PB active directory (résolu)

PB active directory (résolu) - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 19-01-2012 à 17:44:50    

Bonjour,
 
J'ai un soucis sur serveur AD, je ne peux plus ajouter d'utilisateurs à des dossiers NTFS. Pourtant j'accède bien à l'AD et je peux me connecter (sessions) avec les nom d'utilisateurs.
Le serveur a bien tous les rôles.
 
Lorsque je fais un dcdiag, j'ai l'erreur suivante :
 
la fonctionnalité d'attribut de recherche LDAP a échoué sur le serveur SRV-AD01; erreur retournée : 81
 
Est-ce que quelqu'un a une idée ?
 
Je ne peux donc plus gérer les autorisations sur les différents dossiers partagés.
 
Merci par avance


Message édité par doomhammer7 le 27-02-2012 à 16:00:36
Reply

Marsh Posté le 19-01-2012 à 17:44:50   

Reply

Marsh Posté le 19-01-2012 à 17:53:08    

ipconfig /all du Dc
IPconfig /all des postes

Reply

Marsh Posté le 19-01-2012 à 18:17:57    

Les IP sont bonnes.
 
Le problème se situe au niveau du serveur.
 
Merci

Reply

Marsh Posté le 19-01-2012 à 19:17:12    

que dis l'observateur d'evenement du DC ?

Reply

Marsh Posté le 20-01-2012 à 08:40:11    

donnes nous les IPCONFIG /All et laisse nous en juger. Tu veux qu'on t'aide ou pas ...

Reply

Marsh Posté le 20-01-2012 à 12:56:19    

Bonjour DommHammer7,
 
Par rapport à votre problématique
Pour tenter de vous aider au mieux
J'aimerais savoir certaines choses de votre infrastructure :
OS Windows ?
Avez vous ou combien avez vous de serveur AD (par rapport au proxy LDAP)?
Il serait notamment préférable d'avoir toutes les cartes en main et de connaître les configurations réseau (Via Ipconfig /all comme dit précédemment)
 
 
 

Reply

Marsh Posté le 20-01-2012 à 16:04:39    

Il y a un seul AD.
 
Voici la config IP:
 
Suffixe DNS propre à la connexion: xxxxxxxx.local
Description: Connexion réseau Intel(R) 82574L Gigabit
Adresse physique: ‎00-19-99-B3-E5-36
DHCP activé: Non
Adresse IPv4: 192.168.131.2
Masque de sous-réseau IPv4: 255.255.255.0
Passerelle par défaut IPv4: 192.168.131.254
Serveurs DNS IPv4: 192.168.131.2, 8.8.8.8
Serveur WINS IPv4:  
NetBIOS sur TCP/IP activé: Oui
Adresse IPv6 locale de lien: fe80::b84e:bb88:f475:dd4%11
Passerelle par défaut IPv6:  
Serveur DNS IPv6:  
 
Merci !


Message édité par doomhammer7 le 22-02-2012 à 15:06:08
Reply

Marsh Posté le 20-01-2012 à 16:16:15    

Déjà vire 8.8.8.8 des DNS ...

Reply

Marsh Posté le 20-01-2012 à 16:30:21    

tu vois doomhammer7 j'ai pas demandé celà pour rien. En fait je dirai 90 % des problèmes AD/GPO sont dûent à des erreurs DNS d'où ma question et la réponse de Jen@b .

Reply

Marsh Posté le 20-01-2012 à 17:21:24    

8.8.8.8 : ce sont les dns publiques de Google.
 
Les virer n'a rien changé.
 
Néanmoins merci pour la réponse.
 
Avez-vous une autre idée ?
 
Merci par avance

Reply

Marsh Posté le 20-01-2012 à 17:21:24   

Reply

Marsh Posté le 20-01-2012 à 17:30:31    

Ouais donc eventlog maintenant.
 
Et même si 8.8.8.8 sont les DNS de google ils n'ont rien à faire sur un DC ou sur un poste de travail vu que les DNS doivent être les DC (sauf infra dédiée)
 
nltest /query
nltest /dsgetdc:tondomain.local

Reply

Marsh Posté le 20-01-2012 à 19:17:48    

Voici le résultat des commandes:
 
C:\Users\administrateur.xxxxxxxxxxx>nltest /query
Indicateurs : 0
Connexion Status = 0 0x0 NERR_Success
La commande a été correctement exécutée
 
C:\Users\administrateur.xxxxxxxxxxx>nltest /dsgetdc:xxxxxxx.local
           Contrôleur de domaine : \\SRV-AD01.xxxxxxxxx.local
      Adresse : \\192.168.131.2
     GUID dom : 027dded8-2f3e-43b5-a482-0a7fefb22da3
     Nom dom : xxxxxxxx.local
  Nom de la forêt : xxxxxxxxxxxxx.local
 Nom de site du contrôleur de domaine : Premier-Site-par-defaut
Nom de notre site : Premier-Site-par-defaut
        Indicateurs : PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_
DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS
La commande a été correctement exécutée
 
C:\Users\administrateur.xxxxxxxxxxx>


Message édité par doomhammer7 le 27-02-2012 à 15:44:36
Reply

Marsh Posté le 20-01-2012 à 19:40:18    

et les event logs ?

Reply

Marsh Posté le 21-01-2012 à 08:25:56    

Tu aurais pas supprimé ou renommer un DC  ?
Le plus souvent une erreur LDAP 81 résulte d'un problème de recherche au niveau du Global Catalog.
 
 
Affiche les résultats des commandes suivantes :
 
1) dcdiag /test:advertising /v
2) repadmin /showreps SRV-AD01
3) repadmin /showattr SRV-AD01 "CN=Sites,CN=Configuration,DC=gesteditions,DC=local" /subtree /filter:"(&(objectClass=server)(name=SRV-AD01))" /atts:name
 
 :bounce:

Reply

Marsh Posté le 27-01-2012 à 16:17:07    

Bonjour,
 
Les résultats de tes commandes sont : LDPAR error 81, le serveur est hors service.
 
Pour répondre à ta question, oui l'AD a été migré et l'ancien DC a été supprimé.  
 
Un metadata clean a été fait.
 
merci pour ces réponses.
 

Reply

Marsh Posté le 28-01-2012 à 06:23:49    

et sinon l'event viewer ? (ca fait juste 10 fois qu'on te demande...)

Reply

Marsh Posté le 28-01-2012 à 18:19:58    

Et la migration a été faite comment ? On dirait qu'il a gardé toutes les références du DC supprimé.

Reply

Marsh Posté le 28-01-2012 à 20:03:54    

doomhammer7 a écrit :

8.8.8.8 : ce sont les dns publiques de Google.
 
Les virer n'a rien changé.
 


 
Tu peux les mettre au niveau de tes redirecteurs sur ton service DNS. En secondaire par exemple, après celui de ton FAI).

Reply

Marsh Posté le 30-01-2012 à 11:13:33    

La migration s'est faite de façon "normale" : préparation de la forêt, de l'ad, puis installation du second serveur, réplication, déplacement des rôles.
 
Pour les events logs (Demandées 3 fois et non 10 ;-) ) Il n'y a pas d'erreurs, c'est propre...
 
Merci pour ces réponses et ces précisions.
 

Reply

Marsh Posté le 01-02-2012 à 01:12:22    

Juste au cas ou : Le Service "Temps Windows" est bien démarré et en automatique ? Le DC est t'il bien à l'heure ? Vu que l'AD est sensible à la synchronisation de temps.

Reply

Marsh Posté le 01-02-2012 à 14:39:28    

doomhammer7 a écrit :

La migration s'est faite de façon "normale" : préparation de la forêt, de l'ad, puis installation du second serveur, réplication, déplacement des rôles.
 
Pour les events logs (Demandées 3 fois et non 10 ;-) ) Il n'y a pas d'erreurs, c'est propre...
 
Merci pour ces réponses et ces précisions.
 


Et l'ancien tu l'as supprimé comment? J'ai lu metadata cleanup mais vous avez fait le dcpromo à l'envers avant au moins? :o


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 01-02-2012 à 14:55:30    

Et quel est le nom de l'ancien et du nouveau ?

Reply

Marsh Posté le 01-02-2012 à 14:58:21    

Pas de problème de temps, hélas....
 
L'ancien je n'ai pas pu le supprimer de façon propre, j'ai été obligé de faire un metadata cleanup, car l'ancien a rendu l'âme...
 
Merci pour vos réponses !

Reply

Marsh Posté le 01-02-2012 à 15:01:46    

Dans ce cas comment tu as pu répliquer et basculer les rôles ? Tu as combien de DC exactement ? Et as-tu fais une restauration de l'ancien DC, et si oui comment ?

Reply

Marsh Posté le 01-02-2012 à 15:07:01    

doomhammer7 a écrit :

Pas de problème de temps, hélas....
 
L'ancien je n'ai pas pu le supprimer de façon propre, j'ai été obligé de faire un metadata cleanup, car l'ancien a rendu l'âme...
 
Merci pour vos réponses !


Fallait le dire en premier ça [:xqwzts]


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 01-02-2012 à 18:11:33    

Dans la plus part des cas, il y a toujours des erreurs suite a une manipulation et suppression AD..vérifie si le service DND fonctionne correctement et regarde bien les log.il m'a fallu réinstaller le System pour résoudre ce probleme

Reply

Marsh Posté le 06-02-2012 à 10:23:11    

CK Ze CaRiBoO, tu as raison, j'aurais du le dire dès le début!
 
nebulios, il n'y a qu'un seul DC. Le but était de remplacer l'ancien serveur DC par un nouveau.
 
J'ai eu le temps de répliquer l'ancien et transférer les rôles. celui-ci est resté en prod le temps de valider que tout fonctionne, puis nous l'avons éteint afin d'être sur de ne rien avoir oublié dessus. Ensuite, afin de le supprimer définitevement et proprement, j'ai vou le rallumer, et là... c'est le drame...
 
J'ai donc fait un metadata cleanup afin de le supprimer tout de même.
 
Voilà.
 
J'aurais du commencer par là, dsl.
 
Merci pour vos réponses.

Reply

Marsh Posté le 06-02-2012 à 14:21:54    

en même temps les utilisateurs qui arrivent à se connecter n'exclu pas que AD soit up ....
 
Courage doom .... Y a fort à parier  que tu vas passer pas mal de temps sur le soucis :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 12-02-2012 à 21:24:29    

Tu la laisser éteint combien de temps ? Avant de le rallumer  
 
Dans site et service Active Directory le serveur est bien comme catalogue global dans NTDS Settings ? Reste t-il des traces de l'ancien serveur dans site et service.
 
Tu peux faire un netshare et vérifier la présence des partage sysvol et netlogon.
 
dcdiag /test:DNS
DCDIAG /CheckSecurityError
 
repadmin /replsummary
 
 
 

Reply

Marsh Posté le 12-02-2012 à 21:30:32    

dcdiag /test:DNS : vérifie les zones DNS et les enregistrements de service AD
repadmin /replsummary doit t'afficher un détail des info de réplications.
 
peux tu aussi faire un net stop ntfrs puis net start ntfrs et nous dire quel evénement apparait dans le journal système.
 

Reply

Marsh Posté le 27-02-2012 à 16:00:13    

Bonjour a tous !
 
Déjà merci pour ces nombreuses réponses !
 
J'ai enfin trouvé la solution !
 
Tout d'abord au niveau du nettoyage du DNS, il restait quelques entrées.Mais cela n'a pas résolu le problème même si cela a amélioré les choses au niveau des réponses nslookup.
 
La raison principale était deux clés de registre mals renségnées :
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\parameters\
 
La clé "Src Root domain Srv" et "Machine DN Name" contenaient l'ancien nom de serveur.
 
J'espère que cela en aidera certaines personnes, et leurs évitera une réinstallation.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed