Les nouveaux utilisateurs ne récupèrent plus les GPOs

Question

Bonjour,

Nous avons un souci sur notre serveur RDP Windows 2012 R2, les nouveaux utilisateurs ne récupèrent plus les GPOs.

Voici l'erreur lorsqu'on fait un "gpupdate /force" :

Mise à jour de la stratégie... <br> <br>La stratégie de l'ordinateur n'a pas pu être mise à jour correctement. Les erreurs suivantes ont été rencontrées : <br> <br>Échec du traitement de la stratégie de groupe en raison d'une absence de connectivité réseau vers un contrôleur de domaine. Il peut s'agir d'un problème temporaire. Un message de réussite est généré une fois que l'ordinateur est connecté au <br>contrôleur de domaine et que la stratégie de groupe est correctement traitée. Si aucun message de réussite ne s'affiche pendant plusieurs heures, contactez votre administrateur. <br>La stratégie utilisateur n'a pas pu être mise à jour correctement. Les erreurs suivantes ont été rencontrées : <br> <br>Échec du traitement de la stratégie de groupe. Windows n'a pas pu s'authentifier <br>auprès du service Active Directory d'un contrôleur de domaine. (Échec de l'appel de fonction de liaison LDAP). Consultez l'onglet des détails pour plus d'informations sur le code d'erreur et la description. <br> <br>Pour diagnostiquer la panne, ouvrez le journal des événements ou exécutez GPRESULT /H GPReport.html depuis la ligne de commande pour accéder aux résultats de la stratégie de groupe.

Et un gpresult /R :

Information : L'utilisateur n'a pas de données RSOP.

En investiguant, j'ai vu des soucis avec le DNS, le gestionnaire DNS n'était plus accessible et j'avais les erreurs décrite ci-dessous :

https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-zones-do-not-load-event-4000-4007

Une fois le problème résolu, j'ai vu qu'une bonne partie des enregistrements DNS avait disparu. Je les ai recréé en copiant les fichiers DNS d'un autre serveur, en modifiant les fichiers et en passant la zone DNS du serveur de zone AD en zone fichier.

Par contre, j'ai toujours le souci des GPOs et j'ai plusieurs commandes qui me retourne des erreurs :

C:\Windows\system32>netdom verify SERVEUR /domain:DOMAINE <br>Le domaine spécifié n'existe pas ou n'a pas pu être contacté.<br><br>C:\Windows\system32>nltest /sc_verify:DOMAINE <br>I_NetLogonControl a échoué : Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

C:\Windows\system32>dcdiag /v <br> <br>Diagnostic du serveur d'annuaire <br> <br>Exécution de l'installation initiale : <br>Tentative de recherche de serveur associé... <br>* Vérification que l'ordinateur local SERVEUR est un serveur d'annuaire. <br>Serveur associé : SERVEUR <br>* Connexion au service d'annuaire sur le serveur SERVEUR. <br>* Forêt AD identifiée. <br>Collecting AD specific global data <br>* Collecte des informations sur le site. <br>Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=gla,DC=local,L <br>DAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),....... <br>The previous call succeeded <br>Iterating through the sites <br>Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name <br>,CN=Sites,CN=Configuration,DC=gla,DC=local <br>Getting ISTG and options for the site <br>* Identification de tous les serveurs. <br>Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=gla,DC=local,L <br>DAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),....... <br>The previous call succeeded.... <br>The previous call succeeded <br>Iterating through the list of servers <br>Getting information for the server CN=NTDS Settings,CN=SERVEUR,CN=Servers,CN <br>=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gla,DC=local <br>objectGuid obtained <br>InvocationID obtained <br>dnsHostname obtained <br>site info obtained <br>All the info for the server collected <br>* Identification de toutes les références croisées NC. <br>* 1 contrôleurs de domaine ont été trouvés. Test de 1 d'entre eux. <br>Collecte des informations initiales terminée. <br> <br>Exécution des tests initiaux nécessaires <br> <br>Test du serveur : Default-First-Site-Name\SERVEUR <br>Démarrage du test : Connectivity <br>* Active Directory LDAP Services Check <br>L'adresse IP de l'hôte <br>e09ece47-63f8-4bb4-9e16-5e58d3f05b86._msdcs.DOMAINE.local n'a pas pu être <br>résolue. Vérifiez le serveur DNS, DHCP, le nom du serveur, etc. <br>Erreur obtenue lors de la vérification de la connectivité LDAP et RPC. <br>Vérifiez les paramètres du pare-feu. <br>......................... Le test Connectivity <br>de SERVEUR a échoué <br> <br>Exécution des tests principaux <br> <br>Test du serveur : Default-First-Site-Name\SERVEUR <br>Tests ignorés car le serveur SERVEUR ne répond pas aux demandes du <br>service d'annuaire. <br>Test omis à la demande de l'utilisateur : Advertising <br>Test omis à la demande de l'utilisateur : CheckSecurityError <br>Test omis à la demande de l'utilisateur : CutoffServers <br>Test omis à la demande de l'utilisateur : FrsEvent <br>Test omis à la demande de l'utilisateur : DFSREvent <br>Test omis à la demande de l'utilisateur : SysVolCheck <br>Test omis à la demande de l'utilisateur : KccEvent <br>Test omis à la demande de l'utilisateur : KnowsOfRoleHolders <br>Test omis à la demande de l'utilisateur : MachineAccount <br>Test omis à la demande de l'utilisateur : NCSecDesc <br>Test omis à la demande de l'utilisateur : NetLogons <br>Test omis à la demande de l'utilisateur : ObjectsReplicated <br>Test omis à la demande de l'utilisateur : OutboundSecureChannels <br>Test omis à la demande de l'utilisateur : Replications <br>Test omis à la demande de l'utilisateur : RidManager <br>Test omis à la demande de l'utilisateur : Services <br>Test omis à la demande de l'utilisateur : SystemLog <br>Test omis à la demande de l'utilisateur : Topology <br>Test omis à la demande de l'utilisateur : VerifyEnterpriseReferences <br>Test omis à la demande de l'utilisateur : VerifyReferences <br>Test omis à la demande de l'utilisateur : VerifyReplicas <br> <br>Test omis à la demande de l'utilisateur : DNS <br>Test omis à la demande de l'utilisateur : DNS <br> <br>Exécution de tests de partitions sur ForestDnsZones <br>Démarrage du test : CheckSDRefDom <br>......................... Le test CheckSDRefDom <br>de ForestDnsZones a réussi <br>Démarrage du test : CrossRefValidation <br>......................... Le test CrossRefValidation <br>de ForestDnsZones a réussi <br> <br>Exécution de tests de partitions sur DomainDnsZones <br>Démarrage du test : CheckSDRefDom <br>......................... Le test CheckSDRefDom <br>de DomainDnsZones a réussi <br>Démarrage du test : CrossRefValidation <br>......................... Le test CrossRefValidation <br>de DomainDnsZones a réussi <br> <br>Exécution de tests de partitions sur Schema <br>Démarrage du test : CheckSDRefDom <br>......................... Le test CheckSDRefDom <br>de Schema a réussi <br>Démarrage du test : CrossRefValidation <br>......................... Le test CrossRefValidation <br>de Schema a réussi <br> <br>Exécution de tests de partitions sur Configuration <br>Démarrage du test : CheckSDRefDom <br>......................... Le test CheckSDRefDom <br>de Configuration a réussi <br>Démarrage du test : CrossRefValidation <br>......................... Le test CrossRefValidation <br>de Configuration a réussi <br> <br>Exécution de tests de partitions sur gla <br>Démarrage du test : CheckSDRefDom <br>......................... Le test CheckSDRefDom <br>de gla a réussi <br>Démarrage du test : CrossRefValidation <br>......................... Le test CrossRefValidation <br>de gla a réussi <br> <br>Exécution de tests d'entreprise sur DOMAINE.local <br>Test omis à la demande de l'utilisateur : DNS <br>Test omis à la demande de l'utilisateur : DNS <br>Démarrage du test : LocatorCheck <br>Nom du catalogue global : \SERVEUR.DOMAINE.local <br>Locator Flags: 0xe000f3fd <br>PDC Name: \SERVEUR.DOMAINE.local <br>Locator Flags: 0xe000f3fd <br>Time Server Name: \SERVEUR.DOMAINE.local <br>Locator Flags: 0xe000f3fd <br>Preferred Time Server Name: \SERVEUR.DOMAINE.local <br>Locator Flags: 0xe000f3fd <br>KDC Name: \SERVEUR.DOMAINE.local <br>Locator Flags: 0xe000f3fd <br>......................... Le test LocatorCheck <br>de DOMAINE.local a réussi <br>Démarrage du test : Intersite <br>Le site Default-First-Site-Name sera ignoré. Ce site est hors de <br>l'étendue fournie par les arguments de ligne de commande disponibles. <br>......................... Le test Intersite <br>de DOMAINE.local a réussi

La résolution du nom échoue, pourtant lorsqu'on tape les commandes suivantes, le nom est bien résolu :

C:\Windows\system32>nslookup<br><br>Serveur par défaut : localhost <br>Address: 127.0.0.1<br><br>> set type=all <br>Serveur par défaut : localhost <br>Address: 127.0.0.1 <br> <br>> set type=all <br>> e09ece47-63f8-4bb4-9e16-5e58d3f05b86._msdcs.DOMAINE.local <br>Serveur : localhost <br>Address: 127.0.0.1 <br> <br>e09ece47-63f8-4bb4-9e16-5e58d3f05b86._msdcs.gla.local canonical name = SERVEUR.DOMAINE.local

Une idée ?

Merci d'avance.

Answer 1

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour Vincent VG44,

Merci d’avoir posté sur le forum de la communauté Microsoft.

D’après la description, une fois que les nouveaux utilisateurs du domaine se sont connectés à votre serveur RDP Windows 2012 R2 (serveur membre), ils ne peuvent pas obtenir les paramètres GPO, après avoir exécuté gpupdate /force sur ce serveur RDP, vous obtenez le message d’erreur ci-dessus.

D’après le message d’erreur que vous avez fourni, il semble que le problème soit lié à un manque de connectivité réseau à un contrôleur de domaine, vous pouvez essayer les étapes suivantes :

1.Vérifiez la connectivité réseau entre le serveur RDP et le contrôleur de domaine. Assurez-vous que le serveur peut envoyer une requête ping au contrôleur de domaine et qu’il n’y a pas de problèmes de réseau.

2.Vérifiez les paramètres DNS sur le serveur RDP. Assurez-vous que le serveur utilise le serveur DNS approprié et que le serveur DNS est en mesure de résoudre le nom du contrôleur de domaine.

3.Vérifiez les paramètres du pare-feu sur le serveur RDP et le contrôleur de domaine. Assurez-vous que les ports nécessaires sont ouverts pour la communication entre les deux serveurs.

4.Vérifiez les journaux d’événements sur le serveur RDP et le contrôleur de domaine pour détecter les erreurs ou avertissements associés. Cela peut fournir plus d’informations sur le problème.

J’espère que les informations ci-dessus vous seront utiles.

Si vous avez des questions ou des préoccupations, n’hésitez pas à nous le faire savoir.

Sinceres salutations

Daisy Zhou

Answer 2

Bonjour,

Merci pour le retour.

Le serveur a tous les rôles (DC, DNS, RDP) donc, à part un souci avec le pare-feu (qui n'a pas été modifié), je ne pense pas que le souci vienne de la connectivité.

1. Le serveur arrive bien à se pinguer lui-même
2. Le client DNS du serveur est bien paramétré vers lui-même
3. J'ai désactivé temporairement le pare-feu de WIndows pour voir si les GPO et les commandes "netdom verify" et "nltest /sc_verify" fonctionnaient mieux, mais c'est pareil.
4. Il y a des erreurs 1006, errorcode 49 : https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc727283(v=ws.10)?redirectedfrom=MSDN#error-code-49-invalid-credentials Le site de Microsoft indique que le mot de passe des utilisateurs a expiré, mais ça n'est pas le cas.

Par contre, je n'arrive pas à changer le mot du compte en utilisant le compte (ça fonctionne avec le gestionnaire des utilisateurs AD). J'ai une erreur comme quoi le mot de passe n'est pas assez complexe, j'ai essayé plusieurs mots de passe sans succès. Le changement de mot de passe fonctionnait bien avant.

J'ai testé de verrouiller/déverrouiller la session d'un compte mais le problème persiste.

Nous n'avons pas de services système s'exécutant avec un compte utilisateur.

Je ne comprends pas comment vérifier le point 4 de l'article.

D'ailleurs, les GPO ne s'appliquent plus aussi sur les utilisateurs existants avec la même erreur que pour les nouveaux.

Sinon, suite à mes différents tests, j'ai eu plusieurs fois le cas où le Gestionnaire DNS n'était plus accessible (access denied) et donc, j'ai plusieurs fois appliqué la procédure que je vous avais indiqué :

https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-zones-do-not-load-event-4000-4007

Pour être plus précis, c'est plutôt cette procédure que j'ai appliqué : https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/use-netdom-reset-domain-controller-password Cette page indique qu'il faut laisser un serveur KDC actif, mais dans notre cas, j'ai désactivé le service KDC,

est-ce ça peut causer ses soucis ?

Answer 3

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour

Bonne journée!

Cette page indique de laisser un serveur KDC actif, mais dans notre cas, j’ai désactivé le service KDC,

Cela peut-il causer ses problèmes ?

R : Voulez-vous dire les services ci-dessous ? Si c’est le cas, vous pouvez l’activer sur DC.

Ce service, exécuté sur des contrôleurs de domaine, permet aux utilisateurs de se connecter au réseau à l’aide du protocole d’authentification Kerberos. Si ce service est arrêté, les utilisateurs ne pourront pas se connecter au réseau. Si ce service est désactivé, tous les services qui en dépendent explicitement ne démarreront pas.

Sinceres salutations
Daisy Zhou

Answer 4

J'ai bien démarrer le service KDC et mis en automatique comme c'est indiqué dans la procédure.

J'essaye de comprendre d'où viennent les erreurs 1006 et comment les résoudre

mais je ne sais pas si c'est une bonne piste, car je viens de voir qu'on les a aussi loin que remonte l'observateur d’évènements (début du mois de juin) alors que ça fait 1 semaine qu'on a le souci avec les GPOs et le DNS.

Avez-vous d'autres pistes que je pourrais investiguer ?