilinfo.fr
> >
> >
> > "Nac Jack" a écrit :
> >
> > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > cette situation ^^
> > >
> > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > l'authentification kerberos basé dessus...).
> > >
> > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > validé la source et s'est ensuite synchronisé correctement.
> > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > et MaxPosPhaseCorrection dans le passé.
> > >
> > > Donc seul le PDC à vu son référentiel temporel modifié.
> > >
> > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > indépendante (hou le vilain !!!).
> > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > pense que dans tout les cas ça n'agraveras pas la situation.
> > >
> > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > >
> > > Domain Controller Diagnosis
> > >
> > > Performing initial setup:
> > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > * Connecting to directory service on server NSRVDOM1.
> > > * Collecting site info.
> > > * Identifying all servers.
> > > * Identifying all NC cross-refs.
> > > * Found 5 DC(s). Testing 1 of them.
> > > Done gathering initial info.
> > >
> > > Doing initial required tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Connectivity
> > > * Active Directory LDAP Services Check
> > > * Active Directory RPC Services Check
> > > ......................... NSRVDOM1 passed test Connectivity
> > >
> > > Doing primary tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Replications
> > > * Replications Check
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > * Replication Latency Check
> > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > * Replication Site Latency Check
> > > ......................... NSRVDOM1 passed test Replications
Arrêtez le service KDC sur le PDC emulator et désactivez le.
puis resettez son mot de passe:
sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
/userd:Un_Domain_Admin /passwordd:*
cf http://support.microsoft.com/kb/260575
Ensuite, sur le PDC emulator
ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
Un_DC_PARTENAIRE.
Repliquez les DC enter eux.
Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
rebootez le PDC emulator, service KDC toujours désactivé.
Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
dont le mot de passe est connu de tout le monde.
La réplication devrait alors passer et vous pourrez réactivez le service KDC.
Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
emulator et seizure des roles.
Repromotez le pdc emulator et retransférer lui les roles.
--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
"Nac Jack" a écrit :
> D'après les résultats de cette commande, le PDC arrive à contacter tous les
> DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> le PDC.
>
> Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
>
> C:Program FilesSupport Tools>repadmin.exe /showrepl
>
> repadmin running command /showrepl against server localhost
>
> Site-PoterneNSRVDOM2
> DC Options: IS_GC
> Site Options: (none)
> DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
>
> ==== INBOUND NEIGHBORS ===================================== > >
> DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> CN=Schema,CN=Configuration,DCÌiag,DC=lan
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:51 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> (0x80090322):
> Le nom principal de la cible n'est pas correct.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=ForestDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> DC=DomainDnsZones,DCÌiag,DC=lan
> Site-IDANSRVDOM4 via RPC
> DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-AVINSRVDOM3 via RPC
> DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-VLNNSRVDOM5 via RPC
> DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> Last attempt @ 2008-10-17 11:46:52 was successful.
> Site-PolynomeNSRVDOM1 via RPC
> DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> Le système distant n'est pas disponible. Pour obtenir des
> informations à propos du dépannage réseau, consulter l'Aide Windows.
> 399 consecutive failure(s).
> Last success @ 2008-10-13 08:18:42.
>
> Source: Site-PolynomeNSRVDOM1
> ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> Last error: -2146893022 (0x80090322):
> Le nom principal de la cible n'est pas correct.
>
> Dès lors que suis-je censé faire ?
>
> Clément.
>
> "Emmanuel Dreux" a écrit :
>
> > Access denied lors de la réplication.
> > no comment :-)
> >
> > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > emulator).
> >
> > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > pas depuis le pdc).
> >
> > Le plan d'action variera en fonction de l'état des lieux.
> >
> > --
> > Cordialement,
> > Emmanuel Dreux
> > http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
> >
> >
> > "Nac Jack" a écrit :
> >
> > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > cette situation ^^
> > >
> > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > l'authentification kerberos basé dessus...).
> > >
> > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > validé la source et s'est ensuite synchronisé correctement.
> > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > et MaxPosPhaseCorrection dans le passé.
> > >
> > > Donc seul le PDC à vu son référentiel temporel modifié.
> > >
> > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > indépendante (hou le vilain !!!).
> > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > pense que dans tout les cas ça n'agraveras pas la situation.
> > >
> > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > >
> > > Domain Controller Diagnosis
> > >
> > > Performing initial setup:
> > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > * Connecting to directory service on server NSRVDOM1.
> > > * Collecting site info.
> > > * Identifying all servers.
> > > * Identifying all NC cross-refs.
> > > * Found 5 DC(s). Testing 1 of them.
> > > Done gathering initial info.
> > >
> > > Doing initial required tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Connectivity
> > > * Active Directory LDAP Services Check
> > > * Active Directory RPC Services Check
> > > ......................... NSRVDOM1 passed test Connectivity
> > >
> > > Doing primary tests
> > >
> > > Testing server: Site-PolynomeNSRVDOM1
> > > Starting test: Replications
> > > * Replications Check
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:35.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > From NSRVDOM5 to NSRVDOM1
> > > Naming Context: DCÌiag,DC=lan
> > > The replication generated an error (5):
> > > AccŠs refus‚.
> > > The failure occurred at 2008-10-16 16:42:45.
> > > The last success occurred at 2008-10-16 14:47:34.
> > > 1 failures have occurred since the last success.
> > > * Replication Latency Check
> > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > CN=Configuration,DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > DCÌiag,DC=lan
> > > Latency information for 2 entries in the vector were ignored.
> > > 2 were retired Invocations. 0 were either: read-only
> > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > nc. 0 had no latency information (Win2K DC).
> > > * Replication Site Latency Check
> > > ......................... NSRVDOM1 passed test Replications
Cela refonctionne à merveille !! Pas besoin d'aller jusqu'au reformatage du
PDC (et tant mieux ^.^' ).
Merci pour le temps que vous m'avez consacré, ainsi que de la procédure de
résolution qui m'a évité bien des problèmes.
Clément.
"Emmanuel Dreux" a écrit :
> Arrêtez le service KDC sur le PDC emulator et désactivez le.
>
> puis resettez son mot de passe:
> sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
> /userd:Un_Domain_Admin /passwordd:*
>
> cf http://support.microsoft.com/kb/260575
>
> Ensuite, sur le PDC emulator
>
> ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
> Un_DC_PARTENAIRE.
>
> Repliquez les DC enter eux.
> Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
> rebootez le PDC emulator, service KDC toujours désactivé.
>
> Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
> dont le mot de passe est connu de tout le monde.
> La réplication devrait alors passer et vous pourrez réactivez le service KDC.
>
> Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
> emulator et seizure des roles.
> Repromotez le pdc emulator et retransférer lui les roles.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > D'après les résultats de cette commande, le PDC arrive à contacter tous les
> > DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> > le PDC.
> >
> > Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
> >
> > C:Program FilesSupport Tools>repadmin.exe /showrepl
> >
> > repadmin running command /showrepl against server localhost
> >
> > Site-PoterneNSRVDOM2
> > DC Options: IS_GC
> > Site Options: (none)
> > DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> > DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
> >
> > ==== INBOUND NEIGHBORS ===================================== > > >
> > DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > Source: Site-PolynomeNSRVDOM1
> > ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> > Last error: -2146893022 (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> >
> > Dès lors que suis-je censé faire ?
> >
> > Clément.
> >
> > "Emmanuel Dreux" a écrit :
> >
> > > Access denied lors de la réplication.
> > > no comment :-)
> > >
> > > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > > emulator).
> > >
> > > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > > pas depuis le pdc).
> > >
> > > Le plan d'action variera en fonction de l'état des lieux.
> > >
> > > --
> > > Cordialement,
> > > Emmanuel Dreux
> > > http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
> > >
> > >
> > > "Nac Jack" a écrit :
> > >
> > > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > > cette situation ^^
> > > >
> > > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > > l'authentification kerberos basé dessus...).
> > > >
> > > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > > validé la source et s'est ensuite synchronisé correctement.
> > > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > > et MaxPosPhaseCorrection dans le passé.
> > > >
> > > > Donc seul le PDC à vu son référentiel temporel modifié.
> > > >
> > > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > > indépendante (hou le vilain !!!).
> > > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > > pense que dans tout les cas ça n'agraveras pas la situation.
> > > >
> > > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > > >
> > > > Domain Controller Diagnosis
> > > >
> > > > Performing initial setup:
> > > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > > * Connecting to directory service on server NSRVDOM1.
> > > > * Collecting site info.
> > > > * Identifying all servers.
> > > > * Identifying all NC cross-refs.
> > > > * Found 5 DC(s). Testing 1 of them.
> > > > Done gathering initial info.
> > > >
> > > > Doing initial required tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Connectivity
> > > > * Active Directory LDAP Services Check
> > > > * Active Directory RPC Services Check
> > > > ......................... NSRVDOM1 passed test Connectivity
> > > >
> > > > Doing primary tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Replications
> > > > * Replications Check
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > * Replication Latency Check
> > > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
Cela refonctionne à merveille !! Pas besoin d'aller jusqu'au reformatage du
PDC (et tant mieux ^.^' ).
Merci pour le temps que vous m'avez consacré, ainsi que de la procédure de
résolution qui m'a évité bien des problèmes.
Clément.
"Emmanuel Dreux" a écrit :
> Arrêtez le service KDC sur le PDC emulator et désactivez le.
>
> puis resettez son mot de passe:
> sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
> /userd:Un_Domain_Admin /passwordd:*
>
> cf http://support.microsoft.com/kb/260575
>
> Ensuite, sur le PDC emulator
>
> ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
> Un_DC_PARTENAIRE.
>
> Repliquez les DC enter eux.
> Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
> rebootez le PDC emulator, service KDC toujours désactivé.
>
> Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
> dont le mot de passe est connu de tout le monde.
> La réplication devrait alors passer et vous pourrez réactivez le service KDC.
>
> Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
> emulator et seizure des roles.
> Repromotez le pdc emulator et retransférer lui les roles.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > D'après les résultats de cette commande, le PDC arrive à contacter tous les
> > DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> > le PDC.
> >
> > Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
> >
> > C:Program FilesSupport Tools>repadmin.exe /showrepl
> >
> > repadmin running command /showrepl against server localhost
> >
> > Site-PoterneNSRVDOM2
> > DC Options: IS_GC
> > Site Options: (none)
> > DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> > DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
> >
> > ==== INBOUND NEIGHBORS ===================================== > > >
> > DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > Source: Site-PolynomeNSRVDOM1
> > ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> > Last error: -2146893022 (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> >
> > Dès lors que suis-je censé faire ?
> >
> > Clément.
> >
> > "Emmanuel Dreux" a écrit :
> >
> > > Access denied lors de la réplication.
> > > no comment :-)
> > >
> > > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > > emulator).
> > >
> > > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > > pas depuis le pdc).
> > >
> > > Le plan d'action variera en fonction de l'état des lieux.
> > >
> > > --
> > > Cordialement,
> > > Emmanuel Dreux
> > > http://www.ilinfo.fr
> > >
> > >
> > > "Nac Jack" a écrit :
> > >
> > > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > > cette situation ^^
> > > >
> > > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > > l'authentification kerberos basé dessus...).
> > > >
> > > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > > validé la source et s'est ensuite synchronisé correctement.
> > > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > > et MaxPosPhaseCorrection dans le passé.
> > > >
> > > > Donc seul le PDC à vu son référentiel temporel modifié.
> > > >
> > > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > > indépendante (hou le vilain !!!).
> > > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > > pense que dans tout les cas ça n'agraveras pas la situation.
> > > >
> > > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > > >
> > > > Domain Controller Diagnosis
> > > >
> > > > Performing initial setup:
> > > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > > * Connecting to directory service on server NSRVDOM1.
> > > > * Collecting site info.
> > > > * Identifying all servers.
> > > > * Identifying all NC cross-refs.
> > > > * Found 5 DC(s). Testing 1 of them.
> > > > Done gathering initial info.
> > > >
> > > > Doing initial required tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Connectivity
> > > > * Active Directory LDAP Services Check
> > > > * Active Directory RPC Services Check
> > > > ......................... NSRVDOM1 passed test Connectivity
> > > >
> > > > Doing primary tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Replications
> > > > * Replications Check
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > * Replication Latency Check
> > > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
Cela refonctionne à merveille !! Pas besoin d'aller jusqu'au reformatage du
PDC (et tant mieux ^.^' ).
Merci pour le temps que vous m'avez consacré, ainsi que de la procédure de
résolution qui m'a évité bien des problèmes.
Clément.
"Emmanuel Dreux" a écrit :
> Arrêtez le service KDC sur le PDC emulator et désactivez le.
>
> puis resettez son mot de passe:
> sur le pdc emulator lancez netdom resetpwd /server:Un_DC_PARTENAIRE
> /userd:Un_Domain_Admin /passwordd:*
>
> cf http://support.microsoft.com/kb/260575
>
> Ensuite, sur le PDC emulator
>
> ca va changer le mot de passe du pdc emulator et l'enregistrer sur le DC
> Un_DC_PARTENAIRE.
>
> Repliquez les DC enter eux.
> Lorsque tous les DC ont répliqué (sauf PDC elmualtor qui marche pas),
> rebootez le PDC emulator, service KDC toujours désactivé.
>
> Lorsqu'il va rebooter, il va obtenir un ticket keberos depuis un autre DC
> dont le mot de passe est connu de tout le monde.
> La réplication devrait alors passer et vous pourrez réactivez le service KDC.
>
> Si par hasard ça ne marche pas, reformatez votre PDC, metadatacleanup du pdc
> emulator et seizure des roles.
> Repromotez le pdc emulator et retransférer lui les roles.
>
> --
> Cordialement,
> Emmanuel Dreux
> http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
>
>
> "Nac Jack" a écrit :
>
> > D'après les résultats de cette commande, le PDC arrive à contacter tous les
> > DC avec qui il a des liens, par contre aucun de ces DC n'arrivent à contacter
> > le PDC.
> >
> > Voici le résultat sur un de ces DC (même résultat sur ses compagnons) :
> >
> > C:Program FilesSupport Tools>repadmin.exe /showrepl
> >
> > repadmin running command /showrepl against server localhost
> >
> > Site-PoterneNSRVDOM2
> > DC Options: IS_GC
> > Site Options: (none)
> > DC object GUID: 0ada247a-699a-4fac-8810-239822e69ebc
> > DC invocationID: a88f74b0-ad2b-42f1-b9c7-08df8c5e7c11
> >
> > ==== INBOUND NEIGHBORS ===================================== > > >
> > DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:51 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result -2146893022
> > (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=ForestDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > DC=DomainDnsZones,DCÌiag,DC=lan
> > Site-IDANSRVDOM4 via RPC
> > DC object GUID: 48051891-ba29-426d-acaf-6bae8f2fe537
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-AVINSRVDOM3 via RPC
> > DC object GUID: e19fb5ed-8af0-48fd-8ac1-a6ae3e4817d0
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-VLNNSRVDOM5 via RPC
> > DC object GUID: f4a1da47-0b1f-4189-9caf-e0f348f62a87
> > Last attempt @ 2008-10-17 11:46:52 was successful.
> > Site-PolynomeNSRVDOM1 via RPC
> > DC object GUID: 3c7d5b48-2449-4387-99dd-5e14d9672df5
> > Last attempt @ 2008-10-17 12:01:51 failed, result 1256 (0x4e8):
> > Le système distant n'est pas disponible. Pour obtenir des
> > informations à propos du dépannage réseau, consulter l'Aide Windows.
> > 399 consecutive failure(s).
> > Last success @ 2008-10-13 08:18:42.
> >
> > Source: Site-PolynomeNSRVDOM1
> > ******* 399 CONSECUTIVE FAILURES since 2008-10-13 08:18:42
> > Last error: -2146893022 (0x80090322):
> > Le nom principal de la cible n'est pas correct.
> >
> > Dès lors que suis-je censé faire ?
> >
> > Clément.
> >
> > "Emmanuel Dreux" a écrit :
> >
> > > Access denied lors de la réplication.
> > > no comment :-)
> > >
> > > Faites un repadmin /showreps sur tous les DC et déterminez tout d'abord s'il
> > > si le problème de réplication est lié à un seul DC (par exemple ce PDC
> > > emulator).
> > >
> > > Si c'est le cas, déterminez dans quel sens est le problème (le pdc ne tire
> > > pas les réplications ou alors c'est le contraire, les partenaires ne tirent
> > > pas depuis le pdc).
> > >
> > > Le plan d'action variera en fonction de l'état des lieux.
> > >
> > > --
> > > Cordialement,
> > > Emmanuel Dreux
> > > http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.ilinfo.fr
> > >
> > >
> > > "Nac Jack" a écrit :
> > >
> > > > Merci d'avoir répondu rapidement, mais j'ai envi d'être un peu plus
> > > > optimiste, et je vais donc essayer d'être un peu plus clair sur les causes de
> > > > cette situation ^^
> > > >
> > > > Le problème de l'heure sur le PDC s'est produit lundi matin a 8h, je m'en
> > > > suis rendu compte quasiment imédiattement car les utilisateurs rattachés au
> > > > site du PDC ne pouvaient plus se logguer (normal vu le décalage horaire et
> > > > l'authentification kerberos basé dessus...).
> > > >
> > > > J'ai donc corriger le problème dans les minutes qui ont suivi en forçant
> > > > l'heure à la main (retour en 2008), mais le serveur se synchronisait sur une
> > > > source de temps externe, que j'ai fini par identifier comme défectueuse, et
> > > > est donc repartit en l'an 200 une seconde fois. J'ai donc modifié la source
> > > > de temps pour passer sur une source stable : le service de temps du PDC à
> > > > validé la source et s'est ensuite synchronisé correctement.
> > > > J'ai tout de même vérifier dès le premier appel de nos utilisateur si le cas
> > > > se présentait sur nos autres DC, ils avaient conservés leur valeur de temps
> > > > (octobre 2008) car il me semble que j'avais initialisé MaxNegPhaseCorrection
> > > > et MaxPosPhaseCorrection dans le passé.
> > > >
> > > > Donc seul le PDC à vu son référentiel temporel modifié.
> > > >
> > > > Après quelques investigations de plus je me suis rendu compte qu'à l'époque
> > > > ou j'ai du modifier les valeurs MaxNegPhaseCorrection et
> > > > MaxPosPhaseCorrection j'avais de gros problème de synchronisation de l'heure
> > > > entre 2 domaines (2 forets différentes) et j'avais eu lidée de forcer le
> > > > fonctionnement de la synchro de l'heure sur notre domaine en modifiant la
> > > > Default Domain Controllers Policy et en plaçant mon emulateur PDC dans une OU
> > > > indépendante (hou le vilain !!!).
> > > > Je viens de m'en rendre compte et je viens donc de remettre notre PDC avec
> > > > ses compatriotes DC dans l'OU Domain Controllers puis de le redémarrer, je
> > > > pense que dans tout les cas ça n'agraveras pas la situation.
> > > >
> > > > Voici le résultat de la commande dcdiag "/a /v /fix" lancée sur le PDC
> > > >
> > > > Domain Controller Diagnosis
> > > >
> > > > Performing initial setup:
> > > > * Verifying that the local machine NSRVDOM1, is a DC.
> > > > * Connecting to directory service on server NSRVDOM1.
> > > > * Collecting site info.
> > > > * Identifying all servers.
> > > > * Identifying all NC cross-refs.
> > > > * Found 5 DC(s). Testing 1 of them.
> > > > Done gathering initial info.
> > > >
> > > > Doing initial required tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Connectivity
> > > > * Active Directory LDAP Services Check
> > > > * Active Directory RPC Services Check
> > > > ......................... NSRVDOM1 passed test Connectivity
> > > >
> > > > Doing primary tests
> > > >
> > > > Testing server: Site-PolynomeNSRVDOM1
> > > > Starting test: Replications
> > > > * Replications Check
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=ForestDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DC=DomainDnsZones,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:35.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: CN=Configuration,DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > [Replications Check,NSRVDOM1] A recent replication attempt failed:
> > > > From NSRVDOM5 to NSRVDOM1
> > > > Naming Context: DCÌiag,DC=lan
> > > > The replication generated an error (5):
> > > > AccŠs refus‚.
> > > > The failure occurred at 2008-10-16 16:42:45.
> > > > The last success occurred at 2008-10-16 14:47:34.
> > > > 1 failures have occurred since the last success.
> > > > * Replication Latency Check
> > > > DC=ForestDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > DC=DomainDnsZones,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Schema,CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.
> > > > 2 were retired Invocations. 0 were either: read-only
> > > > replicas and are not verifiably latent, or dc's no longer replicating this
> > > > nc. 0 had no latency information (Win2K DC).
> > > > CN=Configuration,DCÌiag,DC=lan
> > > > Latency information for 2 entries in the vector were ignored.