Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory impossible de repliquer AD

impossible de repliquer AD

27 réponses
Avatar
Fabrice
Bonjour,

J'ai bien un soucis avec la replication entre DC , j'ai le msg:l e nom
principal n'est pas correcte.
En plus sur l'autre DC dans les proprietes maitre d'operations j'ai erreur
dans le champ ou il devrait y avoir le nom du controleur.
j'ai utilisé repdom /kcc showreps, dans le detial des paremetres qui me sont
affichéde la commande
; j'ai "acces refuse"
Merci d'avance
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3
Avatar
Fabrice
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien cette

erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas klist;exe j'ai
un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les serveurs

dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le message
de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de le
poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien cette
erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et klist
tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos pour
coptest2 depuis coptest2 devrait être correcte et tu devrais pouvoir
répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le message de
news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal name ) de
coptest2 est incorrect, donc il ne peut pas se connecter à coptest2 et
reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi que
sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs trouvées
dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename, repromotion... )
?

"Fabrice" a écrit dans le message de
news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth" a
écrit dans le message de news:
re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le message
de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut SPN
dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..






















Avatar
Emmanuel Dreux [MS]
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please ne
postez pas d'ignobles bidouilles qui permettent de réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en serveur
membre), changer le nom et ensuite le repromoter en controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton domaine est
en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes in
Active Directory for this computer account and register DNS resource records
for the new computer name. The SPN value of the computer account must be
replicated to all domain controllers for the domain and the DNS resource
records for the new computer name must be distributed to all the
authoritative DNS servers for the domain name. If the updates and
registrations have not occurred prior to removing the old computer name,
then some clients may be unable to locate this computer using the new or old
name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le nom
coptest comme spn pour les 2 dcs." car ton output montrait des spn corrects
pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il a été
incorrectemment mis à jour.

Solution:
===== Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le dc
coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message de
news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien cette

erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas klist;exe
j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de
le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien cette
erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et klist
tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos pour
coptest2 depuis coptest2 devrait être correcte et tu devrais pouvoir
répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le message de
news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal name )
de coptest2 est incorrect, donc il ne peut pas se connecter à coptest2
et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi que
sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs trouvées
dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename, repromotion... )
?

"Fabrice" a écrit dans le message
de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth" a
écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le message
de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut SPN
dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..


























Avatar
Fabrice
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la liste de
serveur et de domaine il n'a pas pu se connecter au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la impossible
de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le message
de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please ne
postez pas d'ignobles bidouilles qui permettent de réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en serveur
membre), changer le nom et ensuite le repromoter en controlleur de
domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton domaine
est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes in
Active Directory for this computer account and register DNS resource
records for the new computer name. The SPN value of the computer account
must be replicated to all domain controllers for the domain and the DNS
resource records for the new computer name must be distributed to all the
authoritative DNS servers for the domain name. If the updates and
registrations have not occurred prior to removing the old computer name,
then some clients may be unable to locate this computer using the new or
old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le nom
coptest comme spn pour les 2 dcs." car ton output montrait des spn
corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il a
été incorrectemment mis à jour.

Solution:
===== > Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le dc
coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message de
news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de
le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien cette

erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas klist;exe
j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de
le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien
cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et klist
tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos pour
coptest2 depuis coptest2 devrait être correcte et tu devrais pouvoir
répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le message de
news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal name )
de coptest2 est incorrect, donc il ne peut pas se connecter à coptest2
et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi que
sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs trouvées
dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le message
de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth" a
écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut SPN
dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..






























Avatar
Emmanuel Dreux [MS]
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un connect to
corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et supprime
l'eventuel objet computer corptest2 restant dans l'ou controlleurs de
domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras probablement sur
corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus haut que
tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message de
news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la liste de
serveur et de domaine il n'a pas pu se connecter au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please ne
postez pas d'ignobles bidouilles qui permettent de réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en serveur
membre), changer le nom et ensuite le repromoter en controlleur de
domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton domaine
est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes in
Active Directory for this computer account and register DNS resource
records for the new computer name. The SPN value of the computer account
must be replicated to all domain controllers for the domain and the DNS
resource records for the new computer name must be distributed to all the
authoritative DNS servers for the domain name. If the updates and
registrations have not occurred prior to removing the old computer name,
then some clients may be unable to locate this computer using the new or
old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le nom
coptest comme spn pour les 2 dcs." car ton output montrait des spn
corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il a
été incorrectemment mis à jour.

Solution:
===== >> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le dc
coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message de
news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de
le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien

cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas klist;exe
j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de
le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien
cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et klist
tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos pour
coptest2 depuis coptest2 devrait être correcte et tu devrais pouvoir
répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le message
de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal name )
de coptest2 est incorrect, donc il ne peut pas se connecter à
coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi que
sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs trouvées
dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le message
de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth" a
écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut SPN
dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..


































Avatar
Fabrice
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un nslookup
erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le message
de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un connect to
corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras probablement sur
corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus haut
que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message de
news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la liste
de serveur et de domaine il n'a pas pu se connecter au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please ne
postez pas d'ignobles bidouilles qui permettent de réaliser
l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en serveur
membre), changer le nom et ensuite le repromoter en controlleur de
domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton domaine
est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes in
Active Directory for this computer account and register DNS resource
records for the new computer name. The SPN value of the computer account
must be replicated to all domain controllers for the domain and the DNS
resource records for the new computer name must be distributed to all
the authoritative DNS servers for the domain name. If the updates and
registrations have not occurred prior to removing the old computer name,
then some clients may be unable to locate this computer using the new or
old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le nom
coptest comme spn pour les 2 dcs." car ton output montrait des spn
corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il a
été incorrectemment mis à jour.

Solution:
===== >>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le dc
coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message de
news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin de
le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien

cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas klist;exe
j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin
de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien
cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et
klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos pour
coptest2 depuis coptest2 devrait être correcte et tu devrais pouvoir
répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le message
de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se connecter à
coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi
que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs trouvées
dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth" a
écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut SPN
dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..






































Avatar
Emmanuel Dreux [MS]
Si tu reçois cette erreur au logon, fais une ouverture de session locale
( choisis cet ordinateur dans la liste déroulante de selection du domaine)
avec le compte admin local et le mot de passe du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message de
news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un nslookup
erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un connect to
corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras probablement
sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus haut
que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message de
news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la liste
de serveur et de domaine il n'a pas pu se connecter au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please ne
postez pas d'ignobles bidouilles qui permettent de réaliser
l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en serveur
membre), changer le nom et ensuite le repromoter en controlleur de
domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton domaine
est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes in
Active Directory for this computer account and register DNS resource
records for the new computer name. The SPN value of the computer
account must be replicated to all domain controllers for the domain and
the DNS resource records for the new computer name must be distributed
to all the authoritative DNS servers for the domain name. If the
updates and registrations have not occurred prior to removing the old
computer name, then some clients may be unable to locate this computer
using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le nom
coptest comme spn pour les 2 dcs." car ton output montrait des spn
corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il a
été incorrectemment mis à jour.

Solution:
===== >>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le
dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message
de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin
de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien

cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas klist;exe
j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a effectué
pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin
de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien
cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et
klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos pour
coptest2 depuis coptest2 devrait être correcte et tu devrais pouvoir
répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le message
de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se connecter
à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi
que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth" a
écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut
SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..










































Avatar
Fabrice
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le message
de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session locale
( choisis cet ordinateur dans la liste déroulante de selection du domaine)
avec le compte admin local et le mot de passe du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message de
news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un nslookup
erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un connect
to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras probablement
sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus haut
que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message de
news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la liste
de serveur et de domaine il n'a pas pu se connecter au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please ne
postez pas d'ignobles bidouilles qui permettent de réaliser
l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes
in Active Directory for this computer account and register DNS
resource records for the new computer name. The SPN value of the
computer account must be replicated to all domain controllers for the
domain and the DNS resource records for the new computer name must be
distributed to all the authoritative DNS servers for the domain name.
If the updates and registrations have not occurred prior to removing
the old computer name, then some clients may be unable to locate this
computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le
nom coptest comme spn pour les 2 dcs." car ton output montrait des spn
corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il
a été incorrectemment mis à jour.

Solution:
===== >>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le
dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message
de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin
de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien

cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout afin
de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien
cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide de
klist.exe ( kit de ressources techniques): klist tickets purge et
klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos
pour coptest2 depuis coptest2 devrait être correcte et tu devrais
pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans
le message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se connecter
à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi
que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut
SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..














































Avatar
Emmanuel Dreux [MS]
peux tu préciser la manipulation exacte qui conduit à cette erreur... je
suis un peu perdu.

"Fabrice" a écrit dans le message de
news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session locale
( choisis cet ordinateur dans la liste déroulante de selection du
domaine) avec le compte admin local et le mot de passe du compte admin
local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message de
news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un nslookup
erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un connect
to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras probablement
sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus haut
que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message
de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la
liste de serveur et de domaine il n'a pas pu se connecter au serveur
coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please
ne postez pas d'ignobles bidouilles qui permettent de réaliser
l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes
in Active Directory for this computer account and register DNS
resource records for the new computer name. The SPN value of the
computer account must be replicated to all domain controllers for the
domain and the DNS resource records for the new computer name must be
distributed to all the authoritative DNS servers for the domain name.
If the updates and registrations have not occurred prior to removing
the old computer name, then some clients may be unable to locate this
computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le
nom coptest comme spn pour les 2 dcs." car ton output montrait des
spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car il
a été incorrectemment mis à jour.

Solution:
===== >>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime le
dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le message
de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout afin
de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien

cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans le
message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien
cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide
de klist.exe ( kit de ressources techniques): klist tickets purge
et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur coptest2.
Les informations étant correctes, la demande de tickets kerberos
pour coptest2 depuis coptest2 devrait être correcte et tu devrais
pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans
le message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se
connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest ainsi
que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2, le
serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut
SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..


















































Avatar
Fabrice
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je rentre
le nom du domaine, il me demande le mot de passe de l'admin et j'ai le
message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des enregistrements Ldap
et Kerberos du coptest2, est-ce normal ? quand je nslookup à partir de
coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le message
de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette erreur... je
suis un peu perdu.

"Fabrice" a écrit dans le message de
news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session locale
( choisis cet ordinateur dans la liste déroulante de selection du
domaine) avec le compte admin local et le mot de passe du compte admin
local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message de
news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un nslookup
erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un connect
to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras probablement
sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus
haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message
de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la
liste de serveur et de domaine il n'a pas pu se connecter au serveur
coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please
ne postez pas d'ignobles bidouilles qui permettent de réaliser
l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN) attributes
in Active Directory for this computer account and register DNS
resource records for the new computer name. The SPN value of the
computer account must be replicated to all domain controllers for
the domain and the DNS resource records for the new computer name
must be distributed to all the authoritative DNS servers for the
domain name. If the updates and registrations have not occurred
prior to removing the old computer name, then some clients may be
unable to locate this computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le
nom coptest comme spn pour les 2 dcs." car ton output montrait des
spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car
il a été incorrectemment mis à jour.

Solution:
===== >>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime
le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a bien

cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme nom
coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans
le message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a
bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide
de klist.exe ( kit de ressources techniques): klist tickets purge
et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets kerberos
pour coptest2 depuis coptest2 devrait être correcte et tu devrais
pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit dans
le message de news: %
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se
connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest
ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2,
le serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans le
message de news:
re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou l'attribut
SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..






















































Avatar
Emmanuel Dreux [MS]
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour coptest1,
coptest2 qui rentrent en conflit avec l'objet computer du DC, eventuellement
un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure toi
d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message de
news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je
rentre le nom du domaine, il me demande le mot de passe de l'admin et j'ai
le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des enregistrements
Ldap et Kerberos du coptest2, est-ce normal ? quand je nslookup à partir
de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette erreur... je
suis un peu perdu.

"Fabrice" a écrit dans le message de
news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de selection
du domaine) avec le compte admin local et le mot de passe du compte
admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message
de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un nslookup
erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe plus
physiquement mais dont l'objet NTDSsetting est toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus
haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le message
de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la
liste de serveur et de domaine il n'a pas pu se connecter au serveur
coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 ( please
ne postez pas d'ignobles bidouilles qui permettent de réaliser
l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The SPN
value of the computer account must be replicated to all domain
controllers for the domain and the DNS resource records for the new
computer name must be distributed to all the authoritative DNS
servers for the domain name. If the updates and registrations have
not occurred prior to removing the old computer name, then some
clients may be unable to locate this computer using the new or old
name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a le
nom coptest comme spn pour les 2 dcs." car ton output montrait des
spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car
il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime
le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a

bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide de

klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés les

serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme
nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans
le message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a
bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à l'aide
de klist.exe ( kit de ressources techniques): klist tickets purge
et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets kerberos
pour coptest2 depuis coptest2 devrait être correcte et tu devrais
pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se
connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest
ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2,
le serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans le
message de news:
re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans le
message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..


























































1 2 3