Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory impossible de repliquer AD

impossible de repliquer AD

27 réponses
Avatar
Fabrice
Bonjour,

J'ai bien un soucis avec la replication entre DC , j'ai le msg:l e nom
principal n'est pas correcte.
En plus sur l'autre DC dans les proprietes maitre d'operations j'ai erreur
dans le champ ou il devrait y avoir le nom du controleur.
j'ai utilisé repdom /kcc showreps, dans le detial des paremetres qui me sont
affichéde la commande
; j'ai "acces refuse"
Merci d'avance
Signaler un problème avec ce contenu

7 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3
Avatar
Fabrice
J'ai regarde dans adsedit au niveau du SPN rien qui parle de coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans les log
qui dit DHCPServer 1059 il neut pas consulter le service d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je l'ai
supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1 et sur
le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le message
de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour coptest1,
coptest2 qui rentrent en conflit avec l'objet computer du DC,
eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure toi
d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message de
news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je
rentre le nom du domaine, il me demande le mot de passe de l'admin et
j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des enregistrements
Ldap et Kerberos du coptest2, est-ce normal ? quand je nslookup à partir
de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette erreur... je
suis un peu perdu.

"Fabrice" a écrit dans le message de
news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de selection
du domaine) avec le compte admin local et le mot de passe du compte
admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message
de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe
plus physiquement mais dont l'objet NTDSsetting est toujours dans
l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou sont
enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus
haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la
liste de serveur et de domaine il n'a pas pu se connecter au
serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans
le message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 (
please ne postez pas d'ignobles bidouilles qui permettent de
réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The SPN
value of the computer account must be replicated to all domain
controllers for the domain and the DNS resource records for the
new computer name must be distributed to all the authoritative DNS
servers for the domain name. If the updates and registrations have
not occurred prior to removing the old computer name, then some
clients may be unable to locate this computer using the new or old
name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a
le nom coptest comme spn pour les 2 dcs." car ton output montrait
des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom car
il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ), supprime
le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a

bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide

de
klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés

les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme
nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit dans
le message de news: %
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a
bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets kerberos
pour coptest2 depuis coptest2 devrait être correcte et tu
devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service principal
name ) de coptest2 est incorrect, donc il ne peut pas se
connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest
ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom coptest2,
le serveur Coptest est le principal et le coptest2 est un DC
supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans le
message de news:
re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans
le message de news:
Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..






























































Avatar
Emmanuel Dreux [MS]
donc plus aucun objet coptest1, coptest2... dans l'AD.

Fais un net stop/net start netlogon sur coptest.

Vérifie tes enregistrements DNS pour coptest. ( vérifie que tous les
enregistrements de %windir%system32confignetlogon.dns sont présents dans
ton dns).
Supprime tous les enregistrements relatifs à corptest1 et corptest2 dans le
dns.

sur corptest
lance
nltest /dclist:domainname
nltest /DSGETDC:DomainName
dcdiag

sur corptest1 ou sur ton poste xp
nltest /dclist:domainname
nltest /DSGETDC:DomainName

Regarde les eventuelles erreurs intéressantes.

Je ne pourrais pas beaucoup plus t'aider dans ce newsgroup.
Si ça ne résoud pas ton problème, il faudrait l'analyse d'une trace réseau
lors de la tentative de connection au dc pour y voir plus clair...

Cordialement,


"Fabrice" a écrit dans le message de
news: %
J'ai regarde dans adsedit au niveau du SPN rien qui parle de coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans les log
qui dit DHCPServer 1059 il neut pas consulter le service d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été
trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je l'ai
supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1 et sur
le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour coptest1,
coptest2 qui rentrent en conflit avec l'objet computer du DC,
eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure toi
d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message de
news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je
rentre le nom du domaine, il me demande le mot de passe de l'admin et
j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des enregistrements
Ldap et Kerberos du coptest2, est-ce normal ? quand je nslookup à partir
de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette erreur...
je suis un peu perdu.

"Fabrice" a écrit dans le message
de news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de selection
du domaine) avec le compte admin local et le mot de passe du compte
admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le message
de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe
plus physiquement mais dont l'objet NTDSsetting est toujours dans
l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest) et
supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou
sont enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus
haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la
liste de serveur et de domaine il n'a pas pu se connecter au
serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans
le message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 (
please ne postez pas d'ignobles bidouilles qui permettent de
réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The SPN
value of the computer account must be replicated to all domain
controllers for the domain and the DNS resource records for the
new computer name must be distributed to all the authoritative
DNS servers for the domain name. If the updates and registrations
have not occurred prior to removing the old computer name, then
some clients may be unable to locate this computer using the new
or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a
le nom coptest comme spn pour les 2 dcs." car ton output montrait
des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom
car il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ),
supprime le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a

bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide

de
klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés

les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme
nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a
bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets
kerberos pour coptest2 depuis coptest2 devrait être correcte et
tu devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service
principal name ) de coptest2 est incorrect, donc il ne peut
pas se connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest
ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans le
message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom
coptest2, le serveur Coptest est le principal et le coptest2
est un DC supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans
le message de news:
re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans
le message de news:

Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..


































































Avatar
Fabrice
J'ai une erreur lors dcdiag
coptest is not a server trust account
et une autre qui parle du sysvol:
failing sysvol replication problem may cause a group policy.
Peux tu m'aider STP ?

"Emmanuel Dreux [MS]" a écrit dans le message
de news: ON$
donc plus aucun objet coptest1, coptest2... dans l'AD.

Fais un net stop/net start netlogon sur coptest.

Vérifie tes enregistrements DNS pour coptest. ( vérifie que tous les
enregistrements de %windir%system32confignetlogon.dns sont présents
dans ton dns).
Supprime tous les enregistrements relatifs à corptest1 et corptest2 dans
le dns.

sur corptest
lance
nltest /dclist:domainname
nltest /DSGETDC:DomainName
dcdiag

sur corptest1 ou sur ton poste xp
nltest /dclist:domainname
nltest /DSGETDC:DomainName

Regarde les eventuelles erreurs intéressantes.

Je ne pourrais pas beaucoup plus t'aider dans ce newsgroup.
Si ça ne résoud pas ton problème, il faudrait l'analyse d'une trace réseau
lors de la tentative de connection au dc pour y voir plus clair...

Cordialement,


"Fabrice" a écrit dans le message de
news: %
J'ai regarde dans adsedit au niveau du SPN rien qui parle de coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans les
log qui dit DHCPServer 1059 il neut pas consulter le service d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été
trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je l'ai
supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1 et
sur le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour coptest1,
coptest2 qui rentrent en conflit avec l'objet computer du DC,
eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure toi
d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message de
news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je
rentre le nom du domaine, il me demande le mot de passe de l'admin et
j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des enregistrements
Ldap et Kerberos du coptest2, est-ce normal ? quand je nslookup à
partir de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette erreur...
je suis un peu perdu.

"Fabrice" a écrit dans le message
de news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de
selection du domaine) avec le compte admin local et le mot de passe
du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le
message de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai
l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans
le message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe
plus physiquement mais dont l'objet NTDSsetting est toujours dans
l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest)
et supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou
sont enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu plus
haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans la
liste de serveur et de domaine il n'a pas pu se connecter au
serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit dans
le message de news:
Tu ne peux pas renommer un DC dans un domaine windows 2000 (
please ne postez pas d'ignobles bidouilles qui permettent de
réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The SPN
value of the computer account must be replicated to all domain
controllers for the domain and the DNS resource records for the
new computer name must be distributed to all the authoritative
DNS servers for the domain name. If the updates and
registrations have not occurred prior to removing the old
computer name, then some clients may be unable to locate this
computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y a
le nom coptest comme spn pour les 2 dcs." car ton output
montrait des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom
car il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et le
reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ),
supprime le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement l'outpout
afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a

bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à l'aide

de
klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés

les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait comme
nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu a
bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets
kerberos pour coptest2 depuis coptest2 devrait être correcte
et tu devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser les
informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS ===================================== >>>>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service
principal name ) de coptest2 est incorrect, donc il ne peut
pas se connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest
ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans
le message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom
coptest2, le serveur Coptest est le principal et le
coptest2 est un DC supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans
le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit dans
le message de news:

Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..






































































Avatar
Emmanuel Dreux [MS]
ça semble toujours être du à un compte dupliqué.

Lance la commande suivante:
Ldifde -f c:output.txt -d "DC=domain,DC=dom" -r
"sAMAccountName=corptest$" -p subtree -l
dn,sAMAccountName,userAccountControl

ça va lister tous les comptes qui ont pour samaccountname la valeur
corptest$.
le useraccountcontrol du dc s'il n'y en a qu'un de trouvé doit avoir la
valeur 532480.


"Fabrice" a écrit dans le message de
news:
J'ai une erreur lors dcdiag
coptest is not a server trust account
et une autre qui parle du sysvol:
failing sysvol replication problem may cause a group policy.
Peux tu m'aider STP ?

"Emmanuel Dreux [MS]" a écrit dans le
message de news: ON$
donc plus aucun objet coptest1, coptest2... dans l'AD.

Fais un net stop/net start netlogon sur coptest.

Vérifie tes enregistrements DNS pour coptest. ( vérifie que tous les
enregistrements de %windir%system32confignetlogon.dns sont présents
dans ton dns).
Supprime tous les enregistrements relatifs à corptest1 et corptest2 dans
le dns.

sur corptest
lance
nltest /dclist:domainname
nltest /DSGETDC:DomainName
dcdiag

sur corptest1 ou sur ton poste xp
nltest /dclist:domainname
nltest /DSGETDC:DomainName

Regarde les eventuelles erreurs intéressantes.

Je ne pourrais pas beaucoup plus t'aider dans ce newsgroup.
Si ça ne résoud pas ton problème, il faudrait l'analyse d'une trace
réseau lors de la tentative de connection au dc pour y voir plus clair...

Cordialement,


"Fabrice" a écrit dans le message de
news: %
J'ai regarde dans adsedit au niveau du SPN rien qui parle de coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même
msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans les
log qui dit DHCPServer 1059 il neut pas consulter le service d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été
trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je
l'ai supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1 et
sur le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour coptest1,
coptest2 qui rentrent en conflit avec l'objet computer du DC,
eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure
toi d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message
de news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je
rentre le nom du domaine, il me demande le mot de passe de l'admin et
j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des
enregistrements Ldap et Kerberos du coptest2, est-ce normal ? quand je
nslookup à partir de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette erreur...
je suis un peu perdu.

"Fabrice" a écrit dans le message
de news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans le
message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de
selection du domaine) avec le compte admin local et le mot de passe
du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le
message de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai
l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans
le message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe
plus physiquement mais dont l'objet NTDSsetting est toujours dans
l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest)
et supprime l'eventuel objet computer corptest2 restant dans l'ou
controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou
sont enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu
plus haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans
la liste de serveur et de domaine il n'a pas pu se connecter au
serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais la
impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit
dans le message de news:

Tu ne peux pas renommer un DC dans un domaine windows 2000 (
please ne postez pas d'ignobles bidouilles qui permettent de
réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser en
serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de ton
domaine est en Windows 2003, tu peux désormais renommer ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The
SPN value of the computer account must be replicated to all
domain controllers for the domain and the DNS resource records
for the new computer name must be distributed to all the
authoritative DNS servers for the domain name. If the updates
and registrations have not occurred prior to removing the old
computer name, then some clients may be unable to locate this
computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y
a le nom coptest comme spn pour les 2 dcs." car ton output
montrait des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom
car il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et
le reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ),
supprime le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu a

bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à

l'aide de
klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et deplacés

les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait
comme nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu
a bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets
kerberos pour coptest2 depuis coptest2 devrait être correcte
et tu devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser
les informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans le
message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2 dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS
===================================== >>>>>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service
principal name ) de coptest2 est incorrect, donc il ne peut
pas se connecter à coptest2 et reçoit un access denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur coptest
ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les erreurs
trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans
le message de news:
Je vois sur le 2eme DC le serviceprincipal a le nom
coptest2, le serveur Coptest est le principal et le
coptest2 est un DC supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit dans
le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit
dans le message de news:

Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et autres
Merci d'avnce,
Fabrice..










































































Avatar
Fabrice
Bonjour,
J'ai refait un dcpromo de mon DC principal coptest, remis une nouvelle AD
avec un autre nom de domaine test.fr.
Relance ensuite un dcpromo sur l'autre coptest1.c'est OK.
Par contre les sites ne se repliquent toujours pas à partir de coptest1 DC
complementaire.
J'ai un autre msg:erreur lors de la tentative de synchro de contexte de
nommage ....
On va bien y arriver ???
Merci encore

"Emmanuel Dreux [MS]" a écrit dans le message
de news: OGo$
ça semble toujours être du à un compte dupliqué.

Lance la commande suivante:
Ldifde -f c:output.txt -d "DC=domain,DC=dom" -r
"sAMAccountName=corptest$" -p subtree -l
dn,sAMAccountName,userAccountControl

ça va lister tous les comptes qui ont pour samaccountname la valeur
corptest$.
le useraccountcontrol du dc s'il n'y en a qu'un de trouvé doit avoir la
valeur 532480.


"Fabrice" a écrit dans le message de
news:
J'ai une erreur lors dcdiag
coptest is not a server trust account
et une autre qui parle du sysvol:
failing sysvol replication problem may cause a group policy.
Peux tu m'aider STP ?

"Emmanuel Dreux [MS]" a écrit dans le
message de news: ON$
donc plus aucun objet coptest1, coptest2... dans l'AD.

Fais un net stop/net start netlogon sur coptest.

Vérifie tes enregistrements DNS pour coptest. ( vérifie que tous les
enregistrements de %windir%system32confignetlogon.dns sont présents
dans ton dns).
Supprime tous les enregistrements relatifs à corptest1 et corptest2 dans
le dns.

sur corptest
lance
nltest /dclist:domainname
nltest /DSGETDC:DomainName
dcdiag

sur corptest1 ou sur ton poste xp
nltest /dclist:domainname
nltest /DSGETDC:DomainName

Regarde les eventuelles erreurs intéressantes.

Je ne pourrais pas beaucoup plus t'aider dans ce newsgroup.
Si ça ne résoud pas ton problème, il faudrait l'analyse d'une trace
réseau lors de la tentative de connection au dc pour y voir plus
clair...

Cordialement,


"Fabrice" a écrit dans le message de
news: %
J'ai regarde dans adsedit au niveau du SPN rien qui parle de coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même
msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans les
log qui dit DHCPServer 1059 il neut pas consulter le service
d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été
trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je
l'ai supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1 et
sur le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour coptest1,
coptest2 qui rentrent en conflit avec l'objet computer du DC,
eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure
toi d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message
de news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je fais
propriété de poste de travail-nom de l'ordi, dans le champ domaine je
rentre le nom du domaine, il me demande le mot de passe de l'admin et
j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des
enregistrements Ldap et Kerberos du coptest2, est-ce normal ? quand
je nslookup à partir de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette
erreur... je suis un peu perdu.

"Fabrice" a écrit dans le
message de news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans
le message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de
selection du domaine) avec le compte admin local et le mot de
passe du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le
message de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai
l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit dans
le message de news: OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui n'existe
plus physiquement mais dont l'objet NTDSsetting est toujours
dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur corptest)
et supprime l'eventuel objet computer corptest2 restant dans
l'ou controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le
même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou
sont enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu
plus haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans
la liste de serveur et de domaine il n'a pas pu se connecter au
serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais
la impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit
dans le message de news:

Tu ne peux pas renommer un DC dans un domaine windows 2000 (
please ne postez pas d'ignobles bidouilles qui permettent de
réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser
en serveur membre), changer le nom et ensuite le repromoter en
controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de
ton domaine est en Windows 2003, tu peux désormais renommer
ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The
SPN value of the computer account must be replicated to all
domain controllers for the domain and the DNS resource records
for the new computer name must be distributed to all the
authoritative DNS servers for the domain name. If the updates
and registrations have not occurred prior to removing the old
computer name, then some clients may be unable to locate this
computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il y
a le nom coptest comme spn pour les 2 dcs." car ton output
montrait des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien nom
car il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et
le reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ),
supprime le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu

a bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à

l'aide de
klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu a
effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et

deplacés les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait
comme nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name", tu
a bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets
kerberos pour coptest2 depuis coptest2 devrait être correcte
et tu devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser
les informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu
a effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans
le message de news:
Sur coptest2 il y a le nom coptest comme spn pour les 2
dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR
ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS
===================================== >>>>>>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID: 8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a
écrit dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service
principal name ) de coptest2 est incorrect, donc il ne
peut pas se connecter à coptest2 et reçoit un access
denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur
coptest ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les
erreurs trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit dans
le message de news:

Je vois sur le 2eme DC le serviceprincipal a le nom
coptest2, le serveur Coptest est le principal et le
coptest2 est un DC supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2 ?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit
dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers, DC=
ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit
dans le message de news:

Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et
autres
Merci d'avnce,
Fabrice..














































































Avatar
Emmanuel Dreux [MS]
Bonjour Fabrice,

je te propose de démarrer une nouvelle conversation en postant ton message
d'erreur exact car le problème est maintenant différent de celui posté
initialement.

Pour diagnostiquer les problèmes de réplication, consulte les event logs et
note les eventuels messages d'erreur.
Lance la commande repadmin /showreps sur les 2 dc et dans la section
inbound, note les erreurs relatives à la réplication de chaque partition.

Cordialement,
Emmanuel.


"Fabrice" a écrit dans le message de
news: edKvf$
Bonjour,
J'ai refait un dcpromo de mon DC principal coptest, remis une nouvelle AD
avec un autre nom de domaine test.fr.
Relance ensuite un dcpromo sur l'autre coptest1.c'est OK.
Par contre les sites ne se repliquent toujours pas à partir de coptest1 DC
complementaire.
J'ai un autre msg:erreur lors de la tentative de synchro de contexte de
nommage ....
On va bien y arriver ???
Merci encore

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OGo$
ça semble toujours être du à un compte dupliqué.

Lance la commande suivante:
Ldifde -f c:output.txt -d "DC=domain,DC=dom" -r
"sAMAccountName=corptest$" -p subtree -l
dn,sAMAccountName,userAccountControl

ça va lister tous les comptes qui ont pour samaccountname la valeur
corptest$.
le useraccountcontrol du dc s'il n'y en a qu'un de trouvé doit avoir la
valeur 532480.


"Fabrice" a écrit dans le message de
news:
J'ai une erreur lors dcdiag
coptest is not a server trust account
et une autre qui parle du sysvol:
failing sysvol replication problem may cause a group policy.
Peux tu m'aider STP ?

"Emmanuel Dreux [MS]" a écrit dans le
message de news: ON$
donc plus aucun objet coptest1, coptest2... dans l'AD.

Fais un net stop/net start netlogon sur coptest.

Vérifie tes enregistrements DNS pour coptest. ( vérifie que tous les
enregistrements de %windir%system32confignetlogon.dns sont présents
dans ton dns).
Supprime tous les enregistrements relatifs à corptest1 et corptest2
dans le dns.

sur corptest
lance
nltest /dclist:domainname
nltest /DSGETDC:DomainName
dcdiag

sur corptest1 ou sur ton poste xp
nltest /dclist:domainname
nltest /DSGETDC:DomainName

Regarde les eventuelles erreurs intéressantes.

Je ne pourrais pas beaucoup plus t'aider dans ce newsgroup.
Si ça ne résoud pas ton problème, il faudrait l'analyse d'une trace
réseau lors de la tentative de connection au dc pour y voir plus
clair...

Cordialement,


"Fabrice" a écrit dans le message
de news: %
J'ai regarde dans adsedit au niveau du SPN rien qui parle de coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même
msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans les
log qui dit DHCPServer 1059 il neut pas consulter le service
d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été
trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je
l'ai supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1 et
sur le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour
coptest1, coptest2 qui rentrent en conflit avec l'objet computer du
DC, eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure
toi d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le message
de news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je
fais propriété de poste de travail-nom de l'ordi, dans le champ
domaine je rentre le nom du domaine, il me demande le mot de passe
de l'admin et j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des
enregistrements Ldap et Kerberos du coptest2, est-ce normal ? quand
je nslookup à partir de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans le
message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette
erreur... je suis un peu perdu.

"Fabrice" a écrit dans le
message de news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans
le message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de session
locale ( choisis cet ordinateur dans la liste déroulante de
selection du domaine) avec le compte admin local et le mot de
passe du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le
message de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai
l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit
dans le message de news:
OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui
n'existe plus physiquement mais dont l'objet NTDSsetting est
toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur
corptest) et supprime l'eventuel objet computer corptest2
restant dans l'ou controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le
même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS ou
sont enregistrés les enregistrements srv de l'AD, tu pointeras
probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu
plus haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2 dans
la liste de serveur et de domaine il n'a pas pu se connecter
au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais
la impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met serveur
failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit
dans le message de news:

Tu ne peux pas renommer un DC dans un domaine windows 2000
( please ne postez pas d'ignobles bidouilles qui permettent
de réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser
en serveur membre), changer le nom et ensuite le repromoter
en controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de
ton domaine est en Windows 2003, tu peux désormais renommer
ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The
SPN value of the computer account must be replicated to all
domain controllers for the domain and the DNS resource
records for the new computer name must be distributed to all
the authoritative DNS servers for the domain name. If the
updates and registrations have not occurred prior to removing
the old computer name, then some clients may be unable to
locate this computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il
y a le nom coptest comme spn pour les 2 dcs." car ton output
montrait des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien
nom car il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2 et
le reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ),
supprime le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans le
message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name", tu

a bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à

l'aide de
klist.exe ( kit de ressources techniques): Je ne trouve pas
klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu
a effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et

deplacés les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait
comme nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a écrit
dans le message de news:
%
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name",
tu a bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets
kerberos pour coptest2 depuis coptest2 devrait être
correcte et tu devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser
les informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que tu
a effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans
le message de news:

Sur coptest2 il y a le nom coptest comme spn pour les 2
dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto

ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L
coptest2
Registered ServicePrincipalNames for CN=COPTEST2,OU=Domain
Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS
===================================== >>>>>>>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID:
8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID:
8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID:
8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result 5
(0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a
écrit dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service
principal name ) de coptest2 est incorrect, donc il ne
peut pas se connecter à coptest2 et reçoit un access
denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur
coptest ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les
erreurs trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit
dans le message de news:

Je vois sur le 2eme DC le serviceprincipal a le nom
coptest2, le serveur Coptest est le principal et le
coptest2 est un DC supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2
?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit
dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit sur
CN=le_controleur_de_domaine, OU= Domain Controllers,
DC= ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit
dans le message de news:

Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et
autres
Merci d'avnce,
Fabrice..


















































































Avatar
Fabrice
Merci Merci et encore Merci,
Je le fais tout de suite.
@+
"Emmanuel Dreux [MS]" a écrit dans le message
de news: %
Bonjour Fabrice,

je te propose de démarrer une nouvelle conversation en postant ton message
d'erreur exact car le problème est maintenant différent de celui posté
initialement.

Pour diagnostiquer les problèmes de réplication, consulte les event logs
et note les eventuels messages d'erreur.
Lance la commande repadmin /showreps sur les 2 dc et dans la section
inbound, note les erreurs relatives à la réplication de chaque partition.

Cordialement,
Emmanuel.


"Fabrice" a écrit dans le message de
news: edKvf$
Bonjour,
J'ai refait un dcpromo de mon DC principal coptest, remis une nouvelle AD
avec un autre nom de domaine test.fr.
Relance ensuite un dcpromo sur l'autre coptest1.c'est OK.
Par contre les sites ne se repliquent toujours pas à partir de coptest1
DC complementaire.
J'ai un autre msg:erreur lors de la tentative de synchro de contexte de
nommage ....
On va bien y arriver ???
Merci encore

"Emmanuel Dreux [MS]" a écrit dans le
message de news: OGo$
ça semble toujours être du à un compte dupliqué.

Lance la commande suivante:
Ldifde -f c:output.txt -d "DC=domain,DC=dom" -r
"sAMAccountName=corptest$" -p subtree -l
dn,sAMAccountName,userAccountControl

ça va lister tous les comptes qui ont pour samaccountname la valeur
corptest$.
le useraccountcontrol du dc s'il n'y en a qu'un de trouvé doit avoir la
valeur 532480.


"Fabrice" a écrit dans le message de
news:
J'ai une erreur lors dcdiag
coptest is not a server trust account
et une autre qui parle du sysvol:
failing sysvol replication problem may cause a group policy.
Peux tu m'aider STP ?

"Emmanuel Dreux [MS]" a écrit dans le
message de news: ON$
donc plus aucun objet coptest1, coptest2... dans l'AD.

Fais un net stop/net start netlogon sur coptest.

Vérifie tes enregistrements DNS pour coptest. ( vérifie que tous les
enregistrements de %windir%system32confignetlogon.dns sont présents
dans ton dns).
Supprime tous les enregistrements relatifs à corptest1 et corptest2
dans le dns.

sur corptest
lance
nltest /dclist:domainname
nltest /DSGETDC:DomainName
dcdiag

sur corptest1 ou sur ton poste xp
nltest /dclist:domainname
nltest /DSGETDC:DomainName

Regarde les eventuelles erreurs intéressantes.

Je ne pourrais pas beaucoup plus t'aider dans ce newsgroup.
Si ça ne résoud pas ton problème, il faudrait l'analyse d'une trace
réseau lors de la tentative de connection au dc pour y voir plus
clair...

Cordialement,


"Fabrice" a écrit dans le message
de news: %
J'ai regarde dans adsedit au niveau du SPN rien qui parle de
coptest2.
Par contre meme avec un autre pc XP pro sur le m^me LAN j'ai le même
msg.
J'ai aussi sur le coptest un DHCP il reste bloqué avec un msg dans
les log qui dit DHCPServer 1059 il neut pas consulter le service
d'annuaire.
Quand j'ouvre une GPO sur coptest j'ai msg:chemin reseau n'a pas été
trouvé.
J'ai vu que dans site et ad il restait le serveur coptest2, alors je
l'ai supprimé.
J'ai essayé de faire aussi un ipconfig /registerdns sur le coptest1
et sur le pc XP j'ai le msg:W32Time 17
il ne trouve pas le serveur DNS.

Merci d'avance,
Fabrice.

"Emmanuel Dreux [MS]" a écrit dans le
message de news:
Bonjour Fabrice,

As-tu un message d'erreur plus clair dans l'event log?
Si tu as tenté un dcpromo, les logs dcpromo.log et dcpromoui.log ont
peut-être logué un message d'erreur plus complet.

A priori, le message d'erreur indique toujours un problème de SPN.
A mon avis, il y a toujours un objet computer dans l'AD pour
coptest1, coptest2 qui rentrent en conflit avec l'objet computer du
DC, eventuellement un objet coptest dupliqué.

Cherche dans l'OU domain controller et dans l'OU computers et assure
toi d'avoir tout bien nettoyé.


"Fabrice" a écrit dans le
message de news:
Bonjour Emmanuel,
En fait je veux que coptest1 devienne membre du domaine, donc je
fais propriété de poste de travail-nom de l'ordi, dans le champ
domaine je rentre le nom du domaine, il me demande le mot de passe
de l'admin et j'ai le message:
"echec d'ouverture de session; le nom cible est incorrect"
Meme chose si je lance le dcpromo.
Mais quand je regarde dans mon DNS je vois toujours des
enregistrements Ldap et Kerberos du coptest2, est-ce normal ? quand
je nslookup à partir de coptest1 pour coptest1 il met :
serveur:coptest
ip:192.168.1.4
coptest ne parvient pas à trouver coptest1:serveur failed.

Je pense à un pb DNS ?

Merci encore pour ton aide.

"Emmanuel Dreux [MS]" a écrit dans
le message de news: eOvPgu$
peux tu préciser la manipulation exacte qui conduit à cette
erreur... je suis un peu perdu.

"Fabrice" a écrit dans le
message de news: euPG9o$
j'ai fait mais pas ok.
toujours meme msg
"Emmanuel Dreux [MS]" a écrit dans
le message de news: ebwb4L$
Si tu reçois cette erreur au logon, fais une ouverture de
session locale ( choisis cet ordinateur dans la liste déroulante
de selection du domaine) avec le compte admin local et le mot de
passe du compte admin local.

Puis passe ensuite cette machine en workgroup puis reboote.
Ensuite repromote le.


"Fabrice" a écrit dans le
message de news: %23kzDw%23%
j'ai renommé le coptest2 en coptest1
reboot, tout est ok je ping bien coptest.xx.xx.fr
C'est ok pour ntdsutil
Supprime coptest2 sur active directory users and computers OK
Quand je veux passer le coptest1 en membre du domaine j'ai
l'erreur:
echec d'ouverture de session; le nom cible est incorrect.
j'ai verifié la config ip de la carte tout est ok, je fais un
nslookup erreur server failed,
j'ai refais le DNS sur DC coptest mais toujours rien.

Encore merci

"Emmanuel Dreux [MS]" a écrit
dans le message de news:
OF3Gbj%
C'est normal qu'il n'ai pas pû se connecter à corptest2.
La procédure est faite pour supprimer de l'ad un DC qui
n'existe plus physiquement mais dont l'objet NTDSsetting est
toujours dans l'AD.

Sur corptest, de tête, dans ntdsutil, metadatacleanup, fais un
connect to corptest ( càd sur lui même )
list sites
select site... ( ou était placé corptest2 )
list servers in site
select server corptest2
quit... quit.
remove selected server
puis exit...

Lance alors active directory users and computers ( sur
corptest) et supprime l'eventuel objet computer corptest2
restant dans l'ou controlleurs de domaine.

Ensuite repromote ton dc soit avec un nouveau, soit avec le
même.
Pour promoter, dans la config ip, tu dois pointer sur le DNS
ou sont enregistrés les enregistrements srv de l'AD, tu
pointeras probablement sur corptest si corptest est DC.

C'est presque gagné...
Vérifie ensuite que tes rôles FSMO sont toujours vus, j'ai vu
plus haut que tu reportais une erreur à ce propos...

"Fabrice" a écrit dans le
message de news: %23JXPOF%
Emmanuel,
J'ai fais le dcpromo, c'est OK.
Quand j'ai voulu faire ndsutil pour supprimer le coptest2
dans la liste de serveur et de domaine il n'a pas pu se
connecter au serveur coptest2
Quand j'ai voulu faire le dcpromo pour le remettre en DC mais
la impossible de contacter le controleur coptest.
quand je fais un nslookup à partir du coptest2, il met
serveur failed.
Merci d'avance,

"Emmanuel Dreux [MS]" a écrit
dans le message de news:

Tu ne peux pas renommer un DC dans un domaine windows 2000
( please ne postez pas d'ignobles bidouilles qui permettent
de réaliser l'opération).

La seule possibilité c'est de dépromoter le DC ( le repasser
en serveur membre), changer le nom et ensuite le repromoter
en controlleur de domaine.
cf http://support.microsoft.com/kb/296592/en-us

Par contre, si ( et seulement si ) le niveau fonctionnel de
ton domaine est en Windows 2003, tu peux désormais renommer
ton DC:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/aad1169a-f0d2-47d5-b0ea-989081ce62be.mspx

netdom computername CurrentComputerName /add:NewComputerName

This command will update the service principal name (SPN)
attributes in Active Directory for this computer account and
register DNS resource records for the new computer name. The
SPN value of the computer account must be replicated to all
domain controllers for the domain and the DNS resource
records for the new computer name must be distributed to all
the authoritative DNS servers for the domain name. If the
updates and registrations have not occurred prior to
removing the old computer name, then some clients may be
unable to locate this computer using the new or old name.
Je n'avais pas compris le sens de ta phrase "Sur coptest2 il
y a le nom coptest comme spn pour les 2 dcs." car ton output
montrait des spn corrects pour coptest2.
Sur coptest2, ton spn doit toujours être celui de l'ancien
nom car il a été incorrectemment mis à jour.

Solution:
===== >>>>>>>>>>>>>>> Pour résoudre ton problème, il faut casser ton dc coptest2
et le reconstruire correctemment:
- sur coptest 2: dcpromo /forceremoval
- sur coptest: en utilisant ntdsutil ( metadatacleanup ),
supprime le dc coptest2:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/1a7522c3-ac6e-4f83-af5b-9be87b47a95d.mspx
- force la réplication sur les eventuels autres DC.
- donne le nom de ton choix à coptest2.
- repromote le.

Cordialement,


"Fabrice" a écrit dans
le message de news:
Bonjour,
le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le
poster dans ce newsgroup?OUI
Je ne vois pas l'erreur "invalid Service Principal Name",

tu a bien cette
erreur reportée?NON
Dans une invite de commande, purge les ticket kerberos à

l'aide de
klist.exe ( kit de ressources techniques): Je ne trouve
pas klist;exe j'ai un cdrom W2003.
Ou puis-je le trouver ?


Maintenant, il faudrait comprendre les manipulations que tu
a effectué pour
arriver à cette situation.
En fait,J'ai créé des sous reseaux dans site et AD et

deplacés les serveurs dans les sites.
Mais je crois aussi que j'ai renomé le coptest2 qui avait
comme nom coptest.

Merci d'avance,


"Emmanuel Dreux [MS]" a
écrit dans le message de news:
%
Bonjour Fabrice,

il me semble que sur coptest, les entrées suivantes sont
incorrectes:
HOST/coptest2$
HOST/coptest2$.toto

le domaine toto, c'est toi qui a modifié manuellement
l'outpout afin de le poster dans ce newsgroup?
Je ne vois pas l'erreur "invalid Service Principal Name",
tu a bien cette erreur reportée?

Si c'est le cas, je te propose la manipulation suivante.
Sur coptest, ouvre une session administrateur du domaine.
- Dans une invite de commande, purge les ticket kerberos à
l'aide de klist.exe ( kit de ressources techniques): klist
tickets purge et klist tgt purge.
- Ensuite arrête le service KDC ( kerberos ) sur coptest.
- Ensuite force la réplication sur coptest avec coptest2.
- redémarre le service KDC.

Une demande de tickets kerberos devrait être effectué sur
coptest2.
Les informations étant correctes, la demande de tickets
kerberos pour coptest2 depuis coptest2 devrait être
correcte et tu devrais pouvoir répliquer correctement.
Par réplication, les bonnes informations devraient écraser
les informations erronées sur coptest.

Maintenant, il faudrait comprendre les manipulations que
tu a effectué pour arriver à cette situation.
Il y a peut-être autre chose....


"Fabrice" a écrit dans
le message de news:

Sur coptest2 il y a le nom coptest comme spn pour les 2
dcs.

a partir de coptest2
D:Documents and SettingsAdministrateur.toto>setspn -L
coptest2
Registered ServicePrincipalNames for
CN=COPTEST2,OU=Domain Controllers,DC=toto,DC=FR:
GC/coptest2.toto-VOYAGES.FR/toto.FR
HOST/coptest2.toto.FR/toto.FR
HOST/coptest2.toto.FR/toto

ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/toto.fr

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto-.FR
HOST/COPTEST2
HOST/coptest2.toto.FR
A partir de coptest
C:Documents and SettingsAdministrateur>setspn -L
coptest2
Registered ServicePrincipalNames for
CN=COPTEST2,OU=Domain Controllers,DC=toto,DC=FR:
HOST/coptest2$
HOST/coptest2$.toto
ldap/coptest2.toto.FR/toto
ldap/COPTEST2
ldap/coptest2.toto.FR
ldap/coptest2.toto.FR/toto.FR

ldap/8335340f-c9cf-4bd7-8e61-238692c04696._msdcs.toto.FR
HOST/coptest2.toto.FR/toto
HOST/coptest2.toto.FR/toto.FR
GC/coptest2.toto.FR/toto.FR

E3514235-4B06-11D1-AB04-00C04FC2DCD2/8335340f-c9cf-4bd7-8e61-238692c04696/GR
AND-LARGE.FR

NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/coptest2.toto.FR
HOST/COPTEST2
HOST/coptest2.toto.FR

C:Documents and SettingsAdministrateur>
==== INBOUND NEIGHBORS
===================================== >>>>>>>>>>>>>>>>>>
DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID:
8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result
5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID:
8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result
5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:54.

CN=Schema,CN=Configuration,DC=GRAND-LARGE-VOYAGES,DC=FR
Premier-Site-par-defautCOPTEST2 via RPC
DC object GUID:
8335340f-c9cf-4bd7-8e61-238692c04696
Last attempt @ 2005-08-22 18:07:35 failed, result
5 (0x5):
Accès refusé.
46 consecutive failure(s).
Last success @ 2005-08-19 09:27:55.

Source: Premier-Site-par-defautCOPTEST2
******* 45 CONSECUTIVE FAILURES since 2005-08-19 09:27:55
Last error: 5 (0x5):
Accès refusé.

C:Documents and SettingsAdministrateur>

Et voila.

Fabrice.


"Emmanuel Dreux [MS]" a
écrit dans le message de news:
%
Pour résumer, tu as 2 dc.
Coptest logue une erreur disant que le spn ( service
principal name ) de coptest2 est incorrect, donc il ne
peut pas se connecter à coptest2 et reçoit un access
denied.

C'est bien ça?

Regarde l'attribut ServicePrincipal de coptest2 sur
coptest ainsi que sur coptest2.
Il doit être incorrect sur coptest.

Sur chaque dc, utilise setspn -L coptest2.
Poste le résultat complet des 2 outputs.

Utilise repadmin /showreps sur coptest et poste les
erreurs trouvées dans la section inbound.

Tu as du faire une manipulation sur coptest2 ( rename,
repromotion... ) ?

"Fabrice" a écrit
dans le message de news:

Je vois sur le 2eme DC le serviceprincipal a le nom
coptest2, le serveur Coptest est le principal et le
coptest2 est un DC supplementaire du domaine.
est-ce normal qui le nom du service soit aussi coptest2
?
Merci encore.
Fabrice.
"Jonathan Bismuth"
a écrit
dans le message de news:

re,
il te suffit dans ADSIEDIT de faire un clique droit
sur CN=le_controleur_de_domaine, OU= Domain
Controllers, DC= ton_domain,DC=Domain

tu y trouvera un attribut appelé servicePrincipalName.

Cordialement,

--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd


"Fabrice" a écrit
dans le message de news:

Merci Emmanuel,
J'ai installé adsiedit sur un DC mais je trouve ou
l'attribut SPN dans ADSIEDIT j'ai les DC et OU et
autres
Merci d'avnce,
Fabrice..






















































































1 2 3