Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory Parametre de securite du domaine par defaut

Parametre de securite du domaine par defaut

18 réponses
Avatar
Robby
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour editer les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS, j'ai le message
disant que je n'ai pas les droits, pourtant j'ouvre avec le compte Admin,
seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A qui est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
Robby
A partir d'un DC distant, je viens de faire le portqry - monpdcemulator -e
135, il n'y a pas de message d'erreur dans toutes les infos.

"Robby" a écrit dans le message de news:
uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se trouvent
sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de news:
%
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu arrive
ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui pose
problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas ceux
d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une règle
antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est joignable par
ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %
Non c'est faux car je viens de tester dcdiag /v /s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le message de
news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui la
TOTO il y a pb.


"Robby" a écrit dans le message de
news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui pointent
vers le bon serveur.

"Robby" a écrit dans le message de
news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could not be
located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le message
de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs pointent
vers un DNS distant en premier et en second vers le leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le nom
de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de pare-feu
entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en VPN
vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message de
news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe vers qui?
Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message
de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le domiane
specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur domaine ou
du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur un DC
supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le message de
news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour editer
les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS, j'ai le
message
disant que je n'ai pas les droits, pourtant j'ouvre avec le
compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A qui est
le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby












































Avatar
Jonathan BISMUTH
c'est déjà un début. teste avec les ports classiques type 139, 445, 389 et
53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut être un
soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de news:
%230s4t9%
A partir d'un DC distant, je viens de faire le portqry - monpdcemulator -e
135, il n'y a pas de message d'erreur dans toutes les infos.

"Robby" a écrit dans le message de
news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se trouvent
sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de news:
%
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu arrive
ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui pose
problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas ceux
d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une règle
antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est joignable
par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %
Non c'est faux car je viens de tester dcdiag /v /s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le message de
news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui la
TOTO il y a pb.


"Robby" a écrit dans le message de
news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le message
de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could not
be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le message
de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs pointent
vers un DNS distant en premier et en second vers le leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le nom
de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de pare-feu
entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en VPN
vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message de
news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe vers
qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le domiane
specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur domaine ou
du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur un DC
supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le message de
news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour editer
les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS, j'ai le
message
disant que je n'ai pas les droits, pourtant j'ouvre avec le
compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A qui
est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby
















































Avatar
Robby
Pour les ports tous repond, ok.
Les cartes 2 mais une seule activée.
Oui site à site par un vpn
Non j'ai pas fait d'analyse, que faut -il trouver ?.

"Jonathan BISMUTH" a écrit dans le message de news:
uTsuyi$
c'est déjà un début. teste avec les ports classiques type 139, 445, 389 et
53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut être un
soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %230s4t9%
A partir d'un DC distant, je viens de faire le portqry - monpdcemulator -e
135, il n'y a pas de message d'erreur dans toutes les infos.

"Robby" a écrit dans le message de
news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se trouvent
sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de news:
%
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu
arrive ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui pose
problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas ceux
d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une règle
antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est joignable
par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %
Non c'est faux car je viens de tester dcdiag /v /s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le message de
news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui la
TOTO il y a pb.


"Robby" a écrit dans le message
de news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le message
de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could not
be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le message
de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs
pointent vers un DNS distant en premier et en second vers le leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le nom
de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de
pare-feu entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en VPN
vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message de
news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe vers
qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le
domiane specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur domaine ou
du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur un
DC supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le message de
news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour editer
les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS, j'ai
le message
disant que je n'ai pas les droits, pourtant j'ouvre avec le
compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A qui
est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby




















































Avatar
Jonathan BISMUTH
Des collisions à un moment ou à un autre.
Si les DC du site du PDCe le trouve correctement mais pas ceux des sites
reliés en vpn, c'est peut être simplement un problème de taille de MTU ou un
truc du genre...

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de news:

Pour les ports tous repond, ok.
Les cartes 2 mais une seule activée.
Oui site à site par un vpn
Non j'ai pas fait d'analyse, que faut -il trouver ?.

"Jonathan BISMUTH" a écrit dans le message de news:
uTsuyi$
c'est déjà un début. teste avec les ports classiques type 139, 445, 389
et 53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont
configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut être
un soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %230s4t9%
A partir d'un DC distant, je viens de faire le portqry -
monpdcemulator -e 135, il n'y a pas de message d'erreur dans toutes les
infos.

"Robby" a écrit dans le message de
news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se
trouvent sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de news:
%
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu
arrive ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui
pose problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas
ceux d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une
règle antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est joignable
par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %
Non c'est faux car je viens de tester dcdiag /v /s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le message
de news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui la
TOTO il y a pb.


"Robby" a écrit dans le message
de news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le message
de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could not
be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le
message de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs
pointent vers un DNS distant en premier et en second vers le
leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le
nom de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de
pare-feu entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en
VPN vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message de
news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe vers
qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le
domiane specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur domaine
ou du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur un
DC supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le message
de news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour editer
les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS, j'ai
le message
disant que je n'ai pas les droits, pourtant j'ouvre avec le
compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A qui
est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby
























































Avatar
Robby
Dans l'analyse de trame, je vois bien les requetes DNS _ldap_tcp.dc._msdc
depuis mon site distant vers mon PDC, et la reponse du PDC vers mon site
distant. Je vois aussi des sections Resources record DNS
Name:_ldap_tcp.dc._msdc , ou il y a le nom du serveur PDC.
Je vois qu'il y a des ERROR TCP CheckSum de mon site distant vers mon PDC
Checksum is 0x0BE2, should be 0X99BE, est-ce un probleme ?

"Jonathan BISMUTH" a écrit dans le message de news:
%
Des collisions à un moment ou à un autre.
Si les DC du site du PDCe le trouve correctement mais pas ceux des sites
reliés en vpn, c'est peut être simplement un problème de taille de MTU ou
un truc du genre...

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news:
Pour les ports tous repond, ok.
Les cartes 2 mais une seule activée.
Oui site à site par un vpn
Non j'ai pas fait d'analyse, que faut -il trouver ?.

"Jonathan BISMUTH" a écrit dans le message de news:
uTsuyi$
c'est déjà un début. teste avec les ports classiques type 139, 445, 389
et 53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont
configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut être
un soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %230s4t9%
A partir d'un DC distant, je viens de faire le portqry -
monpdcemulator -e 135, il n'y a pas de message d'erreur dans toutes les
infos.

"Robby" a écrit dans le message de
news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se
trouvent sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de news:
%
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu
arrive ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui
pose problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas
ceux d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une
règle antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est joignable
par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message
de news: %
Non c'est faux car je viens de tester dcdiag /v
/s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le message
de news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui
la TOTO il y a pb.


"Robby" a écrit dans le message
de news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le
message de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could
not be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le
message de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs
pointent vers un DNS distant en premier et en second vers le
leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le
nom de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de
pare-feu entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en
VPN vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message de
news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de
localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe vers
qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le
domiane specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur domaine
ou du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur un
DC supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le message
de news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour
editer les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS, j'ai
le message
disant que je n'ai pas les droits, pourtant j'ouvre avec le
compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A qui
est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby




























































Avatar
Jonathan BISMUTH
Peut être un problème de trou noir en ce cas... (?)

essaye par là pour voir : http://support.microsoft.com/kb/314825

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de news:

Dans l'analyse de trame, je vois bien les requetes DNS _ldap_tcp.dc._msdc
depuis mon site distant vers mon PDC, et la reponse du PDC vers mon site
distant. Je vois aussi des sections Resources record DNS
Name:_ldap_tcp.dc._msdc , ou il y a le nom du serveur PDC.
Je vois qu'il y a des ERROR TCP CheckSum de mon site distant vers mon PDC
Checksum is 0x0BE2, should be 0X99BE, est-ce un probleme ?

"Jonathan BISMUTH" a écrit dans le message de news:
%
Des collisions à un moment ou à un autre.
Si les DC du site du PDCe le trouve correctement mais pas ceux des sites
reliés en vpn, c'est peut être simplement un problème de taille de MTU ou
un truc du genre...

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news:
Pour les ports tous repond, ok.
Les cartes 2 mais une seule activée.
Oui site à site par un vpn
Non j'ai pas fait d'analyse, que faut -il trouver ?.

"Jonathan BISMUTH" a écrit dans le message de news:
uTsuyi$
c'est déjà un début. teste avec les ports classiques type 139, 445, 389
et 53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont
configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut être
un soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %230s4t9%
A partir d'un DC distant, je viens de faire le portqry -
monpdcemulator -e 135, il n'y a pas de message d'erreur dans toutes les
infos.

"Robby" a écrit dans le message de
news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se
trouvent sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de
news: %
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu
arrive ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui
pose problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas
ceux d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une
règle antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est
joignable par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message
de news: %
Non c'est faux car je viens de tester dcdiag /v
/s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le message
de news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui
la TOTO il y a pb.


"Robby" a écrit dans le
message de news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le
message de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could
not be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le
message de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs
pointent vers un DNS distant en premier et en second vers le
leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le
nom de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de
pare-feu entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en
VPN vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message
de news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de
localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe vers
qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le
domiane specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur domaine
ou du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur
un DC supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le message
de news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour
editer les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS,
j'ai le message
disant que je n'ai pas les droits, pourtant j'ouvre avec le
compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A
qui est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby
































































Avatar
Robby
Merci pour ton aide, j'ai suivi la procedure des ping.
Mes routeurs renvoient bien le message "le paquet doit etre fragmenté"DF
lorsque je depasse la taille maxi du paquets lors d'un ping taille 1473 donc
1472+2800 taille du MTU donc je suis bien dans le cas ou le routeur
renvoi un message et donc le paquet n'est pas perdu.


"Jonathan BISMUTH" a écrit dans le message de news:

Peut être un problème de trou noir en ce cas... (?)

essaye par là pour voir : http://support.microsoft.com/kb/314825

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news:
Dans l'analyse de trame, je vois bien les requetes DNS _ldap_tcp.dc._msdc
depuis mon site distant vers mon PDC, et la reponse du PDC vers mon site
distant. Je vois aussi des sections Resources record DNS
Name:_ldap_tcp.dc._msdc , ou il y a le nom du serveur PDC.
Je vois qu'il y a des ERROR TCP CheckSum de mon site distant vers mon PDC
Checksum is 0x0BE2, should be 0X99BE, est-ce un probleme ?

"Jonathan BISMUTH" a écrit dans le message de news:
%
Des collisions à un moment ou à un autre.
Si les DC du site du PDCe le trouve correctement mais pas ceux des sites
reliés en vpn, c'est peut être simplement un problème de taille de MTU
ou un truc du genre...

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news:
Pour les ports tous repond, ok.
Les cartes 2 mais une seule activée.
Oui site à site par un vpn
Non j'ai pas fait d'analyse, que faut -il trouver ?.

"Jonathan BISMUTH" a écrit dans le message de news:
uTsuyi$
c'est déjà un début. teste avec les ports classiques type 139, 445,
389 et 53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont
configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut
être un soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news: %230s4t9%
A partir d'un DC distant, je viens de faire le portqry -
monpdcemulator -e 135, il n'y a pas de message d'erreur dans toutes
les infos.

"Robby" a écrit dans le message
de news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se
trouvent sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de
news: %
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu
arrive ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui
pose problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas
ceux d'un ou de plusieurs autres, tu as probablement un problème de
connectivité intersites, revérifie, es tu sur qu'il n'y a pas une
règle antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est
joignable par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message
de news: %
Non c'est faux car je viens de tester dcdiag /v
/s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le
message de news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par
la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par celui
la TOTO il y a pb.


"Robby" a écrit dans le
message de news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le
message de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could
not be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le
message de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs
pointent vers un DNS distant en premier et en second vers le
leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien le
nom de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de
pare-feu entre.
En plus je suis sur que j'ai deja ouvert cette console sur mes
serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont en
VPN vers un site central. sur chaque site un DNS integré à AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message
de news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de
localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe
vers qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le
domiane specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur
domaine ou du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur
un DC supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le
message de news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour
editer les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS,
j'ai le message
disant que je n'ai pas les droits, pourtant j'ouvre avec
le compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A
qui est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby




































































Avatar
Robby
Sur mon serveur distant, je passe cette commande qui sollicte mon 2eme
serveur DC sur le site local ou se trouve le PDC.
dcdiag /test:Fsmocheck /s:dcB.local /v
et la je n'ai pas d'erreur FSMO.
Alors une idéée ?

"Robby" a écrit dans le message de news:

Merci pour ton aide, j'ai suivi la procedure des ping.
Mes routeurs renvoient bien le message "le paquet doit etre fragmenté"DF
lorsque je depasse la taille maxi du paquets lors d'un ping taille 1473
donc 1472+2800 taille du MTU donc je suis bien dans le cas ou le
routeur renvoi un message et donc le paquet n'est pas perdu.


"Jonathan BISMUTH" a écrit dans le message de news:

Peut être un problème de trou noir en ce cas... (?)

essaye par là pour voir : http://support.microsoft.com/kb/314825

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news:
Dans l'analyse de trame, je vois bien les requetes DNS
_ldap_tcp.dc._msdc depuis mon site distant vers mon PDC, et la reponse
du PDC vers mon site distant. Je vois aussi des sections Resources
record DNS Name:_ldap_tcp.dc._msdc , ou il y a le nom du serveur PDC.
Je vois qu'il y a des ERROR TCP CheckSum de mon site distant vers mon
PDC Checksum is 0x0BE2, should be 0X99BE, est-ce un probleme ?

"Jonathan BISMUTH" a écrit dans le message de news:
%
Des collisions à un moment ou à un autre.
Si les DC du site du PDCe le trouve correctement mais pas ceux des
sites reliés en vpn, c'est peut être simplement un problème de taille
de MTU ou un truc du genre...

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message de
news:
Pour les ports tous repond, ok.
Les cartes 2 mais une seule activée.
Oui site à site par un vpn
Non j'ai pas fait d'analyse, que faut -il trouver ?.

"Jonathan BISMUTH" a écrit dans le message de news:
uTsuyi$
c'est déjà un début. teste avec les ports classiques type 139, 445,
389 et 53 (pour dns)
Mais si le problème se pose uniquement sur les sites distants, il y a
forcément qq chose au niveau qui bloque...

A ce propos, Combien de cartes réseau ont les DC? Combien sont
configurés?

Les machines sont liées par un vpn site à site c'est bien ça? Peut
être un soucis de fragmentation des paquets?
As tu essayé d'analyser les trames avec un wireshark?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le message
de news: %230s4t9%
A partir d'un DC distant, je viens de faire le portqry -
monpdcemulator -e 135, il n'y a pas de message d'erreur dans toutes
les infos.

"Robby" a écrit dans le message
de news: uQd45r%
Merci Jonathan,
Le seul DC avec lequel je n'ai pas de soucis c'est le DC qui se
trouvent sur le meme reseau que le PDC.

"Jonathan BISMUTH" a écrit dans le message de
news: %
re robby,

désolé de ne pas être plus réactif...

Tu as au moins trouvé ton problème, le contact avec le PDC.

Puisque tu as plusieurs DC dans ta topo, dis moi avec lesquels tu
arrive ou non à contacter le PDCE.
Si tu n'arrive avec aucun, c'est ton DC jouant le rôle de PDCE qui
pose problème, confirme moi.
Si tous ceux d'un site (local ou PDC ou distant) y arrivent et pas
ceux d'un ou de plusieurs autres, tu as probablement un problème
de connectivité intersites, revérifie, es tu sur qu'il n'y a pas
une règle antivirus type blocage de port 135?

PS : juste pour info, pinger un DC signifie juste qu'il est
joignable par ICMP, pas que le port X ou Y est bien ouvert.
Pour ça tu as portqry.
Syntaxe pour toi : portqry -n nom_dc -e port.
Ex : portqry -n mon-pdcemulator.domain.lan -e 135

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news: %
Non c'est faux car je viens de tester dcdiag /v
/s:andro06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe000017c
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.

et un dcdiag /v /s:Ai06.distant.fr
Starting test: FsmoCheck
GC Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
PDC Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
Time Server Name: Ai06.distant.fr
Locator Flags: 0xe00001fc
Preferred Time Server Name: srvgestion.distant.fr
Locator Flags: 0xe00003f9
KDC Name: Ai06.coplan.fr
Locator Flags: 0xe00001fc
......................... distant.fr passed test FsmoCheck
As-tu une idée ?

"Robby" a écrit dans le
message de news:
A chaque dcdiag /v s: /vers un autre DC, je passe toujurs par
la:
Starting test: FsmoCheck
GC Name: TOTO.distant.fr
Locator Flags: 0xe00001bc
J'ai plusieurs GC dans ma topo, et si je passe toujours par
celui la TOTO il y a pb.


"Robby" a écrit dans le
message de news: %
j'ai aussi fait un
netdom query fsmo
et je n'ai pas d'erreur, il me trouve bien tous les roles qui
pointent vers le bon serveur.

"Robby" a écrit dans le
message de news:
en plus je fais un dcdiag test:dns pas d'erreur
et un dcdiag test:fsmocheck, la j'ai une erreur 1355 pdc could
not be located.
As-tu une idée ? pourquoi il ne trouve pas mon PDC ?
encore merci,
Robby

"Robby" a écrit dans le
message de news:
Pourtant, je ping bien le nom du serveur dns, mes serveurs
pointent vers un DNS distant en premier et en second vers le
leur.
Quand je suis sur le serveur DNS integré à AD, je ping bien
le nom de mon serveur distant.
Les ports ? tout passe dans le tunnel VPN, il n'y a pas de
pare-feu entre.
En plus je suis sur que j'ai deja ouvert cette console sur
mes serveurs distants.
Mon infra, les sites et ad ont chacun leur reseau, ils sont
en VPN vers un site central. sur chaque site un DNS integré à
AD.
Merci d'avance,

"Jonathan BISMUTH" a écrit dans le message
de news: u3oC$
OK, je comprends mieux
ça n'est pas un problème de droits du tout mais de
localisation.
Il est bien sur possible d'ouvrir la console sur un DC
supplémentaire, bien que ça ne soit pas forcément le cas par
défaut.
Quoi qu'il en soit, le domaine n'existe pas == problème de
résolution DNS. Comment as tu monté ton infra? Qui pointe
vers qui? Quels sont les ports ouverts?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans le
message de news:
Jonathan,
Le message est 'impossible d'ouvrir l'objet strategie de
groupe.vous ne disposez des droits appropriés.'details:le
domiane specifié n'existe pas ou n'a pu etre contacté'.
Et ceci lorque je veux ouvrir les parametres de securité du
controleur domaine ou du domaine.
Ce n'est pas editer une GPO mais ouvrir dans Outils
d'administration--strategie de securité du controleur
domaine ou du domaine.
Je pense que c'est possible d'ouvrir cette console meme sur
un DC supplementaire non PDCEmulator.
Merci d'avance,
Robby.

"Jonathan BISMUTH" a écrit dans le
message de news:
Bonjour Robby,

Quel est exactement le message d'erreur?
je vais peut être dire une bêtise mais sauf paramétrage
contraire, lorsque tu tente d'éditer une GPO, tu tape
systématiquement sur ton PDCEmulator. Peut être un truc à
regarder au niveau des liens et des ports?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net
--
"Robby" a écrit dans
le message de news:
%
Bonjour,
Impossible d'ouvrir la console sur les Dcs distants.
j'ai aussi un pb sur mes DCs supplementaire W2003 pour
editer les
strategies du domaines et du controleur.
Il y a plusieurs sites distants qui ont leur DC et DNS,
j'ai le message
disant que je n'ai pas les droits, pourtant j'ouvre avec
le compte Admin, seulement sur un site ou il y a
2 DCs qui peuvent editer les strategies.
Sur les 2 DCS du site A ou ca fonctionne, il y a le DC A
qui est le premier
(PDC) et le second DC B est le GC.
Merci d'avance,
Robby








































































1 2