J'ai 1 domaine sur plusieurs sites avec chacun son serveur W2000 et un site
en W2003.
L'AD est bien répliquée entre les sites W2000 et j'ai des erreurs avec le
W2003.
Du coup, sur ce serveur, certains utilisateurs ne peuvent même plus ouvrir
de session windows sur leur poste ??????
Dans l'observateur d'évenements du W2003, j'ai un message d'erreur :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
SRVSMIA$. Le nom cible utilisé était SMIA\SRVSMIA$. Cela indique que le mot
de passe utilisé pour crypter le ticket de service Kerberos diffère de celui
du serveur cible. Cela est généralement dû à la présence de comptes
d'ordinateur de même nom dans le domaine Kerberos cible (SMIA.LOCAL) et le
domaine Kerberos client. Contactez votre administrateur système.
Lorsque du serveur principal W2000 je tente une synchronisation (dans sites
et services AD) avec le site W2003, j'obtiens l'erreur suivante :
Le contexte de nommage est prêt à être supprimé ou bien n'est pas répliqué à
partir du serveur répliqué.
Coté serveur principal, j'ai bien supprimé dans sites et services toutes les références au serveur 2003. Coté 2003, je l'ai bien remis en workgroup. Et quand je veux le supprimer de l'OU domain controllers, j'ai le message : "Impossible de supprimer l'objet DSA"
Y a t-il des temps de propagation de l'information ou ai-je oublier qq chose ?
Bref, quand je veux le remettre sur le domaine, j'ai une erreur (le compte existe déjà).
Merci pour votre aide,
denis
oui, le metadata cleanup de ntdsutil supprime uniquement l'objet Ntds Settings.
Une fois supprimé, le compte ordinateur peut alors être supprimé manuellement. ( Il est protégé contre la suppression tant qu'il possède un objet Ntds Settings ).
--- Cordialement, Emmanuel Dreux
"Jonathan Bismuth" wrote in message news:
Hello Denisl,
Effectivement, le ntdsutil ne supprime pas forcément tous les enregistrements de l'ancien DC. Mais normalement, tu peux directement supprimer le compte dans l'OU domain controllers, de même que dans sites et services s'il y reste. Vérifie aussi qu'il n'en reste pas de trace dans le DNS au cas où.
Normalement, tu devrais pouvoir l'ajouter au domaine après ça.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"denisl" a écrit dans le message de news:
Oui, le serveur est seul dans ce site. Mais depuis, j'ai avancé, car les utilisateurs commencent à ruer dans les brancards ... J'ai fait un dcpromo pour le rétrograder, mais sans résultat. J'ai donc fait un dcpromo /forceremoval et là il est allé jusqu'au bout. Mais sur le serveur principal, j'ai du supprimé à la main (ntdsutil) les enregistrements liés à ce server 2003.
Maintenant, quand je veux refaire un dcpromo, il me dit "l'utilisateur spécifié existe déjà". certes il me reste dans le conteneur domain controlers de l'AD du serveur principal, le nom du serveur 2003. Mais je pensais qu'en le réinscrivant, il viendrait l'écraser ... mauvaise pioche !
Une idée ???
Merci d'avance,
denis
Donc les DC 2000 peuvent tirer les modifications apportées sur le DC 2003 mais pas l'inverse. D'ou une probable désuynchronisation des mots de passe des comptes user et machine.
Un repadmin /showreps vide indique que le dc 2003 n'a pas de partenaire de réplication.
Le 2003 est-il seul dans un site? Si c'est le cas, il faut configurer un sitelink pour "connecter" les 2 sites.
-- Cordialement, Emmanuel Dreux
"denisl" wrote in message news:
Bonne pioche !! en faisant un repadmin sur le serveur principal, pas de soucis : la replication se passe bien y compris vers le serveur 2003. Sur celui-ci, le repadmin est vide ????
Donc quand tu dis de le réinitialiser, c'est de le rétrograder (dcpromo) et de le remettre dans le domaine ?? Info : j'ai une base SQL Server sur cette machine, j'espère qu'elle ne sera pas affectée :-((
denis
Bonjour,
celà ressemble à un problème de mot de passe du compte machine d'un des DC.
Faites un repadmin /showreps sur chaque DC, à mon avis, la réplication doit être bloquée avec le DC2K3.
Si c'est le cas, il faudra le réinitialiser.
-- Cordialement, Emmanuel Dreux
"denisl" wrote in message news:
Bonjour,
J'ai 1 domaine sur plusieurs sites avec chacun son serveur W2000 et un site en W2003. L'AD est bien répliquée entre les sites W2000 et j'ai des erreurs avec le W2003. Du coup, sur ce serveur, certains utilisateurs ne peuvent même plus ouvrir de session windows sur leur poste ?????? Dans l'observateur d'évenements du W2003, j'ai un message d'erreur :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur SRVSMIA$. Le nom cible utilisé était SMIASRVSMIA$. Cela indique que le mot de passe utilisé pour crypter le ticket de service Kerberos diffère de celui du serveur cible. Cela est généralement dû à la présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible (SMIA.LOCAL) et le domaine Kerberos client. Contactez votre administrateur système.
Lorsque du serveur principal W2000 je tente une synchronisation (dans sites et services AD) avec le site W2003, j'obtiens l'erreur suivante :
Le contexte de nommage est prêt à être supprimé ou bien n'est pas répliqué à partir du serveur répliqué.
Quelqu'un connait-il une solution ???
Merci de votre aide.
denis
Merci à tous les deux pour vos réponses.
Coté serveur principal, j'ai bien supprimé dans sites et services toutes les
références au serveur 2003.
Coté 2003, je l'ai bien remis en workgroup.
Et quand je veux le supprimer de l'OU domain controllers, j'ai le message :
"Impossible de supprimer l'objet DSA"
Y a t-il des temps de propagation de l'information ou ai-je oublier qq chose ?
Bref, quand je veux le remettre sur le domaine, j'ai une erreur (le compte
existe déjà).
Merci pour votre aide,
denis
oui, le metadata cleanup de ntdsutil supprime uniquement l'objet Ntds
Settings.
Une fois supprimé, le compte ordinateur peut alors être supprimé
manuellement. ( Il est protégé contre la suppression tant qu'il possède un
objet Ntds Settings ).
---
Cordialement,
Emmanuel Dreux
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> wrote in
message news:O4hNbNuNGHA.1832@TK2MSFTNGP11.phx.gbl...
Hello Denisl,
Effectivement, le ntdsutil ne supprime pas forcément tous les
enregistrements de l'ancien DC.
Mais normalement, tu peux directement supprimer le compte dans l'OU domain
controllers, de même que dans sites et services s'il y reste. Vérifie
aussi qu'il n'en reste pas de trace dans le DNS au cas où.
Normalement, tu devrais pouvoir l'ajouter au domaine après ça.
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"denisl" <denisl@discussions.microsoft.com> a écrit dans le message de
news: 3D63757D-71B6-47A7-BD45-CAB0C9336338@microsoft.com...
Oui, le serveur est seul dans ce site.
Mais depuis, j'ai avancé, car les utilisateurs commencent à ruer dans les
brancards ...
J'ai fait un dcpromo pour le rétrograder, mais sans résultat.
J'ai donc fait un dcpromo /forceremoval et là il est allé jusqu'au bout.
Mais sur le serveur principal, j'ai du supprimé à la main (ntdsutil) les
enregistrements liés à ce server 2003.
Maintenant, quand je veux refaire un dcpromo, il me dit "l'utilisateur
spécifié existe déjà".
certes il me reste dans le conteneur domain controlers de l'AD du serveur
principal, le nom du serveur 2003. Mais je pensais qu'en le réinscrivant,
il
viendrait l'écraser ... mauvaise pioche !
Une idée ???
Merci d'avance,
denis
Donc les DC 2000 peuvent tirer les modifications apportées sur le DC
2003
mais pas l'inverse.
D'ou une probable désuynchronisation des mots de passe des comptes user
et
machine.
Un repadmin /showreps vide indique que le dc 2003 n'a pas de partenaire
de
réplication.
Le 2003 est-il seul dans un site?
Si c'est le cas, il faut configurer un sitelink pour "connecter" les 2
sites.
--
Cordialement,
Emmanuel Dreux
"denisl" <denisl@discussions.microsoft.com> wrote in message
news:96635F55-D381-4EB9-A67C-EE1D5CE912A6@microsoft.com...
Bonne pioche !!
en faisant un repadmin sur le serveur principal, pas de soucis : la
replication se passe bien y compris vers le serveur 2003.
Sur celui-ci, le repadmin est vide ????
Donc quand tu dis de le réinitialiser, c'est de le rétrograder
(dcpromo)
et
de le remettre dans le domaine ??
Info : j'ai une base SQL Server sur cette machine, j'espère qu'elle ne
sera
pas affectée :-((
denis
Bonjour,
celà ressemble à un problème de mot de passe du compte machine d'un
des
DC.
Faites un repadmin /showreps sur chaque DC, à mon avis, la
réplication
doit
être bloquée avec le DC2K3.
Si c'est le cas, il faudra le réinitialiser.
--
Cordialement,
Emmanuel Dreux
"denisl" <denisl@discussions.microsoft.com> wrote in message
news:3B99E235-AFC3-45E6-9451-C7D6B9C30844@microsoft.com...
Bonjour,
J'ai 1 domaine sur plusieurs sites avec chacun son serveur W2000 et
un
site
en W2003.
L'AD est bien répliquée entre les sites W2000 et j'ai des erreurs
avec
le
W2003.
Du coup, sur ce serveur, certains utilisateurs ne peuvent même plus
ouvrir
de session windows sur leur poste ??????
Dans l'observateur d'évenements du W2003, j'ai un message d'erreur
:
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur
SRVSMIA$. Le nom cible utilisé était SMIASRVSMIA$. Cela indique
que le
mot
de passe utilisé pour crypter le ticket de service Kerberos diffère
de
celui
du serveur cible. Cela est généralement dû à la présence de comptes
d'ordinateur de même nom dans le domaine Kerberos cible
(SMIA.LOCAL)
et
le
domaine Kerberos client. Contactez votre administrateur système.
Lorsque du serveur principal W2000 je tente une synchronisation
(dans
sites
et services AD) avec le site W2003, j'obtiens l'erreur suivante :
Le contexte de nommage est prêt à être supprimé ou bien n'est pas
répliqué
à
partir du serveur répliqué.
Coté serveur principal, j'ai bien supprimé dans sites et services toutes les références au serveur 2003. Coté 2003, je l'ai bien remis en workgroup. Et quand je veux le supprimer de l'OU domain controllers, j'ai le message : "Impossible de supprimer l'objet DSA"
Y a t-il des temps de propagation de l'information ou ai-je oublier qq chose ?
Bref, quand je veux le remettre sur le domaine, j'ai une erreur (le compte existe déjà).
Merci pour votre aide,
denis
oui, le metadata cleanup de ntdsutil supprime uniquement l'objet Ntds Settings.
Une fois supprimé, le compte ordinateur peut alors être supprimé manuellement. ( Il est protégé contre la suppression tant qu'il possède un objet Ntds Settings ).
--- Cordialement, Emmanuel Dreux
"Jonathan Bismuth" wrote in message news:
Hello Denisl,
Effectivement, le ntdsutil ne supprime pas forcément tous les enregistrements de l'ancien DC. Mais normalement, tu peux directement supprimer le compte dans l'OU domain controllers, de même que dans sites et services s'il y reste. Vérifie aussi qu'il n'en reste pas de trace dans le DNS au cas où.
Normalement, tu devrais pouvoir l'ajouter au domaine après ça.
-- Jonathan BISMUTH MVP Windows Server - Directory Services MCSE 2000/ADSI-AutoIT Scripter Transcript (ID: 691839, code: MCSE2000) www.portail-mcse.net pour me contacter http://cerbermail.com/?fCeVUi7Icd
"denisl" a écrit dans le message de news:
Oui, le serveur est seul dans ce site. Mais depuis, j'ai avancé, car les utilisateurs commencent à ruer dans les brancards ... J'ai fait un dcpromo pour le rétrograder, mais sans résultat. J'ai donc fait un dcpromo /forceremoval et là il est allé jusqu'au bout. Mais sur le serveur principal, j'ai du supprimé à la main (ntdsutil) les enregistrements liés à ce server 2003.
Maintenant, quand je veux refaire un dcpromo, il me dit "l'utilisateur spécifié existe déjà". certes il me reste dans le conteneur domain controlers de l'AD du serveur principal, le nom du serveur 2003. Mais je pensais qu'en le réinscrivant, il viendrait l'écraser ... mauvaise pioche !
Une idée ???
Merci d'avance,
denis
Donc les DC 2000 peuvent tirer les modifications apportées sur le DC 2003 mais pas l'inverse. D'ou une probable désuynchronisation des mots de passe des comptes user et machine.
Un repadmin /showreps vide indique que le dc 2003 n'a pas de partenaire de réplication.
Le 2003 est-il seul dans un site? Si c'est le cas, il faut configurer un sitelink pour "connecter" les 2 sites.
-- Cordialement, Emmanuel Dreux
"denisl" wrote in message news:
Bonne pioche !! en faisant un repadmin sur le serveur principal, pas de soucis : la replication se passe bien y compris vers le serveur 2003. Sur celui-ci, le repadmin est vide ????
Donc quand tu dis de le réinitialiser, c'est de le rétrograder (dcpromo) et de le remettre dans le domaine ?? Info : j'ai une base SQL Server sur cette machine, j'espère qu'elle ne sera pas affectée :-((
denis
Bonjour,
celà ressemble à un problème de mot de passe du compte machine d'un des DC.
Faites un repadmin /showreps sur chaque DC, à mon avis, la réplication doit être bloquée avec le DC2K3.
Si c'est le cas, il faudra le réinitialiser.
-- Cordialement, Emmanuel Dreux
"denisl" wrote in message news:
Bonjour,
J'ai 1 domaine sur plusieurs sites avec chacun son serveur W2000 et un site en W2003. L'AD est bien répliquée entre les sites W2000 et j'ai des erreurs avec le W2003. Du coup, sur ce serveur, certains utilisateurs ne peuvent même plus ouvrir de session windows sur leur poste ?????? Dans l'observateur d'évenements du W2003, j'ai un message d'erreur :
Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur SRVSMIA$. Le nom cible utilisé était SMIASRVSMIA$. Cela indique que le mot de passe utilisé pour crypter le ticket de service Kerberos diffère de celui du serveur cible. Cela est généralement dû à la présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible (SMIA.LOCAL) et le domaine Kerberos client. Contactez votre administrateur système.
Lorsque du serveur principal W2000 je tente une synchronisation (dans sites et services AD) avec le site W2003, j'obtiens l'erreur suivante :
Le contexte de nommage est prêt à être supprimé ou bien n'est pas répliqué à partir du serveur répliqué.
