Problème de découverte AD avec SCCM (forêts multiples)

Bien souvent le problème vient lorsque l’on essaie de faire une découverte AD sur une forêt différente de celle où se trouve le serveur de site ! Et oui par défaut le compte machine du serveur site utilisé par le SCCM pour la découverte AD n’a pas les droits sur un des domaines de l’autre forêt. Pour résoudre, voici les étapes qui vous permettrons surement de résoudre le problème :

 

  • Activer le mode verbose afin d’avoir plus d’information dans le log adsys.log. Pour ce faire mettre à 1 la clé Verbose Logging dans HKLM\Software\Microsoft\SMS\Components\SMS_DISCOVERY_DATA_MANAGER
  • Si vous avez le message ERROR: Failed to bind to AD Object…, il faut vérifier que :
  • Il existe une relation d’approbation bidirectionnelle entre les deux forêts
  • Faire en sorte que le compte machine du serveur de site ait les droits en lecture sur le ou les domaines voulus. Il faut donc ajouter le compte machine dans le groupe Users du DC.
  • Vérifier au niveau firewall que les flux sont ouverts (flux LDAP et kerberos)
  • Si cela ne marche toujours c’est peut-être que vous êtes dans le cas extrême où le ou les domaines où vous voulez effectuer la découverte AD utilisent SLD (Single Label DNS names). Une pratique historique (n’ayant pour ma part plus lieu d’être) mais bon qui existe encore. La raison est la suivante : Sur un ordinateur Windows, un membre de domaine Active Directory nécessite une configuration supplémentaire pour prendre en charge des noms « Single Label DNS » en particulier, pour localisateur des contrôleurs de domaine. Pour résoudre ce problème il faut :
  • Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  • Recherchez et cliquez sur la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • Dans le volet d'informations, recherchez l'entrée AllowSingleLabelDnsDomain. Si l'entrée AllowSingleLabelDnsDomain n'existe pas, procédez comme suit :
  • Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  • Tapez AllowSingleLabelDnsDomain comme nom de l'entrée, puis appuyez sur ENTRÉE.
  • Double-cliquez sur l'entrée AllowSingleLabelDnsDomain.
  • Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
  • Quittez l'Éditeur du Registre.