Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

[W2003R2] - erreur kerberos sur serveurs TOPIC_SOLVED

Modérateurs : Modérateurs, Modérateurs_Systèmes

[W2003R2] - erreur kerberos sur serveurs  TOPIC_SOLVED

Message par martoni35220 » Mar 08 Mars 2016, 11:07

Bonjour,

La situation est que nous avons un site physique avec 2 DC virtualisés, nous les nommerons DC1 et DC2.
Le DC1 comprend les rôles AD - DNS - Serveur de fichier et DC2 seulement le rôle AD pour le domaine NOM.FR
Ces DC sont dans une forêt qui est chapeauté par SUPERDC du domaine SUPERNOM.FR

Historiquement, ce sont des serveurs physiques qui ont été virtualisés. Ils sont sauvegardés et répliqués avec VEEAM.
Suite à un incident sur le DC1, nous avions été obligé d'utiliser le DC1_replica via VEEAM pour répondre aux besoins de la PROD.
DC1 était complétement dans les choux car il y avait des deltas entre la taille des disques physiquement et virtuellement.
Un snapshot non détecté au début de l'incident avait trompé notre investigation et nous sommes parti sur une suppression/création de DC1.

Nous avions supprimé DC1, créé une nouvelle enveloppe DC1 et restauré DC1 via la dernière sauvegarde avant le crash de DC1.
Enfin, le delta entre DC1_replica et DC1 avait été recopié par VEEAM.

Nous avions récupéré DC1 mais avec une carte réseau fantôme. Suppression de cette carte réseau (regedit) avec identification au préalable et ensuite reboot.
La carte réseau était OK avec la bonne IP.....

Maintenant, nous avons des soucis d'authentification et plus particulièrement Kerberos.

Les serveurs dans le domaine NOM.FR ont des soucis d'authentification sur DC1 et DC2. Les postes clients aucun souci d'authentification.

Nous avons les messages d'erreur sur DC1 suivant :
============================================


"Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur DC2. Le nom cible utilisé était cifs/DC2. Cela indique que le mot de passe utilisé pour crypter le ticket de service Kerberos diffère de celui du serveur cible. Cela est généralement dû à la présence de comptes d'ordinateur de même nom dans le domaine Kerberos cible (NOM.FR) et le domaine Kerberos client." (ID 4)

"Le système de sécurité a détecté une erreur d'authentification pour le serveur DNS/SUPERDC.SUPERNOM.FR. Le code de la panne à partir du protocole d'authentification Kerberos était "La tentative d'ouverture de session n'est pas valide. Ceci est dû soit à un nom d'utilisateur incorrect, soit à des informations d'authentification incorrectes." (0x0000006d) (ID 40960)

"L'inscription dynamique de l'enregistrement DNS'_ldap_tcp.ForestDnsZones.SUPERNOM.FR 600 IN SRV 0 100 389 DC1.NOM.FR a échoué sur le serveur DNS suivant :
Adresse IP du serveur DNS : IP du SUPERDC.SUPERNOM.FR
Code de réponse renvoyé : 5
Code de statut renvoyé : 9017
Afin que les ordinateurs et les utilisateurs trouvent ce contrôleur de domaine, cet enregistrement doit être inscrit dans DNS."


On retrouve le même message sur DC2 :
==================================


"L'inscription dynamique de l'enregistrement DNS'_ldap_tcp.ForestDnsZones.SUPERNOM.FR 600 IN SRV 0 100 389 DC1.NOM.FR a échoué sur le serveur DNS suivant :
Adresse IP du serveur DNS : IP du SUPERDC.SUPERNOM.FR
Code de réponse renvoyé : 5
Code de statut renvoyé : 9017
Afin que les ordinateurs et les utilisateurs trouvent ce contrôleur de domaine, cet enregistrement doit être inscrit dans DNS."

Sur SUPERDC.SUPERNOM.FR, on retrouve l'erreur suivante :
==================================================


Échec de l’authentification de la configuration de session de l’ordinateur DC1. Le nom du compte référencé dans la base de données de la sécurité est NOM.FR..
L’erreur suivante s’est produite : Accès refusé. (ID 5722)

En revanche, le serveur DC1 est bien enregistré dans les Redirecteurs conditionnels du domaines NOM.FR via son adresse IP.

Est-ce que quelqu'un peut contribuer à notre investigation ?
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45

Re: [W2003R2] - erreur kerberos sur serveurs

Message par martoni35220 » Mer 09 Mars 2016, 9:12

Bonjour,

Ajout d'information sur le contexte :

C:\Program Files\Support Tools>netdom.exe query fsmo
Schema owner SUPERDC.NAME.FR
Domain role owner SUPERDC.NAME.FR
PDC role DC2.NAME.FR
RID pool manager DC2.NAME.FR
Infrastructure owner DC1.NAME.FR

Suite des investigations :

En cherchant de plus près, il semble que la situation soit critique sur le DC01 suite à un dcdiag :

- DC01 failed test Replications
- Warning: DsGetDcName returned information for \\DC02.NAME.FR, when we were trying to reach DC01.
- Warning: DC01 is not advertising as a global catalog.
- [SUPERDC] DsBindWithSpnEx() failed with error 5, AccŠs refus‚..
- Warning: SUPERDC is the Schema Owner, but is not responding to DS RPC Bind.
- [SUPERDC] LDAP bind failed with error 1323,
- DC01 failed test KnowsOfRoleHolders
- DC01 failed test RidManager
- DC01 failed test Services
- DC01 failed test frsevent
- DC01 failed test systemlog
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Mer 09 Mars 2016, 15:24

Salut
Nous avions supprimé DC1, créé une nouvelle enveloppe DC1 et restauré DC1 via la dernière sauvegarde avant le crash de DC1.
Enfin, le delta entre DC1_replica et DC1 avait été recopié par VEEAM.
Jusque là, 100% des erreurs possibles semblent avoir été faites... oulala.

Comment avez-vous supprimé DC1?
Comment l'avez-vous remis en route après cette suppression?

Si vous avez supprimé ce DC du domaine puis avez restauré un backup, vous avez irrémédiablement cassé votre domaine... (presque, c'est juste horriblement chiant à réparer)

Si vous avez un backup d'avant le crash, on pourrait réparer votre domaine... peut-être.

De plus:
- De quand date la sauvegarde.
- Est-ce une sauvegarde system state ou un snapshot (2003 ne le supporte pas)
- Vous avez une sauvegarde de DC2 a la même date/heure?
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Mer 09 Mars 2016, 15:26

Déplacé en AD
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: [W2003R2] - erreur kerberos sur serveurs

Message par martoni35220 » Jeu 10 Mars 2016, 17:44

Bonjour,

Tout d'abord, merci pour les réponses rapides et le déplacement du sujet.

Pour les solutions décrites sur la sauvegarde/restauration, on a vraiment tout supprimé depuis l'ESX pour créer une envoloppe vide et inséré la dernière sauvegarde à jour.
Ensuite, via VEEAM, le failback to production, nous a permis de copier les delta entre DC2 et notre nouveau DC1.

Maintenant, nous avons trouvé les informations suivantes suite à un dcdiag :

[Replications Check,DC02] A recent replication attempt failed:
From DC01 to DC02
Naming Context: CN=Configuration,DC=SUPERDC,DC=FR
The replication generated an error (-2146893022):
Le nom principal de la cible n'est pas correct.
The failure occurred at 2016-03-10 15:48:00.
The last success occurred at 2016-01-14 16:42:27.
1365 failures have occurred since the last success.

[DC01] DsBindWithSpnEx() failed with error -2146893022,
Le nom principal de la cible n'est pas correct..
Warning: DC01 is the Infrastructure Update Owner, but is not responding to DS RPC Bind.
Warning: DC01 is the Infrastructure Update Owner, but is not responding to LDAP Bind.

==> nous pensons à un souci d'authentification kerberos et nous allons tenter de réinitialiser les tickets kerberos avec DC02 depuis DC01.
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Jeu 10 Mars 2016, 19:26

Ensuite, via VEEAM, le failback to production, nous a permis de copier les delta entre DC2 et notre nouveau DC1.
Oula, pourquoi faire cela? C'est le systeme de base des contrôleurs de domaine de se réparer de la sorte... il faut juste leur donner un coup de main, mais pas en utilisant un backup.

Je ne comprend vraiment pas pourquoi vous vous obstinez à reprendre les données depuis un backup alors que vous avez DC2 viable et qu'il suffisait de nettoyer DC1 de l'environnement...

Maintenant c'est un peu tard.

Surtout que visiblement les SID de DC01 ne sont pas bon ou sa version de l'AD fausse.

Vous avez vérifier vos DNS?
topic47842.html
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Jeu 10 Mars 2016, 19:28

Perso je retirerais proprement DC01 via DCPROMO et je le re-promouverai après...
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: [W2003R2] - erreur kerberos sur serveurs

Message par smarechal » Ven 11 Mars 2016, 14:20

Perso, je dirai:
Si DC02 est toujours OK, transférer les fichiers de DC01 sur une nouvelle VM qui ne servira que de serveur de fichiers, virer DC01 définitivement.
Remonter un DC propre, qui ne servira qu'à ce rôle.
Le top avec la virtualisation c'est que l'on peut bien séparer les rôles ;)
Avatar de l’utilisateur
smarechal
Master
Master
 
Message(s) : 803
Inscription : Ven 10 Nov 2006, 17:01

Re: [W2003R2] - erreur kerberos sur serveurs

Message par martoni35220 » Ven 11 Mars 2016, 17:28

Bonjour,

Vous avez bien raison sur la séparation des rôles et surtout les erreurs commises précédemment... :( :(

Voici les derniers tests effectués, conseillé par un expert AD :

1/
Après avoir arrêté le KDC, purgé les tickets Kerberos sur DC2, désactivé le KDC, redémarrer le DC-02
on a toujours sur la dsa du DC02 "accès refusé" qd on tente de se connecter au DC01

relancer plusieurs fois (sur le DC02 kcc arrêté - purge des tickets - lancer dsa - cx au DC01 depuis le DC02) toujours KO

2\
Le DNS primaire du DC02 doit être DC01, son secondaire lui-même
On a changé les DNS APRES avoir redémarré puis ipconfig /flushdns && ipconfig /registerdns.
Après redémarrage, on a tenté soit la connexion a DC01 via dsa = KO, par contre via netdom = OK

Commande :
netdom.exe /resetpwd /server:DC01.NOM.FR /userd:NOM\administrateur /passwordd:*

==> on peut maintenant se connecter en RDP sur DC01 sans message d'erreur "Accès refusé." De plus, l'accès depuis DC01 vers dca = OK.

Par contre, nous n'avons pas encore la réplication complète que l'on observe sur DC02.

Enfin, lorqu'on interroge les rôles fsmo qui était en erreur sur DC01 et OK sur DC02 hors mis l'Infrascruture owner, nous avons ceci :

Depuis DC02 :
C:\Program Files\Support Tools>netdom.exe query fsmo
Schema owner SUPERDC.NAME.FR
Domain role owner SUPERDC.NAME.FR
PDC role DC2.NAME.FR
RID pool manager DC2.NAME.FR
Infrastructure owner DC1.NAME.FR

Depuis DC01 :
C:\Program Files\Support Tools>netdom.exe query fsmo
Schema owner SUPERDC.NAME.FR
Domain role owner SUPERDC.NAME.FR
PDC role DC2.NAME.FR
RID pool manager DC2.NAME.FR
Infrastructure owner DC1.NAME.FR

==> on va attendre un peu que la réplication se fasse pendant le week-end.
==> je pars en congé alors, retour des infos dans 1 semaine au moins !!

Merci à tous, on avance !!!!
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Ven 11 Mars 2016, 18:22

Eteignez DC01 après avoir exporté ses fichiers.
Puis:
https://support.microsoft.com/en-us/kb/255504

Ensuite
https://technet.microsoft.com/en-us/library/cc781245(v=ws.10).aspx

Ne zappez surtout pas d'étapes.
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: [W2003R2] - erreur kerberos sur serveurs

Message par martoni35220 » Mar 29 Mars 2016, 11:29

Bonjour,

Désolé de ne pas avoir effectué les actions conseillées car un expert a préparé un nouvel audit :

On a un USN Rollback sur le DC01 : Clé "Dsa Not Writable" 0x00000004(4)

https://support.microsoft.com/en-us/kb/2023007

Lorsque la réplication est désactivée automatiquement, le système d'exploitation écrit une des quatre valeurs possibles à «pas accessible en écriture de la DSA »:
Chemin d'accès Clé HKLM\System\CurrentControlSet\Services\NTDS\Parameters

Paramètre DSA pas accessible en écriture
Tapez (Reg_dword)
Valeurs #define DSA_WRITABLE_GEN 1
#define DSA_WRITABLE_NO_SPACE 2
#define DSA_WRITABLE_USNROLLBCK 4
#define DSA_WRITABLE_CORRUPT_UTDV 8

Une valeur de 4 signifie qu'une reprise USN s'est produite parce que la base de données Active Directory a été incorrectement restaurée dans le temps.

Un repadmin /showreps sur DC01 confirme ce fait.
Le serveur de destination rejette actuellement les demandes de répli
cation :

DC01
******* 6577 CONSECUTIVE FAILURES since 2016-01-14 11:48:42
Last error: 8457 (0x2109):
Le serveur de destination rejette actuellement les demandes de répli
cation.

On peut difficilement le voir en comparant les Highwatermark des tables de vecteurs de chacun des DCs car l’USN du DC01 sur lui-même a continuer de s’incrémenter durant ces derniers mois, seule la date de timestamp permet de le voir :

Sur DC01 :
@ Time 2016-03-23 10:44:34
Sur DC02 :
@ Time 2016-01-14 16:42:27

Seul DC01 est impacté par le problème, DC02 n’est pas impacté.

Concernant le solutionnement de la problématique d’usn rollback, voici le processus macroscopique :

-Mise hors service du DC01 après copy des données (Si pas possible Supprimer AD du DC01 par Dcpromo /forceremoval)
-Saisie des rôles FSMO sur un DC02 ou un autre DC monté pour l’opération.
-Metadatacleanup du serveur DC01

Le processus est détaillé dans les notes techniques suivantes :
https://support.microsoft.com/en-us/kb/875495

http://blogs.technet.com/b/reference_po ... -2012.aspx
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Mer 30 Mars 2016, 12:50

C'est peu ou prou ce que je proposais: DC01 est irrémédiablement foutu par les manips successives, il fallait le virer de l'AD et le refaire.
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: [W2003R2] - erreur kerberos sur serveurs

Message par martoni35220 » Mer 30 Mars 2016, 15:07

Oui, tout à fait et merci pour ton expertise.

Penses tu que l'on puisse clore le sujet ou il est intéressant d'avoir la suite dans ce poste ?
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45

Re: [W2003R2] - erreur kerberos sur serveurs

Message par Timil » Mer 30 Mars 2016, 15:44

On peut clore, le premier message indiquait assez bien comment massacrer un DC ;)

Le bon côté c'est que c'est une bonne leçon sur comment faire une restauration de contrôleur de domaine.

Avez-vous changé votre PRA depuis l'incident?
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 16978
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

[W2003R2] - erreur kerberos sur serveurs

Message par martoni35220 » Mer 30 Mars 2016, 16:52

Malheureusement, le client chez qui je travaille, il met en place des solutions sans suivi ni formation....
La documentation et la traçabilité ne font pas parti de son registre alors un PRA même unitaire, ils n'en parlent pas....^^

Merci pour tout !!
martoni35220
Novice
Novice
 
Message(s) : 14
Inscription : Jeu 07 Jan 2016, 10:45


Retour vers Controleur de Domaine Et Roles AD

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Google [Bot] et 1 invité



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive