[Résolu]Erreur Approbation Incomplète[Nom Netbios identique]

[Ripus]

Bonjour,

je n'arrive pas à comprendre pourquoi ma relation d'approbation échoue, j'ai effectué la même manipulation sur 2 autres serveurs sans problèmes.

Les 2 DC sont relié via un IPSEC
Ce sont 2 windows 2012 R2

j'ai d'abord créé les enregistrement DNS 'Redirecteurs conditionnels" sur chacun des 2 DC

j'ai ensuite créé ma relation d'approbation et à la fin j'obtiens l'erreur suivante :

approbation.png (39.66 Kio) Consulté 817 fois

Pourtant l'approbation s'ajoute dans la fenêtre suivante mais lorsque je veux ajouter des droits à un répertoire via le nouveau domaine approuvé, j'obtiens cette erreur :

recherchead.png (35.98 Kio) Consulté 817 fois

Le Nslookup à l'air de fonctionner dans les 2 sens.

Quelqu'un a une idée ?

[Timil]

Salut

Les 2 DC sont GC?

[Ripus]

Oui les 2 sont GC de leur domaine respectif et sont les seuls.

[Timil]

Salut

Regarde cette checklist
https://araihan.wordpress.com/2009/08/0 ... o-domains/

[Ripus]

je pense que le problème vient des noms netbios des serveurs qui me posent problème,
en effet ils ont tout les deux le même nom à savoir srvdata.

je vais essayer de renommer l'un des deux AD

[Ripus]

j'ai bien renommé mon serveur avec un nouveau nom,
recommencer la procédure d'approbation mais j'ai toujours le même problème avec les mêmes erreurs,
je pense pourtant que ça vient de là car,

j'ai 4 serveur sur lequel je fait cette même relation d'approbation,
sur les deux premiers avec des noms netbios différent de l'AD à joindre, je n'ai eu aucun problème
sur les 2 autres qui s'appelle tout les 2 srvdata, j'ai eu les mêmes erreurs. ou alors c'est juste une coïncidence ?

[Ripus]

Par contre avec un Dcdiag j'ai une erreur au niveau du test de connectivity :

Test du serveur : Premier-Site-par-defaut\SRV**
Démarrage du test : Connectivity
L'adresse IP de l'hôte
686bb072-d4ac-4c36-8b9e-8ab56c76a1e7._msdcs.lum***.lan n'a pas pu
être résolue. Vérifiez le serveur DNS, DHCP, le nom du serveur, etc.
Erreur obtenue lors de la vérification de la connectivité LDAP et RPC.
Vérifiez les paramètres du pare-feu.
......................... Le test Connectivity
de SRV*** a échoué

Exécution des tests principaux

Test du serveur : Premier-Site-par-defaut\SRV***
Tests ignorés car le serveur SRV***ne répond pas aux demandes du
service d'annuaire.

comment je peux résoudre ce problème ?

[Timil]

j'ai bien renommé mon serveur avec un nouveau nom,
recommencer la procédure d'approbation mais j'ai toujours le même problème avec les mêmes erreurs,
je pense pourtant que ça vient de là car,

j'ai 4 serveur sur lequel je fait cette même relation d'approbation,
sur les deux premiers avec des noms netbios différent de l'AD à joindre, je n'ai eu aucun problème
sur les 2 autres qui s'appelle tout les 2 srvdata, j'ai eu les mêmes erreurs. ou alors c'est juste une coïncidence ?

Euh non, ca me rappel quelque chose.
https://social.technet.microsoft.com/Fo ... inserverDS

Ah voila, je suis pas fou: Oui c'est incompatible (mais pas documenté)

[Ripus]

j'ai renommé l'un de mes deux serveur mais je ne parvient toujours pas à monter la relation d'approbation,
j'ai fait un nouveau DCDIAG :

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\administrateur.LUMIERE>dcdiag

Diagnostic du serveur d'annuaire

Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
Serveur associé : srvlesclayes
* Forêt AD identifiée.
Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

Test du serveur : Premier-Site-par-defaut\SRVLESCLAYES
Démarrage du test : Connectivity
......................... Le test Connectivity
de SRVLESCLAYES a réussi

Exécution des tests principaux

Test du serveur : Premier-Site-par-defaut\SRVLESCLAYES
Démarrage du test : Advertising
......................... Le test Advertising
de SRVLESCLAYES a réussi
Démarrage du test : FrsEvent
......................... Le test FrsEvent
de SRVLESCLAYES a réussi
Démarrage du test : DFSREvent
......................... Le test DFSREvent
de SRVLESCLAYES a réussi
Démarrage du test : SysVolCheck
......................... Le test SysVolCheck
de SRVLESCLAYES a réussi
Démarrage du test : KccEvent
Un événement d'avertissement s'est produit. ID de l'événement :
0x80000B46
Temps généré : 09/19/2018 17:35:17
Chaîne d'événement :
Vous pouvez considérablement améliorer la sécurité de ce serveur d'a
nnuaire en le configurant pour rejeter les liaisons SASL (Negotiate, Kerberos,
NTLM ou Digest) LDAP qui ne demandent pas de signature (vérification d'intégrité
), ainsi que les liaisons simples LDAP effectuées sur une connexion avec texte e
n clair (non chiffrée via SSL/TLS). Même si aucun client n'utilise de telles lia
isons, le fait de configurer le serveur pour les rejeter permet d'améliorer la s
écurité de ce dernier.
......................... Le test KccEvent
de SRVLESCLAYES a réussi
Démarrage du test : KnowsOfRoleHolders
......................... Le test KnowsOfRoleHolders
de SRVLESCLAYES a réussi
Démarrage du test : MachineAccount
......................... Le test MachineAccount
de SRVLESCLAYES a réussi
Démarrage du test : NCSecDesc
......................... Le test NCSecDesc
de SRVLESCLAYES a réussi
Démarrage du test : NetLogons
......................... Le test NetLogons
de SRVLESCLAYES a réussi
Démarrage du test : ObjectsReplicated
......................... Le test ObjectsReplicated
de SRVLESCLAYES a réussi
Démarrage du test : Replications
......................... Le test Replications
de SRVLESCLAYES a réussi
Démarrage du test : RidManager
......................... Le test RidManager
de SRVLESCLAYES a réussi
Démarrage du test : Services
......................... Le test Services
de SRVLESCLAYES a réussi
Démarrage du test : SystemLog
Un événement d'avertissement s'est produit. ID de l'événement :
0x000727A5
Temps généré : 09/19/2018 17:33:35
Chaîne d'événement :
Le service WinRM n'est pas à l'écoute des demandes de Gestion des se
rvices Web.
Un événement d'avertissement s'est produit. ID de l'événement :
0x000003F6
Temps généré : 09/19/2018 17:35:12
Chaîne d'événement :
La résolution du nom _ldap._tcp.dc._msdcs.lumiere.lan. a expiré lors
qu'aucun des serveurs DNS configurés n'a répondu.
Un événement d'avertissement s'est produit. ID de l'événement :
0x800009CA
Temps généré : 09/19/2018 17:35:20
Chaîne d'événement :
La valeur nommée SRVLESCLAYES dans la clé de Registre du serveur Opt
ionalNames était non valide et a été ignorée. Si vous voulez modifier la valeur,
modifiez la à une valeur de type correct qui est dans des limites acceptables
ou supprimez la valeur pour utiliser celle par défaut. Cette valeur a peut-être
été définie par une ancienne application qui ne connaissait pas les limites corr
ectes.
Un événement d'avertissement s'est produit. ID de l'événement :
0x800009CA
Temps généré : 09/19/2018 17:35:26
Chaîne d'événement :
La valeur nommée SRVLESCLAYES dans la clé de Registre du serveur Opt
ionalNames était non valide et a été ignorée. Si vous voulez modifier la valeur,
modifiez la à une valeur de type correct qui est dans des limites acceptables
ou supprimez la valeur pour utiliser celle par défaut. Cette valeur a peut-être
été définie par une ancienne application qui ne connaissait pas les limites corr
ectes.
Un événement d'avertissement s'est produit. ID de l'événement :
0x00001796
Temps généré : 09/19/2018 17:35:44
Chaîne d'événement :
Microsoft Windows Server a détecté que l'authentification NTLM est a
ctuellement utilisée entre les clients et ce serveur. Cet événement se produit u
ne fois par démarrage du serveur lorsqu'un client utilise NTLM avec ce serveur p
our la première fois.
Un événement d'avertissement s'est produit. ID de l'événement :
0x000727AA
Temps généré : 09/19/2018 17:35:49
Chaîne d'événement :
Le service WinRM n'a pas réussi à créer les SPN suivants : WSMAN/srv
lesclayes.lumiere.lan ; WSMAN/srvlesclayes.
Un événement d'avertissement s'est produit. ID de l'événement :
0x00002724
Temps généré : 09/19/2018 17:35:52
Chaîne d'événement :
Cet ordinateur possède au moins une adresse IPv6 attribuée dynamique
ment. Pour garantir un fonctionnement fiable du serveur IPv6, n'utilisez que des
adresses IPv6 statiques.
Un événement d'avertissement s'est produit. ID de l'événement :
0x0000000C
Temps généré : 09/19/2018 17:35:53
Chaîne d'événement :
Fournisseur de temps NtpClient : cet ordinateur est configuré pour u
tiliser la hiérarchie du domaine pour déterminer sa source de temps, mais il s'a
git de l'émulateur du contrôleur principal du domaine Active Directory à la raci
ne de la forêt et il n'existe donc pas d'ordinateur à utiliser au-dessus dans la
hiérarchie du domaine en tant que source de temps. Il est recommandé de con- fi
gurer un service de temps fiable dans le domaine racine ou de configurer manuell
ement le contrôleur principal de domaine Active Directory pour une synchronisati
on avec une source de temps externe. Dans le cas contraire, l'ordinateur fonctio
nne en tant que source de temps d'autorité dans la hiérarchie du domaine. Si une
source externe de temps n'est pas configurée ni utilisée pour cet ordinateur, v
ous pouvez choisir de désactiver NtpClient.
......................... Le test SystemLog
de SRVLESCLAYES a réussi
Démarrage du test : VerifyReferences
......................... Le test VerifyReferences
de SRVLESCLAYES a réussi


Exécution de tests de partitions sur ForestDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de ForestDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de ForestDnsZones a réussi

Exécution de tests de partitions sur DomainDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de DomainDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de DomainDnsZones a réussi

Exécution de tests de partitions sur Schema
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Schema a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Schema a réussi

Exécution de tests de partitions sur Configuration
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Configuration a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Configuration a réussi

Exécution de tests de partitions sur lumiere
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de lumiere a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de lumiere a réussi

Exécution de tests d'entreprise sur lumiere.lan
Démarrage du test : LocatorCheck
......................... Le test LocatorCheck
de lumiere.lan a réussi
Démarrage du test : Intersite
......................... Le test Intersite
de lumiere.lan a réussi

C:\Users\administrateur.LUMIERE>

A priori tout est en succès mais j'ai toujours la même erreur que sur le premier Screen, je ne comprend pas ou sa pêche du coup.

[Ripus]

J'ai trouvé une erreur qui se produit lors de la tentative d'approbation des 2 serveurs :

[Timil]

Va falloir vérifier dans ADSI si tout est cohérent et le nom correctement mis à jour sur le serveur qui a changé

[Ripus]

le problème venait qu'après le renommage du serveur AD il restait une entrée DNS qui pointait sur 'lancien nom Netbios.

voilà la procédure complète :

J’ai résolu mon problème d’approbation et je vous donne la marche à suivre :

Le problème initial était en fait que le les 2 serveurs avaient le même nom Netbios, or dans ce cas, la relation d’approbation échouera forcément.

Dans un premier temps il faut renommer l’un des 2 contrôleurs de domaine et pour ce faire, quelques commandes suffisent :

Netdom computername Nom_Actuel /add :Nouveau_Nom.domaine.lan

Nom Actuel est votre nom de serveur avant renommage Nouveau_Nom est le nouveau nom voulu pour votre serveur. domaine.lan est indispensable, il suffit de remettre votre domaine local.

Cette commande va ajouter un nom secondaire à votre serveur. Il faut ensuite passer le nouveau nom en principale à l’aide de la commande suivante :

Netdom computername Nom_Actuel.domaine.lan /makeprimary :Nouveau_Nom.domaine.lan

Une fois écrit « l’opération s’est bien déroulée » redémarrer votre système.

A la suite de cette étape, pour ma part, il est resté dans la zone DNS l’ancien nom de serveur avec l’IP et le nouveau nom s’est bien ajouté avec cette même IP, c’est là que le problème persistait pour la relation d’approbation, il m’a suffi de supprimer l’ancien nom de serveur dans la zone DNS pour pouvoir relancer la relation d’approbation.

Source :

Changer son nom Netbios sur un AD : https://www.nibonnet.fr/renommer-contro ... rver-2012/

Création d’une relation d’approbation : https://www.supinfo.com/articles/single ... s-distinct

Bonne journée à tous.

[cedric24]

Merci pour ce retour détaillé