Approbation AD 2003

Le Forum Windows Server 2008
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Approbation AD 2003

Messagepar Bi5cotte » 24 Mai 2011, 01:47

Bonsoir a tous
je travaille actuellement sur un serveur américain (rien ne change sinon la langue...)
ce serveur est un windows 2008 SP2 ( pas de R2 pour le moment)
avec un AD 2003 (pas de migration en 2008 non plus car son CSD est encore sous 2000)

j'ai un problème lors de l’ajout de nouveau computer à ce domaine.
l'ajout en lui même se passe plutôt bien, le domaine est accepté sur le serveur membre
je vois ce serveur sur l'AD suite au redémarrage.

par contre si j'essaye de modifier une sécurité pour un compte domaine -> impossible
je ne vois même pas apparaitre le domaine dans la localisation ( je ne peux sélectionner que le poste local...)
parallèlement sur l'AD, je vois apparaitre l'erreur suivante :

"The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.

Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds.

For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher."


Je ne sais pas si cela a un rapport
merci de votre aide

pour info, le domaine est tout neuf, les 5 rôles FSMO ont été ajoutés
Bi5cotte
 
Messages: 2
Inscrit le: 24 Mai 2011, 01:33

Re: Approbation AD 2003

Messagepar samsam69003 » 24 Mai 2011, 09:18

Bonjour,


"par contre si j'essaye de modifier une sécurité pour un compte domaine -> impossible " : vous êtes en train de changer quoi ??

de plus , le message en anglais vous annonce que vous êtes sur le point de lui enlever la capacité de faire du : Negotiate, Kerberos, NTLM, or Digest, Ne faites donc pas ça ... vous enlevez toutes les capacité à windows de ce proteger .
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Approbation AD 2003

Messagepar Bi5cotte » 26 Mai 2011, 00:50

Par exemple ajouter un nouveau compte Domaine à la sécurité un dossier quelconque...
impossible, je ne vois plus mon domaine mais seulement les compte locaux....

samsam69003 a écrit:de plus , le message en anglais vous annonce que vous êtes sur le point de lui enlever la capacité de faire du : Negotiate, Kerberos, NTLM, or Digest, Ne faites donc pas ça ... vous enlevez toutes les capacité à windows de ce proteger


mais je ne touche a rien sur ce point, C'est une erreur qui est apparu sur à la diffusion des Roles FSMO
Bi5cotte
 
Messages: 2
Inscrit le: 24 Mai 2011, 01:33

Re: Approbation AD 2003

Messagepar samsam69003 » 26 Mai 2011, 23:54

exactement ! tu viens de trouver ! il y a un pb sur les role FSMO car un de tes serveur n'est plus dans le domaine . Il en ai sortie ! et apparemment , il devait y avoir un rôle fsmo dans ce serveur . résultat tout par en live.

ce que je fairai à ta place : Verifier tout ça . est t'il dans le domaine ou pas . ensuite , s'attribuer les roles FSMO dans un autre serveur dont on est sur du fonctionnement, avec l’outil de ligne de commande NTDSUTIL et SEIZE .

tiens nous au courant ? .


ici pour les lignes de commande : http://support.microsoft.com/kb/255504

il ne s'agit pas d'un transfert , mais d'une attribution , ce qui veux dire , que le serveur qui avait le role n'est pas obligé d'être joignable .
lire donc l'article intitulé : Prise de rôles FSMO


PS: je suis désolé , je n'ai pas le temps de te faire une message très concret , a vous donc , de bien vérifier mes dires, de bien maitriser les choses avant de les faires . il s'agit bien d'une situation de crise !

et bon courage .
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21


Retour vers Windows Server 2008

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Yahoo [Bot] et 2 invités

  •  Liens commerciaux