DC Windows 2003 subitement sourd et muet (au niveau AD pas netbios/SMB)
27 réponses
YannX
Bonsoir,
Je sais que nous sommes en plaine periode de congés mais "pas de repos
pour les braves" !!!!
Du coup si un grand Gourou de l'AD peut m'aider je lui en serait
vraimmment trés trés reconnaissant...
Voici que depuis le 5 Juillet (d'aprés mes logs) qu'un de mes 2 DC
Windows 2003 ne semble plus accepter la replication avec son
partenaire.
Dans "Sites et services" si je fais un clique-droit et repliquer
maintenant sur la connexion créée automatiquement en dessous de
celui-ci je recoie un "Accés refusé" , ans l'autre sens ça fonctionne
:-(
J'ai essayé de re-initialiser le mot de passe du compte d'ordinateur de
ce DC avec la commande netdom mais NIET.
Les droits d'accés me semblent bon , j'arrive à copier le contenu
complet du dossier SYSVOL de l'un vers l'autre via les partages.
J'essaie de vous donner un MAX d'info et encore merci milles fois par
avance de votre précieuse aide :
Sur ce même DC foireux:
_Dans le journal des evenements "Application" toutes les 5 minutes j'ai
userenv qui me genere de erreurs ID 1030 & 1097.
_Dans le journal des evenements "Service d'annuaire"
Active Directory n'a pas pu établir une connexion avec le catalogue
global:
Type de l'événement : Informations
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1869
Date : 20/07/2009
Heure : 23:38:31
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : VSERV01
Description :
Active Directory a trouvé un catalogue global dans le site suivant.
Catalogue global :
\\vserv01.contoso.local
Site :
Premier-Site-par-defaut
PUIS:
Type de l'événement : Avertissement
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1655
Date : 20/07/2009
Heure : 23:38:31
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : VSERV01
Description :
Active Directory a tenté de communiquer avec le catalogue global
suivant et les tentatives n'ont pas réussi.
Catalogue global :
\\vserv01.contoso.local
L'opération en cours peut ne plus pouvoir continuer. Active Directory
utilisera la recherche de contrôleur de domaine pour tenter de trouver
un serveur de catalogue global disponible.
Données supplémentaires
Valeur de l'erreur :
5 Accès refusé.
Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.
PUIS:
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 20/07/2009
Heure : 23:38:31
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : VSERV01
Description :
Active Directory n'a pas pu établir une connexion avec le catalogue
global.
Données supplémentaires
Valeur de l'erreur :
8240 Cet objet ne se trouve pas sur le serveur.
ID interne :
3200ba0
Action utilisateur :
Vérifiez qu'un catalogue global est disponible dans la forêt, et qu'il
est accessible à partir de ce contrôleur de domaine. Vous pouvez
utiliser l'utilitaire nltest pour diagnostiquer ce problème.
Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.
J'ai fait un dcdiag /c /e /v qui me remonte ceci:
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine vserv01, is a DC.
* Connecting to directory service on server vserv01.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 2 DC(s). Testing 2 of them.
Done gathering initial info.
Doing initial required tests
Testing server: Premier-Site-par-defaut\SERV01
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... SERV01 passed test Connectivity
Testing server: Premier-Site-par-defaut\VSERV01
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... VSERV01 passed test Connectivity
Doing primary tests
Testing server: Premier-Site-par-defaut\SERV01
Starting test: Replications
* Replications Check
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source VSERV01
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source VSERV01
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
* Replication Latency Check
DC=ForestDnsZones,DC=contoso,DC=local
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DC=contoso,DC=local
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DC=contoso,DC=local
Latency information for 2 entries in the vector were
ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
CN=Configuration,DC=contoso,DC=local
Latency information for 2 entries in the vector were
ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
DC=contoso,DC=local
Latency information for 2 entries in the vector were
ignored.
2 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... SERV01 passed test Replications
Starting test: Topology
* Configuration Topology Integrity Check
* Analyzing the connection topology for
DC=ForestDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
DC=ForestDnsZones,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the connection topology for
DC=DomainDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
DC=DomainDnsZones,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the connection topology for
CN=Schema,CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
CN=Schema,CN=Configuration,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the connection topology for
CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
CN=Configuration,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the connection topology for DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
......................... SERV01 failed test Topology
Starting test: CutoffServers
* Configuration Topology Aliveness Check
* Analyzing the alive system replication topology for
DC=ForestDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
DC=ForestDnsZones,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the alive system replication topology for
DC=DomainDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
DC=DomainDnsZones,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the alive system replication topology for
CN=Schema,CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
CN=Schema,CN=Configuration,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the alive system replication topology for
CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for
CN=Configuration,DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
* Analyzing the alive system replication topology for
DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
Downstream topology is disconnected for DC=contoso,DC=local.
These servers can't get changes from home server SERV01:
Premier-Site-par-defaut/VSERV01
......................... SERV01 failed test CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC SERV01.
* Security Permissions Check for
DC=ForestDnsZones,DC=contoso,DC=local
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DC=contoso,DC=local
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DC=contoso,DC=local
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DC=contoso,DC=local
(Configuration,Version 2)
* Security Permissions Check for
DC=contoso,DC=local
(Domain,Version 2)
......................... SERV01 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \\SERV01\netlogon
Verified share \\SERV01\sysvol
......................... SERV01 passed test NetLogons
Starting test: Advertising
The DC SERV01 is advertising itself as a DC and having a DS.
The DC SERV01 is advertising as an LDAP server
The DC SERV01 is advertising as having a writeable directory
The DC SERV01 is advertising as a Key Distribution Center
The DC SERV01 is advertising as a time server
The DS SERV01 is advertising as a GC.
......................... SERV01 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role Domain Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role PDC Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role Rid Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
......................... SERV01 passed test
KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 2603 to 1073741823
* vserv01.contoso.local is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1103 to 1602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1295
......................... SERV01 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC SERV01 on DC SERV01.
* SPN found :LDAP/serv01.contoso.local/contoso.local
* SPN found :LDAP/serv01.contoso.local
* SPN found :LDAP/SERV01
* SPN found :LDAP/serv01.contoso.local/contoso
* SPN found
:LDAP/5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/5610d2e0-4e0f-4558-8e93-38da5120c503/contoso.local
* SPN found :HOST/serv01.contoso.local/contoso.local
* SPN found :HOST/serv01.contoso.local
* SPN found :HOST/SERV01
* SPN found :HOST/serv01.contoso.local/contoso
* SPN found :GC/serv01.contoso.local/contoso.local
......................... SERV01 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... SERV01 passed test Services
Starting test: OutboundSecureChannels
* The Outbound Secure Channels test
** Did not run Outbound Secure Channels test
because /testdomain: was not entered
......................... SERV01 passed test
OutboundSecureChannels
Starting test: ObjectsReplicated
SERV01 is in domain DC=contoso,DC=local
Checking for CN=SERV01,OU=Domain
Controllers,DC=contoso,DC=local in domain DC=contoso,DC=local on 2
servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=SERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
in domain CN=Configuration,DC=contoso,DC=local on 2 servers
Object is up-to-date on all servers.
......................... SERV01 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... SERV01 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours
after the
SYSVOL has been shared. Failing SYSVOL replication problems
may cause
Group Policy problems.
An Warning Event occured. EventID: 0x800034C4
Time Generated: 07/20/2009 04:48:45
(Event String could not be retrieved)
......................... SERV01 failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last
15 minutes.
......................... SERV01 passed test kccevent
Starting test: systemlog
* The System Event log test
Found no errors in System Event log in the last 60 minutes.
......................... SERV01 passed test systemlog
Starting test: VerifyReplicas
......................... SERV01 passed test VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=SERV01,OU=Domain Controllers,DC=contoso,DC=local and
backlink on
are correct.
......................... SERV01 passed test VerifyReferences
Starting test: VerifyEnterpriseReferences
......................... SERV01 passed test
VerifyEnterpriseReferences
Starting test: CheckSecurityError
* Dr Auth: Beginning security errors check!
Found KDC VSERV01 for domain contoso.local in site
Premier-Site-par-defaut
Checking machine account for DC SERV01 on DC VSERV01.
* SPN found :LDAP/serv01.contoso.local/contoso.local
* SPN found :LDAP/serv01.contoso.local
* SPN found :LDAP/SERV01
* SPN found :LDAP/serv01.contoso.local/contoso
* SPN found
:LDAP/5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/5610d2e0-4e0f-4558-8e93-38da5120c503/contoso.local
* SPN found :HOST/serv01.contoso.local/contoso.local
* SPN found :HOST/serv01.contoso.local
* SPN found :HOST/SERV01
* SPN found :HOST/serv01.contoso.local/contoso
* SPN found :GC/serv01.contoso.local/contoso.local
Checking for CN=SERV01,OU=Domain
Controllers,DC=contoso,DC=local in domain DC=contoso,DC=local on 2
servers
Object is up-to-date on all servers.
[SERV01] No security related replication errors were found on
this DC! To target the connection to a specific source DC use
/ReplSource:<DC>.
......................... SERV01 passed test
CheckSecurityError
Testing server: Premier-Site-par-defaut\VSERV01
Starting test: Replications
* Replications Check
[Replications Check,VSERV01] A recent replication attempt
failed:
From SERV01 to VSERV01
Naming Context: DC=ForestDnsZones,DC=contoso,DC=local
The replication generated an error (1256):
Le systŠme distant n'est pas disponible. Pour obtenir des
informations … propos du d‚pannage r‚seau, consulter l'Aide Windows.
The failure occurred at 2009-07-21 01:53:29.
The last success occurred at 2009-07-05 09:47:02.
424 failures have occurred since the last success.
[Replications Check,VSERV01] A recent replication attempt
failed:
From SERV01 to VSERV01
Naming Context: DC=DomainDnsZones,DC=contoso,DC=local
The replication generated an error (1256):
Le systŠme distant n'est pas disponible. Pour obtenir des
informations … propos du d‚pannage r‚seau, consulter l'Aide Windows.
The failure occurred at 2009-07-21 01:53:29.
The last success occurred at 2009-07-05 09:47:02.
561 failures have occurred since the last success.
[Replications Check,VSERV01] A recent replication attempt
failed:
From SERV01 to VSERV01
Naming Context:
CN=Schema,CN=Configuration,DC=contoso,DC=local
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2009-07-21 01:53:29.
The last success occurred at 2009-07-05 09:47:02.
420 failures have occurred since the last success.
[Replications Check,VSERV01] A recent replication attempt
failed:
From SERV01 to VSERV01
Naming Context: CN=Configuration,DC=contoso,DC=local
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2009-07-21 02:14:19.
The last success occurred at 2009-07-05 09:47:02.
973 failures have occurred since the last success.
[Replications Check,VSERV01] A recent replication attempt
failed:
From SERV01 to VSERV01
Naming Context: DC=contoso,DC=local
The replication generated an error (5):
AccŠs refus‚.
The failure occurred at 2009-07-21 02:27:33.
The last success occurred at 2009-07-05 09:54:29.
2778 failures have occurred since the last success.
* Replication Latency Check
REPLICATION-RECEIVED LATENCY WARNING
VSERV01: Current time is 2009-07-21 02:32:08.
DC=ForestDnsZones,DC=contoso,DC=local
Last replication recieved from SERV01 at 2009-07-05
09:47:02.
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DC=contoso,DC=local
Last replication recieved from SERV01 at 2009-07-05
09:47:02.
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DC=contoso,DC=local
Last replication recieved from SERV01 at 2009-07-05
09:47:02.
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
CN=Configuration,DC=contoso,DC=local
Last replication recieved from SERV01 at 2009-07-05
09:47:02.
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
DC=contoso,DC=local
Last replication recieved from SERV01 at 2009-07-05
09:54:29.
Latency information for 1 entries in the vector were
ignored.
1 were retired Invocations. 0 were either: read-only
replicas and are not verifiably latent, or dc's no longer replicating
this nc. 0 had no latency information (Win2K DC).
* Replication Site Latency Check
......................... VSERV01 passed test Replications
Starting test: Topology
* Configuration Topology Integrity Check
* Analyzing the connection topology for
DC=ForestDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the connection topology for
DC=DomainDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the connection topology for
CN=Schema,CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the connection topology for
CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the connection topology for DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
......................... VSERV01 passed test Topology
Starting test: CutoffServers
* Configuration Topology Aliveness Check
* Analyzing the alive system replication topology for
DC=ForestDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for
DC=DomainDnsZones,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for
CN=Schema,CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for
CN=Configuration,DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for
DC=contoso,DC=local.
* Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
......................... VSERV01 passed test CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC VSERV01.
* Security Permissions Check for
DC=ForestDnsZones,DC=contoso,DC=local
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DC=contoso,DC=local
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DC=contoso,DC=local
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DC=contoso,DC=local
(Configuration,Version 2)
* Security Permissions Check for
DC=contoso,DC=local
(Domain,Version 2)
......................... VSERV01 passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \\VSERV01\netlogon
Verified share \\VSERV01\sysvol
......................... VSERV01 passed test NetLogons
Starting test: Advertising
The DC VSERV01 is advertising itself as a DC and having a DS.
The DC VSERV01 is advertising as an LDAP server
The DC VSERV01 is advertising as having a writeable directory
The DC VSERV01 is advertising as a Key Distribution Center
The DC VSERV01 is advertising as a time server
The DS VSERV01 is advertising as a GC.
......................... VSERV01 passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role Domain Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role PDC Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role Rid Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
Role Infrastructure Update Owner = CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
......................... VSERV01 passed test
KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 2603 to 1073741823
* vserv01.contoso.local is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 2103 to 2602
* rIDPreviousAllocationPool is 2103 to 2602
* rIDNextRID: 2149
......................... VSERV01 passed test RidManager
Starting test: MachineAccount
Checking machine account for DC VSERV01 on DC VSERV01.
* SPN found :LDAP/vserv01.contoso.local/contoso.local
* SPN found :LDAP/vserv01.contoso.local
* SPN found :LDAP/VSERV01
* SPN found :LDAP/vserv01.contoso.local/contoso
* SPN found
:LDAP/3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3fc3ac18-a36e-482e-9801-ca50cbee6292/contoso.local
* SPN found :HOST/vserv01.contoso.local/contoso.local
* SPN found :HOST/vserv01.contoso.local
* SPN found :HOST/VSERV01
* SPN found :HOST/vserv01.contoso.local/contoso
* SPN found :GC/vserv01.contoso.local/contoso.local
......................... VSERV01 passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... VSERV01 passed test Services
Starting test: OutboundSecureChannels
* The Outbound Secure Channels test
** Did not run Outbound Secure Channels test
because /testdomain: was not entered
......................... VSERV01 passed test
OutboundSecureChannels
Starting test: ObjectsReplicated
VSERV01 is in domain DC=contoso,DC=local
Checking for CN=VSERV01,OU=Domain
Controllers,DC=contoso,DC=local in domain DC=contoso,DC=local on 2
servers
Object is up-to-date on all servers.
Checking for CN=NTDS
Settings,CN=VSERV01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=contoso,DC=local
in domain CN=Configuration,DC=contoso,DC=local on 2 servers
Object is up-to-date on all servers.
......................... VSERV01 passed test
ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... VSERV01 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
......................... VSERV01 passed test frsevent
Starting test: kccevent
* The KCC Event log test
An Warning Event occured. EventID: 0x8025082C
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000748
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000748
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000748
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000748
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000748
Time Generated: 07/21/2009 02:23:30
(Event String could not be retrieved)
......................... VSERV01 failed test kccevent
Starting test: systemlog
* The System Event log test
Found no errors in System Event log in the last 60 minutes.
......................... VSERV01 passed test systemlog
Starting test: VerifyReplicas
......................... VSERV01 passed test VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=VSERV01,OU=Domain Controllers,DC=contoso,DC=local and
backlink on
are correct.
......................... VSERV01 passed test VerifyReferences
Starting test: VerifyEnterpriseReferences
......................... VSERV01 passed test
VerifyEnterpriseReferences
Starting test: CheckSecurityError
* Dr Auth: Beginning security errors check!
Found KDC VSERV01 for domain contoso.local in site
Premier-Site-par-defaut
Checking machine account for DC VSERV01 on DC VSERV01.
* SPN found :LDAP/vserv01.contoso.local/contoso.local
* SPN found :LDAP/vserv01.contoso.local
* SPN found :LDAP/VSERV01
* SPN found :LDAP/vserv01.contoso.local/contoso
* SPN found
:LDAP/3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/3fc3ac18-a36e-482e-9801-ca50cbee6292/contoso.local
* SPN found :HOST/vserv01.contoso.local/contoso.local
* SPN found :HOST/vserv01.contoso.local
* SPN found :HOST/VSERV01
* SPN found :HOST/vserv01.contoso.local/contoso
* SPN found :GC/vserv01.contoso.local/contoso.local
Source DC SERV01 has possible security error (5).
Diagnosing...
Found KDC VSERV01 for domain contoso.local in site
Premier-Site-par-defaut
Checking time skew between servers:
SERV01
VSERV01
Time is in sync: 0 seconds different.
Checking machine account for DC SERV01 on DC VSERV01.
* SPN found :LDAP/serv01.contoso.local/contoso.local
* SPN found :LDAP/serv01.contoso.local
* SPN found :LDAP/SERV01
* SPN found :LDAP/serv01.contoso.local/contoso
* SPN found
:LDAP/5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local
* SPN found
:E3514235-4B06-11D1-AB04-00C04FC2DCD2/5610d2e0-4e0f-4558-8e93-38da5120c503/contoso.local
* SPN found :HOST/serv01.contoso.local/contoso.local
* SPN found :HOST/serv01.contoso.local
* SPN found :HOST/SERV01
* SPN found :HOST/serv01.contoso.local/contoso
* SPN found :GC/serv01.contoso.local/contoso.local
Checking for CN=SERV01,OU=Domain
Controllers,DC=contoso,DC=local in domain DC=contoso,DC=local on 2
servers
Object is up-to-date on all servers.
* Security Permissions check for all NC's on DC SERV01.
* Security Permissions Check for
DC=ForestDnsZones,DC=contoso,DC=local
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DC=contoso,DC=local
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DC=contoso,DC=local
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DC=contoso,DC=local
(Configuration,Version 2)
* Security Permissions Check for
DC=contoso,DC=local
(Domain,Version 2)
* Network Logons Privileges Check
Verified share \\SERV01\netlogon
Verified share \\SERV01\sysvol
Checking for CN=SERV01,OU=Domain
Controllers,DC=contoso,DC=local in domain DC=contoso,DC=local on 2
servers
Object is up-to-date on all servers.
[SERV01] Unable to diagnose problem for this source.
See any errors reported in attempting tests.
......................... VSERV01 passed test
CheckSecurityError
DNS Tests are running and not hung. Please wait a few minutes...
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test
CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test
CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test
CheckSDRefDom
Running partition tests on : contoso
Starting test: CrossRefValidation
......................... contoso passed test
CrossRefValidation
Starting test: CheckSDRefDom
......................... contoso passed test CheckSDRefDom
Running enterprise tests on : contoso.local
Starting test: Intersite
Skipping site Premier-Site-par-defaut, this site is outside
the scope
provided by the command line arguments provided.
......................... contoso.local passed test Intersite
Starting test: FsmoCheck
GC Name: \\vserv01.contoso.local
Locator Flags: 0xe00003fd
PDC Name: \\vserv01.contoso.local
Locator Flags: 0xe00003fd
Time Server Name: \\vserv01.contoso.local
Locator Flags: 0xe00003fd
Preferred Time Server Name: \\vserv01.contoso.local
Locator Flags: 0xe00003fd
KDC Name: \\vserv01.contoso.local
Locator Flags: 0xe00003fd
......................... contoso.local passed test FsmoCheck
Starting test: DNS
Test results for domain controllers:
TEST: Basic (Basc)
Microsoft(R) Windows(R) Server 2003, Standard
Edition (Service Pack level: 2.0) is supported
NETLOGON service is running
kdc service is running
DNSCACHE service is running
DNS service is running
DC is a DNS server
Network adapters information:
Adapter [00000007] Intel(R) PRO/1000 MT Network
Connection:
MAC address is 00:13:21:7C:D9:F8
IP address is static
IP address: 192.168.1.2
DNS servers:
192.168.1.12 (<name unavailable>) [Valid]
The A record for this DC was found
The SOA record for the Active Directory zone was
found
The Active Directory zone on this DC/DNS server was
found (primary)
Root zone on this DC/DNS server was not found
TEST: Delegations (Del)
Delegation information for the zone: contoso.local.
Delegated domain name: _msdcs.contoso.local.
DNS server: serv01.contoso.local.
IP:192.168.1.2 [Valid]
TEST: Dynamic update (Dyn)
Warning: Dynamic update is enabled on the zone but
not secure contoso.local.
Test record _dcdiag_test_record added successfully in
zone contoso.local.
Test record _dcdiag_test_record deleted successfully
in zone contoso.local.
TEST: Records registration (RReg)
Network Adapter [00000007] Intel(R) PRO/1000 MT
Network Connection:
Matching A record found at DNS server
192.168.1.12:
serv01.contoso.local
Matching CNAME record found at DNS server
192.168.1.12:
TEST: Basic (Basc)
Microsoft(R) Windows(R) Server 2003, Standard
Edition (Service Pack level: 2.0) is supported
NETLOGON service is running
kdc service is running
DNSCACHE service is running
DNS service is running
DC is a DNS server
Network adapters information:
Adapter [00000001] Carte AMD PCNET Family Ethernet
PCI:
MAC address is 00:0C:29:28:5E:87
IP address is static
IP address: 192.168.1.12
DNS servers:
192.168.1.12 (<name unavailable>) [Valid]
The A record for this DC was found
The SOA record for the Active Directory zone was
found
The Active Directory zone on this DC/DNS server was
found (primary)
Root zone on this DC/DNS server was not found
TEST: Delegations (Del)
Delegation information for the zone: contoso.local.
Delegated domain name: _msdcs.contoso.local.
DNS server: serv01.contoso.local.
IP:192.168.1.2 [Valid]
TEST: Dynamic update (Dyn)
Warning: Dynamic update is enabled on the zone but
not secure contoso.local.
Test record _dcdiag_test_record added successfully in
zone contoso.local.
Test record _dcdiag_test_record deleted successfully
in zone contoso.local.
TEST: Records registration (RReg)
Network Adapter [00000001] Carte AMD PCNET Family
Ethernet PCI:
Matching A record found at DNS server
192.168.1.12:
vserv01.contoso.local
Matching CNAME record found at DNS server
192.168.1.12:
Matching DC SRV record found at DNS server
192.168.1.12:
_ldap._tcp.dc._msdcs.contoso.local
Matching GC SRV record found at DNS server
192.168.1.12:
_ldap._tcp.gc._msdcs.contoso.local
Matching PDC SRV record found at DNS server
192.168.1.12:
_ldap._tcp.pdc._msdcs.contoso.local
Summary of test results for DNS servers used by the above
domain controllers:
DNS server: 192.168.1.12 (<name unavailable>)
All tests passed on this DNS server
This is a valid DNS server
Name resolution is funtional. _ldap._tcp SRV record for
the forest root domain is registered
DNS server: 192.168.1.2 (serv01.contoso.local.)
All tests passed on this DNS server
This is a valid DNS server
Delegation to the domain _msdcs.contoso.local. is
operational
DNS server: 213.251.179.102 (<name unavailable>)
All tests passed on this DNS server
This is a valid DNS server
DNS server: 80.10.246.2 (<name unavailable>)
All tests passed on this DNS server
This is a valid DNS server
DNS server: 80.10.246.3 (<name unavailable>)
All tests passed on this DNS server
This is a valid DNS server
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Type Attribute Last Mod Time Originating DC Loc.USN Org.USN Ver
======= ============ ============= ================= ======= ======= == > Distinguished Name
=============================
Bonjour,
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se
terminer par un on efface et on recommence comme souvent avec les
techno microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine
à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à
la suite du message n'étant pas ben sur de bien les interprétés.
Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai
pas voir si le Pwd de l'un est bien changé sur l'autre !
Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui
tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0
Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas
que ça puisse avoir un impact) à été installé de zero puis promu via un
dcpromo classique.
C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait
suffire.
Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a
pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental)
trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait
encore ailleurs....
J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que
la technologie AD Microsoft est suffisament mature, non ?? il fut juste
maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem
(sauf une bidouille d'un script sur technet mais ça ne marche pô).
Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage.
_j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les
commandes
a) net stop kdc
b) klist purge
c) ipconfig /flushdns
d) forcer la replication => mais comment ???
_J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir
que le protocole kerberos puis je refais un autre filtrage pour ne voir que
elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés
peu à y toucher.
La piste de lingering object peut-elle être explorée mais comment detecter
l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe
dessus et ne peut être modifié pour le moment) sur vserv01.
Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à
jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment).
Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12):
---------------------------
contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
389 vserv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME
vserv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN
SRV 0 100 389 vserv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 88 vserv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
Sur SERV01 (192.168.1.2):
-------------------------
contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
389 serv01.contoso.local.
_ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN
SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
gc._msdcs.contoso.local. 600 IN A 192.168.1.2
5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME
serv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN
SRV 0 100 389 serv01.contoso.local.
_gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
_gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
3268 serv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600
IN SRV 0 100 389 serv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600
IN SRV 0 100 389 serv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 88 serv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
serv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
serv01.contoso.local.
METADATA:
****************************
* SUR LA CONSOLE DE SERV01 *
****************************
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Type Attribute Last Mod Time Originating DC Loc.USN Org.USN Ver
======= ============ ============= ================= ======= ======= == > Distinguished Name
=============================
Emmanuel Dreux [ILINFO]
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé : > Bonjour Emmanuel, > > > > Concernant les matadata générées par le repadmin /showmeta , je les ai mis à > la suite du message n'étant pas ben sur de bien les interprétés. > Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai > pas voir si le Pwd de l'un est bien changé sur l'autre ! > Merci par avance de me le confirmer. > > > Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui > tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 > Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas > que ça puisse avoir un impact) à été installé de zero puis promu via un > dcpromo classique. > C'est vrai qu'on aurait pu penser à un SID dupliqué ! > > > Tu parles de reformater mais une "de-promotion" puis repromotion devrait > suffire. > Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a > pouvoir heberger tous nos fichiers de bureautique. > > > De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) > trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait > encore ailleurs.... > J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que > la technologie AD Microsoft est suffisament mature, non ?? il fut juste > maitriser ;-) > > En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem > (sauf une bidouille d'un script sur technet mais ça ne marche pô). > Ca semble super interessant la manip, si j'ai bien compris : > > _lancement de wireshark de facon classique, par le menu demarrer et tracage. > _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les > commandes > a) net stop kdc > b) klist purge > c) ipconfig /flushdns > d) forcer la replication => mais comment ??? > _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir > que le protocole kerberos puis je refais un autre filtrage pour ne voir que > elui du DNS > > J'ai bon ? > > Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés > peu à y toucher. > La piste de lingering object peut-elle être explorée mais comment detecter > l'object ? > > C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! > HYPER APPRECIABLE > > Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe > dessus et ne peut être modifié pour le moment) sur vserv01. > Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à > jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). > Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !! > > Tous ces logs sont + lisibles en copiant-collant tous sous notepad. > > Sur VSERV01 (192.168.1.12): > --------------------------- > > contoso.local. 600 IN A 192.168.1.12 > _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 > 389 vserv01.contoso.local. > _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. > 600 IN SRV 0 100 389 vserv01.contoso.local. > 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME > vserv01.contoso.local. > _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN > SRV 0 100 389 vserv01.contoso.local. > DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 > _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 > IN SRV 0 100 389 vserv01.contoso.local. > ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 > _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 > IN SRV 0 100 389 vserv01.contoso.local. > _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 > vserv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 > IN SRV 0 100 88 vserv01.contoso.local. > _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 > vserv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 > 100 88 vserv01.contoso.local. > _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 > vserv01.contoso.local. > _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 > vserv01.contoso.local. > _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 > vserv01.contoso.local. > > > Sur SERV01 (192.168.1.2): > ------------------------- > > contoso.local. 600 IN A 192.168.1.2 > _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 > 389 serv01.contoso.local. > _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN > SRV 0 100 3268 serv01.contoso.local. > _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. > 600 IN SRV 0 100 389 serv01.contoso.local. > gc._msdcs.contoso.local. 600 IN A 192.168.1.2 > 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME > serv01.contoso.local. > _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN > SRV 0 100 389 serv01.contoso.local. > _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. > _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 > 3268 serv01.contoso.local. > DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 > _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 > IN SRV 0 100 389 serv01.contoso.local. > ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 > _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 > IN SRV 0 100 389 serv01.contoso.local. > _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 > serv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 > IN SRV 0 100 88 serv01.contoso.local. > _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 > serv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 > 100 88 serv01.contoso.local. > _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 > serv01.contoso.local. > _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 > serv01.contoso.local. > _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 > serv01.contoso.local. > > > > > METADATA: > > **************************** > * SUR LA CONSOLE DE SERV01 * > **************************** > > > repadmin /showmeta "CN=VSERV01,OU=Domain Controllers,DC=contoso,DC=local" > > > 39 entries. > > Loc.USN Originating DC Org.USN Org.Time/Date > Ver Attribute > > ======= =============== ========= ============= > === ======== > > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 objectClass > > 768813 Premier-Site-par-defautSERV01 768813 2007-09-27 > 16:36:17 2 cn > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 description > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 instanceType > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 whenCreated > > 768815 Premier-Site-par-defautSERV01 768815 2007-09-27 > 16:36:17 3 displayName > > 1407059 Premier-Site-par-defautVSERV01 12290 2008-03-04 > 16:29:34 2 nTSecurityDescriptor > > 1406988 Premier-Site-par-defautSERV01 1406988 2008-03-04 > 16:29:30 3 name > > 1406987 Premier-Site-par-defautSERV01 1406987 2008-03-04 > 16:29:30 4 userAccountControl > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 codePage > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 countryCode > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 homeDirectory > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 homeDrive > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 dBCSPwd > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 localPolicyFlags > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 scriptPath > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 logonHours > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 userWorkstations > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 unicodePwd > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 ntPwdHistory > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 pwdLastSet > > 1406987 Premier-Site-par-defautSERV01 1406987 2008-03-04 > 16:29:30 2 primaryGroupID > > 2302183 Premier-Site-par-defautSERV01 2302183 2009-07-26 > 16:28:11 34 supplementalCredentials > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 userParameters > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 profilePath > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 objectSid > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 comment > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 accountExpires > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 lmPwdHistory > > 768814 Premier-Site-par-defautSERV01 768814 2007-09-27 > 16:36:17 2 sAMAccountName > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 sAMAccountType > > 761597 Premier-Site-par-defautSERV01 761597 2007-09-19 > 17:44:55 1 operatingSystem > > 761597 Premier-Site-par-defautSERV01 761597 2007-09-19 > 17:44:55 1 operatingSystemVersion > > 822186 Premier-Site-par-defautSERV01 822186 2007-10-29 > 11:53:44 2 operatingSystemServicePack > > 768817 Premier-Site-par-defautSERV01 768817 2007-09-27 > 16:36:17 2 dNSHostName
Salut,
C'est bien ce que je pensais.
Le mot de passe de SERV01 aurait du être résetté sur VSERV01.
Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de
passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01.
Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de
serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au
mot d e passe).
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se
terminer par un on efface et on recommence comme souvent avec les
techno microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine
à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
> Bonjour Emmanuel,
>
>
>
> Concernant les matadata générées par le repadmin /showmeta , je les ai mis à
> la suite du message n'étant pas ben sur de bien les interprétés.
> Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai
> pas voir si le Pwd de l'un est bien changé sur l'autre !
> Merci par avance de me le confirmer.
>
>
> Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui
> tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0
> Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas
> que ça puisse avoir un impact) à été installé de zero puis promu via un
> dcpromo classique.
> C'est vrai qu'on aurait pu penser à un SID dupliqué !
>
>
> Tu parles de reformater mais une "de-promotion" puis repromotion devrait
> suffire.
> Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a
> pouvoir heberger tous nos fichiers de bureautique.
>
>
> De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental)
> trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait
> encore ailleurs....
> J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que
> la technologie AD Microsoft est suffisament mature, non ?? il fut juste
> maitriser ;-)
>
> En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem
> (sauf une bidouille d'un script sur technet mais ça ne marche pô).
> Ca semble super interessant la manip, si j'ai bien compris :
>
> _lancement de wireshark de facon classique, par le menu demarrer et tracage.
> _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les
> commandes
> a) net stop kdc
> b) klist purge
> c) ipconfig /flushdns
> d) forcer la replication => mais comment ???
> _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir
> que le protocole kerberos puis je refais un autre filtrage pour ne voir que
> elui du DNS
>
> J'ai bon ?
>
> Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés
> peu à y toucher.
> La piste de lingering object peut-elle être explorée mais comment detecter
> l'object ?
>
> C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
> HYPER APPRECIABLE
>
> Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe
> dessus et ne peut être modifié pour le moment) sur vserv01.
> Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à
> jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment).
> Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
>
> Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
>
> Sur VSERV01 (192.168.1.12):
> ---------------------------
>
> contoso.local. 600 IN A 192.168.1.12
> _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
> 389 vserv01.contoso.local.
> _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
> 600 IN SRV 0 100 389 vserv01.contoso.local.
> 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME
> vserv01.contoso.local.
> _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
> vserv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN
> SRV 0 100 389 vserv01.contoso.local.
> DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
> _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
> vserv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600
> IN SRV 0 100 389 vserv01.contoso.local.
> ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
> _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
> vserv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600
> IN SRV 0 100 389 vserv01.contoso.local.
> _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
> vserv01.contoso.local.
> _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
> vserv01.contoso.local.
> _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
> IN SRV 0 100 88 vserv01.contoso.local.
> _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
> vserv01.contoso.local.
> _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
> 100 88 vserv01.contoso.local.
> _kerberos._udp.contoso.local. 600 IN SRV 0 100 88
> vserv01.contoso.local.
> _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
> vserv01.contoso.local.
> _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
> vserv01.contoso.local.
>
>
> Sur SERV01 (192.168.1.2):
> -------------------------
>
> contoso.local. 600 IN A 192.168.1.2
> _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
> 389 serv01.contoso.local.
> _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268
> serv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN
> SRV 0 100 3268 serv01.contoso.local.
> _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
> 600 IN SRV 0 100 389 serv01.contoso.local.
> gc._msdcs.contoso.local. 600 IN A 192.168.1.2
> 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME
> serv01.contoso.local.
> _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
> serv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN
> SRV 0 100 389 serv01.contoso.local.
> _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
> _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
> 3268 serv01.contoso.local.
> DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
> _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
> serv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600
> IN SRV 0 100 389 serv01.contoso.local.
> ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
> _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
> serv01.contoso.local.
> _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600
> IN SRV 0 100 389 serv01.contoso.local.
> _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
> serv01.contoso.local.
> _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
> IN SRV 0 100 88 serv01.contoso.local.
> _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
> serv01.contoso.local.
> _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
> 100 88 serv01.contoso.local.
> _kerberos._udp.contoso.local. 600 IN SRV 0 100 88
> serv01.contoso.local.
> _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
> serv01.contoso.local.
> _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
> serv01.contoso.local.
>
>
>
>
> METADATA:
>
> ****************************
> * SUR LA CONSOLE DE SERV01 *
> ****************************
>
>
> repadmin /showmeta "CN=VSERV01,OU=Domain Controllers,DC=contoso,DC=local"
>
>
> 39 entries.
>
> Loc.USN Originating DC Org.USN Org.Time/Date
> Ver Attribute
>
> ======= =============== ========= =============
> === ======== > >
> 761590 Premier-Site-par-defautSERV01 761590 2007-09-19
> 17:44:51 1 objectClass
>
> 768813 Premier-Site-par-defautSERV01 768813 2007-09-27
> 16:36:17 2 cn
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 description
>
> 761590 Premier-Site-par-defautSERV01 761590 2007-09-19
> 17:44:51 1 instanceType
>
> 761590 Premier-Site-par-defautSERV01 761590 2007-09-19
> 17:44:51 1 whenCreated
>
> 768815 Premier-Site-par-defautSERV01 768815 2007-09-27
> 16:36:17 3 displayName
>
> 1407059 Premier-Site-par-defautVSERV01 12290 2008-03-04
> 16:29:34 2 nTSecurityDescriptor
>
> 1406988 Premier-Site-par-defautSERV01 1406988 2008-03-04
> 16:29:30 3 name
>
> 1406987 Premier-Site-par-defautSERV01 1406987 2008-03-04
> 16:29:30 4 userAccountControl
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 codePage
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 countryCode
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 homeDirectory
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 homeDrive
>
> 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26
> 16:28:11 35 dBCSPwd
>
> 761590 Premier-Site-par-defautSERV01 761590 2007-09-19
> 17:44:51 1 localPolicyFlags
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 scriptPath
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 logonHours
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 userWorkstations
>
> 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26
> 16:28:11 35 unicodePwd
>
> 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26
> 16:28:11 35 ntPwdHistory
>
> 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26
> 16:28:11 35 pwdLastSet
>
> 1406987 Premier-Site-par-defautSERV01 1406987 2008-03-04
> 16:29:30 2 primaryGroupID
>
> 2302183 Premier-Site-par-defautSERV01 2302183 2009-07-26
> 16:28:11 34 supplementalCredentials
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 userParameters
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 profilePath
>
> 761590 Premier-Site-par-defautSERV01 761590 2007-09-19
> 17:44:51 1 objectSid
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 comment
>
> 761591 Premier-Site-par-defautSERV01 761591 2007-09-19
> 17:44:51 1 accountExpires
>
> 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26
> 16:28:11 35 lmPwdHistory
>
> 768814 Premier-Site-par-defautSERV01 768814 2007-09-27
> 16:36:17 2 sAMAccountName
>
> 761590 Premier-Site-par-defautSERV01 761590 2007-09-19
> 17:44:51 1 sAMAccountType
>
> 761597 Premier-Site-par-defautSERV01 761597 2007-09-19
> 17:44:55 1 operatingSystem
>
> 761597 Premier-Site-par-defautSERV01 761597 2007-09-19
> 17:44:55 1 operatingSystemVersion
>
> 822186 Premier-Site-par-defautSERV01 822186 2007-10-29
> 11:53:44 2 operatingSystemServicePack
>
> 768817 Premier-Site-par-defautSERV01 768817 2007-09-27
> 16:36:17 2 dNSHostName
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé : > Bonjour Emmanuel, > > > > Concernant les matadata générées par le repadmin /showmeta , je les ai mis à > la suite du message n'étant pas ben sur de bien les interprétés. > Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai > pas voir si le Pwd de l'un est bien changé sur l'autre ! > Merci par avance de me le confirmer. > > > Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui > tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 > Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas > que ça puisse avoir un impact) à été installé de zero puis promu via un > dcpromo classique. > C'est vrai qu'on aurait pu penser à un SID dupliqué ! > > > Tu parles de reformater mais une "de-promotion" puis repromotion devrait > suffire. > Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a > pouvoir heberger tous nos fichiers de bureautique. > > > De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) > trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait > encore ailleurs.... > J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que > la technologie AD Microsoft est suffisament mature, non ?? il fut juste > maitriser ;-) > > En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem > (sauf une bidouille d'un script sur technet mais ça ne marche pô). > Ca semble super interessant la manip, si j'ai bien compris : > > _lancement de wireshark de facon classique, par le menu demarrer et tracage. > _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les > commandes > a) net stop kdc > b) klist purge > c) ipconfig /flushdns > d) forcer la replication => mais comment ??? > _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir > que le protocole kerberos puis je refais un autre filtrage pour ne voir que > elui du DNS > > J'ai bon ? > > Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés > peu à y toucher. > La piste de lingering object peut-elle être explorée mais comment detecter > l'object ? > > C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! > HYPER APPRECIABLE > > Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe > dessus et ne peut être modifié pour le moment) sur vserv01. > Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à > jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). > Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !! > > Tous ces logs sont + lisibles en copiant-collant tous sous notepad. > > Sur VSERV01 (192.168.1.12): > --------------------------- > > contoso.local. 600 IN A 192.168.1.12 > _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 > 389 vserv01.contoso.local. > _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. > 600 IN SRV 0 100 389 vserv01.contoso.local. > 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME > vserv01.contoso.local. > _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN > SRV 0 100 389 vserv01.contoso.local. > DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 > _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 > IN SRV 0 100 389 vserv01.contoso.local. > ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 > _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 > IN SRV 0 100 389 vserv01.contoso.local. > _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 > vserv01.contoso.local. > _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 > vserv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 > IN SRV 0 100 88 vserv01.contoso.local. > _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 > vserv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 > 100 88 vserv01.contoso.local. > _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 > vserv01.contoso.local. > _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 > vserv01.contoso.local. > _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 > vserv01.contoso.local. > > > Sur SERV01 (192.168.1.2): > ------------------------- > > contoso.local. 600 IN A 192.168.1.2 > _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 > 389 serv01.contoso.local. > _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN > SRV 0 100 3268 serv01.contoso.local. > _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. > 600 IN SRV 0 100 389 serv01.contoso.local. > gc._msdcs.contoso.local. 600 IN A 192.168.1.2 > 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME > serv01.contoso.local. > _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN > SRV 0 100 389 serv01.contoso.local. > _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. > _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 > 3268 serv01.contoso.local. > DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 > _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 > IN SRV 0 100 389 serv01.contoso.local. > ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 > _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 > serv01.contoso.local. > _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 > IN SRV 0 100 389 serv01.contoso.local. > _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 > serv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 > IN SRV 0 100 88 serv01.contoso.local. > _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 > serv01.contoso.local. > _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 > 100 88 serv01.contoso.local. > _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 > serv01.contoso.local. > _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 > serv01.contoso.local. > _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 > serv01.contoso.local. > > > > > METADATA: > > **************************** > * SUR LA CONSOLE DE SERV01 * > **************************** > > > repadmin /showmeta "CN=VSERV01,OU=Domain Controllers,DC=contoso,DC=local" > > > 39 entries. > > Loc.USN Originating DC Org.USN Org.Time/Date > Ver Attribute > > ======= =============== ========= ============= > === ======== > > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 objectClass > > 768813 Premier-Site-par-defautSERV01 768813 2007-09-27 > 16:36:17 2 cn > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 description > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 instanceType > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 whenCreated > > 768815 Premier-Site-par-defautSERV01 768815 2007-09-27 > 16:36:17 3 displayName > > 1407059 Premier-Site-par-defautVSERV01 12290 2008-03-04 > 16:29:34 2 nTSecurityDescriptor > > 1406988 Premier-Site-par-defautSERV01 1406988 2008-03-04 > 16:29:30 3 name > > 1406987 Premier-Site-par-defautSERV01 1406987 2008-03-04 > 16:29:30 4 userAccountControl > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 codePage > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 countryCode > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 homeDirectory > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 homeDrive > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 dBCSPwd > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 localPolicyFlags > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 scriptPath > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 logonHours > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 userWorkstations > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 unicodePwd > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 ntPwdHistory > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 pwdLastSet > > 1406987 Premier-Site-par-defautSERV01 1406987 2008-03-04 > 16:29:30 2 primaryGroupID > > 2302183 Premier-Site-par-defautSERV01 2302183 2009-07-26 > 16:28:11 34 supplementalCredentials > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 userParameters > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 profilePath > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 objectSid > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 comment > > 761591 Premier-Site-par-defautSERV01 761591 2007-09-19 > 17:44:51 1 accountExpires > > 2302182 Premier-Site-par-defautSERV01 2302182 2009-07-26 > 16:28:11 35 lmPwdHistory > > 768814 Premier-Site-par-defautSERV01 768814 2007-09-27 > 16:36:17 2 sAMAccountName > > 761590 Premier-Site-par-defautSERV01 761590 2007-09-19 > 17:44:51 1 sAMAccountType > > 761597 Premier-Site-par-defautSERV01 761597 2007-09-19 > 17:44:55 1 operatingSystem > > 761597 Premier-Site-par-defautSERV01 761597 2007-09-19 > 17:44:55 1 operatingSystemVersion > > 822186 Premier-Site-par-defautSERV01 822186 2007-10-29 > 11:53:44 2 operatingSystemServicePack > > 768817 Premier-Site-par-defautSERV01 768817 2007-09-27 > 16:36:17 2 dNSHostName
YannX
Bonjour Emmanuel,
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
OK je tests ça dans quelques heures quand je serai de retour sur site
et ne manquerai pas de te t enir au courant si ça marche.
Par contre , j'avoure ne pas trop coomprendre les fonctionnement car
quand on examine les log de la même maip sur l'autre DC on obtient le
même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de
serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais.
Le mot de passe de SERV01 aurait du être résetté sur VSERV01.
Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de
passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01.
Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de
serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au
mot d e passe).
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se
terminer par un on efface et on recommence comme souvent avec les
techno microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine
à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis
à la suite du message n'étant pas ben sur de bien les interprétés.
Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai
pas voir si le Pwd de l'un est bien changé sur l'autre !
Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui
tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0
Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas
que ça puisse avoir un impact) à été installé de zero puis promu via un
dcpromo classique.
C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait
suffire.
Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a
pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé
mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le
retrouverait encore ailleurs....
J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis
que la technologie AD Microsoft est suffisament mature, non ?? il fut
juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas
cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche
pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et
tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je
tape les commandes
a) net stop kdc
b) klist purge
c) ipconfig /flushdns
d) forcer la replication => mais comment ???
_J'arrete le tracage de wireshark et je filtre une premiere fois pour ne
voir que le protocole kerberos puis je refais un autre filtrage pour ne
voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés
peu à y toucher.
La piste de lingering object peut-elle être explorée mais comment detecter
l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau
pointe dessus et ne peut être modifié pour le moment) sur vserv01.
Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à
jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment).
Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12):
---------------------------
contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME
vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN
SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN
SRV 0 100 389 vserv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 vserv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
Sur SERV01 (192.168.1.2):
-------------------------
contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local.
600 IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN
SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
gc._msdcs.contoso.local. 600 IN A 192.168.1.2
5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME
serv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN
SRV 0 100 389 serv01.contoso.local.
_gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
_gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
3268 serv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 serv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
serv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
serv01.contoso.local.
METADATA:
****************************
* SUR LA CONSOLE DE SERV01 *
****************************
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
"YannX" <nomail@thanx.com> a écrit dans le message de
news:OZVQP2FEKHA.1340@TK2MSFTNGP05.phx.gbl...
Bonjour Emmanuel,
OK je tests ça dans quelques heures quand je serai de retour sur site et
ne manquerai pas de te t enir au courant si ça marche.
Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand
on examine les log de la même maip sur l'autre DC on obtient le même genre
de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur
serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais.
Le mot de passe de SERV01 aurait du être résetté sur VSERV01.
Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52
pwdLastSet
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot
de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de
serv01.
Confirme ensuite avec la commande repadmin /showmeta que le mot de passe
de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs
liés au mot d e passe).
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se
terminer par un on efface et on recommence comme souvent avec les techno
microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine à
gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai
mis à la suite du message n'étant pas ben sur de bien les interprétés.
Je vois juste les info sont synchro entres les 2 DC mais aprés je ne
saurai pas voir si le Pwd de l'un est bien changé sur l'autre !
Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC
qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers
la 2.0
Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense
pas que ça puisse avoir un impact) à été installé de zero puis promu
via un dcpromo classique.
C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion
devrait suffire.
Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le
seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé
mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le
retrouverait encore ailleurs....
J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me
dis que la technologie AD Microsoft est suffisament mature, non ?? il
fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas
cmdassystem (sauf une bidouille d'un script sur technet mais ça ne
marche pô). Ca semble super interessant la manip, si j'ai bien compris
:
_lancement de wireshark de facon classique, par le menu demarrer et
tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et
je tape les commandes
a) net stop kdc
b) klist purge
c) ipconfig /flushdns
d) forcer la replication => mais comment ???
_J'arrete le tracage de wireshark et je filtre une premiere fois pour
ne voir que le protocole kerberos puis je refais un autre filtrage
pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes
trés peu à y toucher.
La piste de lingering object peut-elle être explorée mais comment
detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau
pointe dessus et ne peut être modifié pour le moment) sur vserv01.
Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les
mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour
le moment).
Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12):
---------------------------
contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME
vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 vserv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
Sur SERV01 (192.168.1.2):
-------------------------
contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
gc._msdcs.contoso.local. 600 IN A 192.168.1.2
5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME
serv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 serv01.contoso.local.
_gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
_gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
3268 serv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 serv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
****************************
* SUR LA CONSOLE DE SERV01 *
****************************
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me permet de garder ma santé mentale. C'est le genre de chose qui aprés te fait douter grave avant de faire une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te
viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom
resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même
resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant
les mains dans le camboui qu'on comprends le mieux la mécanique et en +
ça me permet de garder ma santé mentale.
C'est le genre de chose qui aprés te fait douter grave avant de faire
une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
"YannX" <nomail@thanx.com> a écrit dans le message de
news:OZVQP2FEKHA.1340@TK2MSFTNGP05.phx.gbl...
Bonjour Emmanuel,
OK je tests ça dans quelques heures quand je serai de retour sur site et ne
manquerai pas de te t enir au courant si ça marche.
Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand
on examine les log de la même maip sur l'autre DC on obtient le même genre
de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01
, non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais.
Le mot de passe de SERV01 aurait du être résetté sur VSERV01.
Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52
pwdLastSet
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot
de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01.
Confirme ensuite avec la commande repadmin /showmeta que le mot de passe
de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs
liés au mot d e passe).
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer
par un on efface et on recommence comme souvent avec les techno
microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine à
gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai
mis à la suite du message n'étant pas ben sur de bien les interprétés.
Je vois juste les info sont synchro entres les 2 DC mais aprés je ne
saurai pas voir si le Pwd de l'un est bien changé sur l'autre !
Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui
tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la
2.0
Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense
pas que ça puisse avoir un impact) à été installé de zero puis promu via
un dcpromo classique.
C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait
suffire.
Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul
a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé
mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le
retrouverait encore ailleurs....
J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me
dis que la technologie AD Microsoft est suffisament mature, non ?? il
fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas
cmdassystem (sauf une bidouille d'un script sur technet mais ça ne
marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et
tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et
je tape les commandes
a) net stop kdc
b) klist purge
c) ipconfig /flushdns
d) forcer la replication => mais comment ???
_J'arrete le tracage de wireshark et je filtre une premiere fois pour ne
voir que le protocole kerberos puis je refais un autre filtrage pour ne
voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes
trés peu à y toucher.
La piste de lingering object peut-elle être explorée mais comment
detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau
pointe dessus et ne peut être modifié pour le moment) sur vserv01.
Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises
à jour: sécurisées et non sécurisées (pour eviter les soucis pour le
moment).
Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12):
---------------------------
contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME
vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 vserv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2):
-------------------------
contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
gc._msdcs.contoso.local. 600 IN A 192.168.1.2
5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME
serv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 serv01.contoso.local.
_gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
_gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
3268 serv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 serv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
****************************
* SUR LA CONSOLE DE SERV01 *
****************************
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me permet de garder ma santé mentale. C'est le genre de chose qui aprés te fait douter grave avant de faire une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Toujours dans la même situation, appremamnt ce genre de probleme n'est pas aussi simple que ça à depanner: 2 DC Win2003 sur le même site ne repliquent subitement plus que dans un sens et ce, malgré avoir re-initialisé le mot de passe (multe fois) des 2 DC:
5 Acces Denied !!!
Je suprime le lien générer automatiquement dasn sites et services ,celui est bien recréé automatiquement par le KCC mais impossible de l'utiliser toujours et acces denied !!!
Tous les outils de management marche de l'un sur l'autre. Dossier sysvol accessible sur les 2 DC.
Je suis preneur de toute idée ou aide Au secours !!
Merci par avance.
YannX avait écrit le 29/07/2009 :
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me permet de garder ma santé mentale. C'est le genre de chose qui aprés te fait douter grave avant de faire une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Toujours dans la même situation, appremamnt ce genre de probleme n'est
pas aussi simple que ça à depanner: 2 DC Win2003 sur le même site ne
repliquent subitement plus que dans un sens et ce, malgré avoir
re-initialisé le mot de passe (multe fois) des 2 DC:
5 Acces Denied !!!
Je suprime le lien générer automatiquement dasn sites et services
,celui est bien recréé automatiquement par le KCC mais impossible de
l'utiliser toujours et acces denied !!!
Tous les outils de management marche de l'un sur l'autre.
Dossier sysvol accessible sur les 2 DC.
Je suis preneur de toute idée ou aide
Au secours !!
Merci par avance.
YannX avait écrit le 29/07/2009 :
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à
l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur
le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les
mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me
permet de garder ma santé mentale.
C'est le genre de chose qui aprés te fait douter grave avant de faire une
manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou
autre...
"YannX" <nomail@thanx.com> a écrit dans le message de
news:OZVQP2FEKHA.1340@TK2MSFTNGP05.phx.gbl...
Bonjour Emmanuel,
OK je tests ça dans quelques heures quand je serai de retour sur site et
ne manquerai pas de te t enir au courant si ça marche.
Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand
on examine les log de la même maip sur l'autre DC on obtient le même genre
de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur
serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais.
Le mot de passe de SERV01 aurait du être résetté sur VSERV01.
Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52
pwdLastSet
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot
de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de
serv01.
Confirme ensuite avec la commande repadmin /showmeta que le mot de passe
de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs
liés au mot d e passe).
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se
terminer par un on efface et on recommence comme souvent avec les techno
microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine à
gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai
mis à la suite du message n'étant pas ben sur de bien les interprétés.
Je vois juste les info sont synchro entres les 2 DC mais aprés je ne
saurai pas voir si le Pwd de l'un est bien changé sur l'autre !
Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC
qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers
la 2.0
Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense
pas que ça puisse avoir un impact) à été installé de zero puis promu
via un dcpromo classique.
C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion
devrait suffire.
Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le
seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé
mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le
retrouverait encore ailleurs....
J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me
dis que la technologie AD Microsoft est suffisament mature, non ?? il
fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas
cmdassystem (sauf une bidouille d'un script sur technet mais ça ne
marche pô). Ca semble super interessant la manip, si j'ai bien compris
:
_lancement de wireshark de facon classique, par le menu demarrer et
tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et
je tape les commandes
a) net stop kdc
b) klist purge
c) ipconfig /flushdns
d) forcer la replication => mais comment ???
_J'arrete le tracage de wireshark et je filtre une premiere fois pour
ne voir que le protocole kerberos puis je refais un autre filtrage
pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes
trés peu à y toucher.
La piste de lingering object peut-elle être explorée mais comment
detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau
pointe dessus et ne peut être modifié pour le moment) sur vserv01.
Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les
mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour
le moment).
Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12):
---------------------------
contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME
vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 vserv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
Sur SERV01 (192.168.1.2):
-------------------------
contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
gc._msdcs.contoso.local. 600 IN A 192.168.1.2
5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME
serv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 serv01.contoso.local.
_gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
_gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100
3268 serv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV
0 100 88 serv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
****************************
* SUR LA CONSOLE DE SERV01 *
****************************
Toujours dans la même situation, appremamnt ce genre de probleme n'est pas aussi simple que ça à depanner: 2 DC Win2003 sur le même site ne repliquent subitement plus que dans un sens et ce, malgré avoir re-initialisé le mot de passe (multe fois) des 2 DC:
5 Acces Denied !!!
Je suprime le lien générer automatiquement dasn sites et services ,celui est bien recréé automatiquement par le KCC mais impossible de l'utiliser toujours et acces denied !!!
Tous les outils de management marche de l'un sur l'autre. Dossier sysvol accessible sur les 2 DC.
Je suis preneur de toute idée ou aide Au secours !!
Merci par avance.
YannX avait écrit le 29/07/2009 :
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me permet de garder ma santé mentale. C'est le genre de chose qui aprés te fait douter grave avant de faire une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Aimant vraimment aller au bout des choses j'ai fini par trouver la source du problème, aprés des heures et des nuits à chercher dans tous les forums et whitepapers.
Si ca peut aider:
"Personne" (c'est la reponse que j'ai eu) a certainement voulu mettre en place genre du SSO et m'a modifié le paramétrage Kerberos. Je m'en suis aperçu en tapant la commande ksetup /DumpState :
default realm = contoso.local (NT Domain) CONTOSO.LOCAL: kdc = nomore-online-server.contoso.local Realm Flags = 0x0 none No user mappings defined.
Creation d'un realm du meme nom que celui de mon AD et pointant vers un serveur injoignable (ça tue)!!
Un petit ksetup /removeRealm CONTOSO.LOCAL a finalement resolu tous mes problèmes.
Voila j'espere que ça pourra servir à quelqu'un , en tous cas je remercie vivement tout le monde pour son aide + que précieuse.
YannX
YannX avait prétendu :
Toujours dans la même situation, appremamnt ce genre de probleme n'est pas aussi simple que ça à depanner: 2 DC Win2003 sur le même site ne repliquent subitement plus que dans un sens et ce, malgré avoir re-initialisé le mot de passe (multe fois) des 2 DC:
5 Acces Denied !!!
Je suprime le lien générer automatiquement dasn sites et services ,celui est bien recréé automatiquement par le KCC mais impossible de l'utiliser toujours et acces denied !!!
Tous les outils de management marche de l'un sur l'autre. Dossier sysvol accessible sur les 2 DC.
Je suis preneur de toute idée ou aide Au secours !!
Merci par avance.
YannX avait écrit le 29/07/2009 :
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me permet de garder ma santé mentale. C'est le genre de chose qui aprés te fait douter grave avant de faire une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************
Aimant vraimment aller au bout des choses j'ai fini par trouver la
source du problème, aprés des heures et des nuits à chercher dans tous
les forums et whitepapers.
Si ca peut aider:
"Personne" (c'est la reponse que j'ai eu) a certainement voulu mettre
en place genre du SSO et m'a modifié le paramétrage Kerberos.
Je m'en suis aperçu en tapant la commande ksetup /DumpState :
default realm = contoso.local (NT Domain)
CONTOSO.LOCAL:
kdc = nomore-online-server.contoso.local
Realm Flags = 0x0 none
No user mappings defined.
Creation d'un realm du meme nom que celui de mon AD et pointant vers un
serveur injoignable (ça tue)!!
Un petit ksetup /removeRealm CONTOSO.LOCAL a finalement resolu tous mes
problèmes.
Voila j'espere que ça pourra servir à quelqu'un , en tous cas je
remercie vivement tout le monde pour son aide + que précieuse.
YannX
YannX avait prétendu :
Toujours dans la même situation, appremamnt ce genre de probleme n'est pas
aussi simple que ça à depanner: 2 DC Win2003 sur le même site ne repliquent
subitement plus que dans un sens et ce, malgré avoir re-initialisé le mot de
passe (multe fois) des 2 DC:
5 Acces Denied !!!
Je suprime le lien générer automatiquement dasn sites et services ,celui est
bien recréé automatiquement par le KCC mais impossible de l'utiliser toujours
et acces denied !!!
Tous les outils de management marche de l'un sur l'autre.
Dossier sysvol accessible sur les 2 DC.
Je suis preneur de toute idée ou aide
Au secours !!
Merci par avance.
YannX avait écrit le 29/07/2009 :
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à
l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd,
sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les
mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me
permet de garder ma santé mentale.
C'est le genre de chose qui aprés te fait douter grave avant de faire une
manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou
autre...
"YannX" <nomail@thanx.com> a écrit dans le message de
news:OZVQP2FEKHA.1340@TK2MSFTNGP05.phx.gbl...
Bonjour Emmanuel,
OK je tests ça dans quelques heures quand je serai de retour sur site et
ne manquerai pas de te t enir au courant si ça marche.
Par contre , j'avoure ne pas trop coomprendre les fonctionnement car
quand on examine les log de la même maip sur l'autre DC on obtient le
même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de
serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais.
Le mot de passe de SERV01 aurait du être résetté sur VSERV01.
Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01:
2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52
pwdLastSet
Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot
de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de
serv01.
Confirme ensuite avec la commande repadmin /showmeta que le mot de passe
de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs
liés au mot d e passe).
Plus d'idée ?
J'avoue que je suis un peu deçue car je sens que ça va devoir se
terminer par un on efface et on recommence comme souvent avec les
techno microsoft:retrogadation puis re-dcpromo.
Les problèmes semblent toujours mystérieux, alors que nous n'avons tout
même pas un niveau de débutant. On a l'impression d'une grosse machine
à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai
mis à la suite du message n'étant pas ben sur de bien les
interprétés.
Je vois juste les info sont synchro entres les 2 DC mais aprés je ne
saurai pas voir si le Pwd de l'un est bien changé sur l'autre !
Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC
qui tourne sous VMWARE SERVER récéement basculer de la version 1.X
vers la 2.0
Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense
pas que ça puisse avoir un impact) à été installé de zero puis promu
via un dcpromo classique.
C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion
devrait suffire.
Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le
seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé
mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le
retrouverait encore ailleurs....
J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me
dis que la technologie AD Microsoft est suffisament mature, non ?? il
fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas
cmdassystem (sauf une bidouille d'un script sur technet mais ça ne
marche pô). Ca semble super interessant la manip, si j'ai bien compris
:
_lancement de wireshark de facon classique, par le menu demarrer et
tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et
je tape les commandes
a) net stop kdc
b) klist purge
c) ipconfig /flushdns
d) forcer la replication => mais comment ???
_J'arrete le tracage de wireshark et je filtre une premiere fois pour
ne voir que le protocole kerberos puis je refais un autre filtrage
pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes
trés peu à y toucher.
La piste de lingering object peut-elle être explorée mais comment
detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!!
HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau
pointe dessus et ne peut être modifié pour le moment) sur vserv01.
Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les
mises à jour: sécurisées et non sécurisées (pour eviter les soucis
pour le moment).
Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12):
---------------------------
contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 vserv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN
CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 vserv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.12
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 vserv01.contoso.local.
_ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389
vserv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 vserv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN
SRV 0 100 88 vserv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
vserv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
vserv01.contoso.local.
Sur SERV01 (192.168.1.2):
-------------------------
contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600
IN SRV 0 100 3268 serv01.contoso.local.
_ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
gc._msdcs.contoso.local. 600 IN A 192.168.1.2
5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN
CNAME serv01.contoso.local.
_ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600
IN SRV 0 100 389 serv01.contoso.local.
_gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local.
_gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0
100 3268 serv01.contoso.local.
DomainDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
ForestDnsZones.contoso.local. 600 IN A 192.168.1.2
_ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389
serv01.contoso.local.
_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local.
600 IN SRV 0 100 389 serv01.contoso.local.
_kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local.
600 IN SRV 0 100 88 serv01.contoso.local.
_kerberos._tcp.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN
SRV 0 100 88 serv01.contoso.local.
_kerberos._udp.contoso.local. 600 IN SRV 0 100 88
serv01.contoso.local.
_kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464
serv01.contoso.local.
_kpasswd._udp.contoso.local. 600 IN SRV 0 100 464
serv01.contoso.local.
METADATA:
****************************
* SUR LA CONSOLE DE SERV01 *
****************************
Aimant vraimment aller au bout des choses j'ai fini par trouver la source du problème, aprés des heures et des nuits à chercher dans tous les forums et whitepapers.
Si ca peut aider:
"Personne" (c'est la reponse que j'ai eu) a certainement voulu mettre en place genre du SSO et m'a modifié le paramétrage Kerberos. Je m'en suis aperçu en tapant la commande ksetup /DumpState :
default realm = contoso.local (NT Domain) CONTOSO.LOCAL: kdc = nomore-online-server.contoso.local Realm Flags = 0x0 none No user mappings defined.
Creation d'un realm du meme nom que celui de mon AD et pointant vers un serveur injoignable (ça tue)!!
Un petit ksetup /removeRealm CONTOSO.LOCAL a finalement resolu tous mes problèmes.
Voila j'espere que ça pourra servir à quelqu'un , en tous cas je remercie vivement tout le monde pour son aide + que précieuse.
YannX
YannX avait prétendu :
Toujours dans la même situation, appremamnt ce genre de probleme n'est pas aussi simple que ça à depanner: 2 DC Win2003 sur le même site ne repliquent subitement plus que dans un sens et ce, malgré avoir re-initialisé le mot de passe (multe fois) des 2 DC:
5 Acces Denied !!!
Je suprime le lien générer automatiquement dasn sites et services ,celui est bien recréé automatiquement par le KCC mais impossible de l'utiliser toujours et acces denied !!!
Tous les outils de management marche de l'un sur l'autre. Dossier sysvol accessible sur les 2 DC.
Je suis preneur de toute idée ou aide Au secours !!
Merci par avance.
YannX avait écrit le 29/07/2009 :
Oui sans problème , au contraire c'est trés sympa.
Si en jetant un oeil via Teamviewer,il a peut-être qqchose qui te viendra à l'esprit, une illumination ;-)
Car, j'ai refait les manip de changement de password via netdom resetpwd, sur le DC serv01 mais idem j'obtiens toujours le même resultat :-(
Je souhaiterai réellement trouver l'explication car c'est en mettant les mains dans le camboui qu'on comprends le mieux la mécanique et en + ça me permet de garder ma santé mentale. C'est le genre de chose qui aprés te fait douter grave avant de faire une manip quelconque, nous n'en sommes plus à nos débuts quand même !!
Encore milles fois merci.
Cordialement,
YannX
Dans son message précédent, Emmanuel Dreux (ILINFO) a écrit :
Pourrais-tu mettre en place un accès distant du genre teamviewer ou autre...
OK je tests ça dans quelques heures quand je serai de retour sur site et ne manquerai pas de te t enir au courant si ça marche. Par contre , j'avoure ne pas trop coomprendre les fonctionnement car quand on examine les log de la même maip sur l'autre DC on obtient le même genre de résultat sauf que c'est vserv01 sur vserv01 au lieu de serv01 sur serv01 , non ? ou je n'ai rien compris ;-)
Enfin bref je vais m'empresser de rrefair la manipulation !
Cordialement,
YannX
Emmanuel Dreux [ILINFO] a exposé le 29/07/2009 :
Salut,
C'est bien ce que je pensais. Le mot de passe de SERV01 aurait du être résetté sur VSERV01. Ors, le metadata de SERV01 démontre qu'il a été changé sur SERV01: 2299649 Premier-Site-par-defautSERV01 2299649 2009-07-26 13:41:50 52 pwdLastSet Comme tes DC ne répliquent plus, tes 2 DC ne connaissent pas le même mot de passe pour serv01.
Refais la manip que je t'ai donné pour resetter le mot de passe de serv01. Confirme ensuite avec la commande repadmin /showmeta que le mot de passe de serv01 a été modifié sur Vserv01 (colonne orginator DC des attributs liés au mot d e passe).
Plus d'idée ? J'avoue que je suis un peu deçue car je sens que ça va devoir se terminer par un on efface et on recommence comme souvent avec les techno microsoft:retrogadation puis re-dcpromo. Les problèmes semblent toujours mystérieux, alors que nous n'avons tout même pas un niveau de débutant. On a l'impression d'une grosse machine à gaz ....
Enfin bon , si quelqu'un a une piste je suis + que preneur.
Merci par avance.
YannX avait énoncé :
Bonjour Emmanuel,
Concernant les matadata générées par le repadmin /showmeta , je les ai mis à la suite du message n'étant pas ben sur de bien les interprétés. Je vois juste les info sont synchro entres les 2 DC mais aprés je ne saurai pas voir si le Pwd de l'un est bien changé sur l'autre ! Merci par avance de me le confirmer.
Sinon , oui trés bien vu : le "V" est pour virtuel. ILs'agit d'un DC qui tourne sous VMWARE SERVER récéement basculer de la version 1.X vers la 2.0 Le windows 2003 hébergé (avec des Linux et de l'iptables mais je pense pas que ça puisse avoir un impact) à été installé de zero puis promu via un dcpromo classique. C'est vrai qu'on aurait pu penser à un SID dupliqué !
Tu parles de reformater mais une "de-promotion" puis repromotion devrait suffire. Ca m'embeterais d'avoir à faire cela beaucoup car ce serveur est le seul a pouvoir heberger tous nos fichiers de bureautique.
De plus, j'aime bien comprendre les choses et aimerait (pour ma santé mental) trouver d'ou peut venir ce souci car rien ne dit que je ne le retrouverait encore ailleurs.... J'y peut rien mais je souhaiterai vraimment aller jusqu'au bout.Je me dis que la technologie AD Microsoft est suffisament mature, non ?? il fut juste maitriser ;-)
En tout cas genial , ca a l'air interessant mais je ne trouve pas cmdassystem (sauf une bidouille d'un script sur technet mais ça ne marche pô). Ca semble super interessant la manip, si j'ai bien compris :
_lancement de wireshark de facon classique, par le menu demarrer et tracage. _j'ouvre un cmd en tant que cmdasssystem (si je le trouve) et je tape les commandes a) net stop kdc b) klist purge c) ipconfig /flushdns d) forcer la replication => mais comment ??? _J'arrete le tracage de wireshark et je filtre une premiere fois pour ne voir que le protocole kerberos puis je refais un autre filtrage pour ne voir que elui du DNS
J'ai bon ?
Il n'y a pas de bidouille car ces serveurs sont en prod et nous sommes trés peu à y toucher. La piste de lingering object peut-elle être explorée mais comment detecter l'object ?
C'est vraimment trés sympa de ta part de me filer ce coup de main !!!! HYPER APPRECIABLE
Le serveur DNS pour les 2 DC est (obligé car tous les postes du reseau pointe dessus et ne peut être modifié pour le moment) sur vserv01. Les zones contoso.com _msdcs.contoso.com sont acceptent toutes les mises à jour: sécurisées et non sécurisées (pour eviter les soucis pour le moment). Ci dessous les netlogon.dns mais j'avoue ne rien y voir de spécial !!
Tous ces logs sont + lisibles en copiant-collant tous sous notepad.
Sur VSERV01 (192.168.1.12): ---------------------------
contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. 3fc3ac18-a36e-482e-9801-ca50cbee6292._msdcs.contoso.local. 600 IN CNAME vserv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.12 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _ldap._tcp.pdc._msdcs.contoso.local. 600 IN SRV 0 100 389 vserv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 vserv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 vserv01.contoso.local.
Sur SERV01 (192.168.1.2): -------------------------
contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _ldap._tcp.9c009768-309a-4e71-ab63-179ba47b767f.domains._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. gc._msdcs.contoso.local. 600 IN A 192.168.1.2 5610d2e0-4e0f-4558-8e93-38da5120c503._msdcs.contoso.local. 600 IN CNAME serv01.contoso.local. _ldap._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _gc._tcp.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. _gc._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 3268 serv01.contoso.local. DomainDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. ForestDnsZones.contoso.local. 600 IN A 192.168.1.2 _ldap._tcp.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones.contoso.local. 600 IN SRV 0 100 389 serv01.contoso.local. _kerberos._tcp.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._tcp.Premier-Site-par-defaut._sites.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kerberos._udp.contoso.local. 600 IN SRV 0 100 88 serv01.contoso.local. _kpasswd._tcp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local. _kpasswd._udp.contoso.local. 600 IN SRV 0 100 464 serv01.contoso.local.
METADATA:
**************************** * SUR LA CONSOLE DE SERV01 * ****************************