Problème: Stratégie de sécurité du controleur de domaine

[le lapin]

Bonjour,

Je vous explique mon problème:

Etat des lieux:

Windows 2000 server (service pack 4)
-> Controleur de domaine
-> Exchange
-> serveur de ficher
-> ....


Mon problème:

Lorsque je vais dans les "outils d'administrations" puis que je clique sur "Stratégie de sécurité du controleur de domaine", j'obtiens une premiere fenetre windows avec la mention suivante:

----------------------------------------------------------------------------------
Erreur de stratégie de groupe

Impossible d'ouvrir l'objet Stratégie de groupe. Vous ne disposez peut-être pas des droits appropriés.

Détails: Le chemin d'accès spécifié est introuvable
----------------------------------------------------------------------------------

Je n'ai qu'un bouton "fermer" sur lequel je clique et là je me retrouve dans la fenetre que j'essaye d'acceder mais biensur je ne peux rien développer car une croix rouge m'indique que je n'y ai pas accès.

Lorsque l'on voit cette erreur on pense tout de suite: tu n'es pas loggué en Administrateur de la machine. Erreur car c'est bien le cas, étant donné que c'est un controleur de domaine, je suis en plus Administrateur du domaine.
Lorsque je me logue j'utilise bien ce compte 'Administrateur".

J'ai tenté de faire les recommandations Microsoft:

Vous devez être connecté pour voir les liens.

Rien n'y fait.
Si vous avez une idée elle est la bienvenue car je suis complètement bloqué du coup !


Merci

 

[magellan]

[HS]
Fais attention à une chose toute bête: ton profil nominatif est associé au groupe admin, ça n'en fait pas l'administrateur.
[/HS]


visiblement tu dis te connecter avec le nom Administrateur. C'est surprenant [:spamafote]
D'après le message c'est carrément le groupe admin qui a un soucis, auquel cas TOUS les profils admins auront un soucis.
Va faire un tour du côté administration, peut être as tu ajouté une notion de durée de vie d'un profil, ou bien un verrouillage après tentative de connexion (ou autre, il y en a tellement... :/ )

NEO est demandé sur la passerelle, je répète NEO est demandé sur la passerelle [:ddr555]

 

[redbaron-x66]

- un seul ou plusieurs DC?
- Vérifie bien DNS : AD se repose en grande partie sur DNS. Si ton DNS bat de l'aile, ton AD battra de l'aile.
T'as rien dans l'event-log?

 

[le lapin]

magellan > oui je te confirme je suis bien connecté avec l'admin de la machine (et donc du domaine).
Aucune notion de durée de vie, restriction sur les comptes.

redbaron-x66 > Un seul DC
Le serveur, lorsque je suis arrivé dans la boite, était serveur DNS, je l'ai désactiver pour le désengorger et pour permettre de regler kelke probleme d acces a certains site web.
Après avoir lu la docs Microsoft, j'ai tenté de mettre en 2eme dns l ip du serveur (en l'activant en serveur dns).
J'ai bien pensé a nettoyer toute les entrées DNS histoire qu'il n'y es pas de probleme.
Et ca n'a rien résolue. Après j'avouerais ne pas être super expert quand au fonctionnement DNS de windows server 2000. Et rentré dans les détails reste assez flou.

Si tu pense que le probleme viens bel et bien du serveur dns, ou puis je trouvé une doc suffisement explicite pour avoir une config ordinaire et qui marche.
Ainsi je pourrais etre sur que ca viens, ou non, du serveur dns.


Merci

 

[casimir59]

Ton controlleur de domaine, il est bien en win2000 avec Active directory ??? (cad qu'il n'est compatible que pour les domaines win2000 et Win2003, w2000 etant en mode natif ???).

C'est vrai que pour un CD win2000 en mode natif, le DNS (et éventuellement le DHCP si tu en as un ) peut-etre source de pb si tu te loggue depuis un client pour accéder à ton serveur . Vérifie d'abord si ton serveur DNS est bien autorisé dans Active Directory (et ton serveur DHCP aussi, si tu en, as un).

si c'est le cas, regarde dans le journal des évenements de ton serveur w2k si tous les services se sont chargés correctement.

 

[redbaron-x66]

Tu es obligé d'installé DNS (ou de donner l'adresse d'un DNS gérant (entre autre) les enregistrements SRV) pour pouvoir ne serait-ce qu'installer Active directory :
Pas de DNS, pas D'AD.
J'ai malheureusement pas de Doc à te fournir sur la configuration d'un DNS 2000 (j'ai des gros bouquins, mais ça passe pas sur la messagerie).
Sorry.
Je ne veux pas t'inquiéter, mais il se pourrait bien que ton AD en ait pris un serieux coup dans la tronche.

tu peux utiliser DCDIAG pour faire un diagnostique de l'état de ton controleur de domaine.

 

[le lapin]

casimir59 > Pour etre exact il sagit de Windows Serveur 2000 SMB.

Donc l'installation du controleur de domaine c'est faite en meme tant que le DNS et tout le tralala.
Il faut savoir que lorsque jsuis arrivé dans la boite, le serveur je l'ai prit tel quel. J'ai tenté de lui donné un coup de jeune (ce qui n'est pas simple vu le bordel).

Mais le serveur dns est bien de type "Principal intégré à Active Directory".

Là je viens de donner un coup de jeune au serveur DNS, tout roule impec niveau DNS (test effectué à partir d'une station).
Le serveur est aussi DHCP, qui marche très bien, rien à redire la dessus.

redbaron-x66 > Donc pour le DNS c'est bon, j'ai trouvé mon bonheur sur Internet.
Pour le "coup dans la tronche", comme je l'ai dit quand jsuis arrivé c'était pas du jolie jolie. Ca m'étonnerais pas que tu ai raison.
Mon problème réside dans: quoi faire
DCDIAG? connais pas, j'ai fait demarrer -> executer. Mais ca marche pas, j'ai aussi recherche le fichier au cas ou, rien non plus.

Jvais chercher sur le net, c'est un composant de windows théoriquement ?

 

[le lapin]

Olé!

Bon j'ai fait 2 test avec 2 utilitaires: netdiag et dcdiag

Netdiag= impec, tous les test réussie
Dcdiag = lol Boite de dialogue windows: "le point d'entré de procédure DsIsMangledDnW est introuvable dans la bibliotheque de liaison dynamique NTDSAPI.dll"

J'ai plus qu'a pleurer? c'est ca?

Merci windows :/

 

[casimir59]

On ne sait jamais, essaie de voir si l'état du système de ton serveur a été sauvegardée récemment. (utilitaire de sauvegarde, l'option "etat du systeme" correspond (entre autre) à la sauvegarde de la Base De Registre, de la base d'Active Directory, les comptes utilisateurs, etc...).
voir:

Vous devez être connecté pour voir les liens.

Si la sauvegarde est trop ancienne, c'est un peu le bordel (toutes les modifs du schéma AD seraient perdues, ainsi que celle de la BDR ect...).

Si la sauvegarde est récente, ça vaut le coup de tenter la restauration de cette sauvegarde. Par contre, toutes les modifs concernant AD, la BDR, les comptes utilisateurs, etc... si ils ont été modifiés depuis la date de la sauvegarde, il faudra que tu recréée toutes ces modifs qui auront été perdues .

Si tu n'as aucune sauvegarde, et que malgrès tes efforts ton CD reste en rade, il ne reste plus 36 solutions hélas ===> réinstall de ton serveur sur le système d'origine (tu devrais pouvoir conserver les données de "mes documents", etc...ainsi que les données du disque dur . Il faudra cependant réinstaller certains pilotes et programmes (style antivirus et firewall p.ex.

 

[redbaron-x66]

[citation=74521,0,8][nom]Le lapin a écrit[/nom]Olé!

Bon j'ai fait 2 test avec 2 utilitaires: netdiag et dcdiag

Netdiag= impec, tous les test réussie
Dcdiag = lol Boite de dialogue windows: "le point d'entré de procédure DsIsMangledDnW est introuvable dans la bibliotheque de liaison dynamique NTDSAPI.dll"

J'ai plus qu'a pleurer? c'est ca?

Merci windows :/
[/citation]

Concernant ton erreur elle provient, à priori, d'une différence de niveau de service pack entre ton système et ton outils d'admin :
va dans C:\WINNT\ServicePackFiles\i386 et install l'adminpack.msi

ensuite recommence ta procédure de test.

 

[redbaron-x66]

[citation=74546,0,9][nom]casimir59 a écrit[/nom]On ne sait jamais, essaie de voir si l'état du système de ton serveur a été sauvegardée récemment. (utilitaire de sauvegarde, l'option "etat du systeme" correspond (entre autre) à la sauvegarde de la Base De Registre, de la base d'Active Directory, les comptes utilisateurs, etc...).
voir:

Vous devez être connecté pour voir les liens.

Si la sauvegarde est trop ancienne, c'est un peu le bordel (toutes les modifs du schéma AD seraient perdues, ainsi que celle de la BDR ect...).

Si la sauvegarde est récente, ça vaut le coup de tenter la restauration de cette sauvegarde. Par contre, toutes les modifs concernant AD, la BDR, les comptes utilisateurs, etc... si ils ont été modifiés depuis la date de la sauvegarde, il faudra que tu recréée toutes ces modifs qui auront été perdues .

Si tu n'as aucune sauvegarde, et que malgrès tes efforts ton CD reste en rade, il ne reste plus 36 solutions hélas ===> réinstall de ton serveur sur le système d'origine (tu devrais pouvoir conserver les données de "mes documents", etc...ainsi que les données du disque dur . Il faudra cependant réinstaller certains pilotes et programmes (style antivirus et firewall p.ex.


[/citation]
et exchange, et...
ce serait pas mal d'éviter ça quand même.

 

[casimir59]

[citation=74556,0,11][nom]redbaron-x66 a écrit[/nom]et exchange, et...
ce serait pas mal d'éviter ça quand même.
[/citation]


C'est clair .

 

[redbaron-x66]

J'ai potassé un peu ton problème.

Je te confirme que ton message d'erreur est souvent lié à des problèmes de DNS. Donc, vérifie le bien : il doit être irréprochable.
Quand ce n'est pas (plus) le DNS qui déconne c'est déjà plus problématique :
Problème avec les GPO, avec le partage du dossier Sysvol, etc...

Tu peux tester les GPO avec l'outils GPOTOOL.exe

Ton problème peut également venir du fait que l'accès au GPO a été refusé à l'administrateur du domaine.
Soit tu as un autre compte d'utilisateur capable de se logger et de redonner les droits correspondants, soit il te faut réinitialiser les autorisations à l'aide de l'outils DSACLS.
Tu trouveras ton bonheur la dedans :

Vous devez être connecté pour voir les liens.

Autre possibilité (que j'évoquais un peu plus haut) : problème avec le dossier Sysvol : c'est dans ce dossier que sont stockées les stratégies.
Il a une structure bien définie :

%SystemRoot%\Sysvol\Sysvol\DomainName
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\Machine
%SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID}\User

Tous ces dossiers doivent être présent. Si ce n'est pas le cas tu peux, au choix :
- restorer à partir d'une sauvegarde précédente.
- recréer à la mano la structure de l'arborescence. Note qu'il te faut d'abord récupérer le GUID de ta stratégie.
Tu trouveras nombres d'informations ici :

Vous devez être connecté pour voir les liens.

Une Dernière chose : en cas de restoration d'AD, comme le suggérait Casimir59 plus haut, sache que tu ne peux pas le restorer avec une sauvegarde de plus de 60 jours. C'est lié à l'attribue tombstone (durée de vie de l'enregistrement désactivé qui part défaut est de 60 jours).
(Je pense qu'il y a moyen en jouant sur l'horloge système, mais j'ais jamais essayé).

... Tient nous au courant.

 

[le lapin]

Bonjour,

Et bien on peut dire que le réveil est dure, attaqué directement ce problème à la fraiche ca laisse tout froid Bon j'ai donc fait vos manipulations, alors dans l'ordre:

1- Restauration impossible, la sauvegarde est faite tous les 2 jours sur bandes. Le probleme remonte à plus de quelques jours, parceque je n'avait jamais utilisé "Stratégie de sécurité du controleur de domaine". Mais un anti-virus que j'avais installer ne se mettait pas à jour, et ca n'est que mardi (avec l'ingé en ligne) on vérifiait des parametres ensemble et on voulait vérifié des parametres dedans :/ donc soit le probleme était dejà présent avant que je n'arrive dans la boite, soit je ne suis pas capable d'estimé quand à eu lieu la détérioration. Donc je peux oublié le rapatriement d'une sauvegarde.

2- j'ai reinstaller l'adminpack.msi, désormais j'ai tous les outils de diagnostics. J'ai donc réexécuté "dcdiag.exe", tous les test sont bon sauf un, au niveau du test "systemlog" il me sort une erreur:

---------------------------------------------
An Error Event occured. EventID: 0x0000168E
Time Generated: 06/18/2004 09:20:25
(Event String could not be retrieved)

SERVEUR failed test systemlog

---------------------------------------------

sinon le reste des test passent avec succès.

3- Ensuite concernant les GPO, j'ai suivie les instructions du lien que tu m'as donné:
Lorsque j'utilise l'outil ADSIEdit.msc pour aller voir si il y a une stratégie restreinte (représenté par un bloc note), je n'en ai pas . J'ai simplement 4 stratégie différente (représenté par des repertoires).

4- Concernant SysVol, pareil j'ai suivie les instructions. La structure existe bien! néamoins chose bizarre, dans le repertoire "Policies" j'ai 4

 

[le lapin]

Lol, désolé j'ai rippé sur le bouton "validé le message" :/

Je reprend:

4- Concernant SysVol, pareil j'ai suivie les instructions. La structure existe bien! néamoins chose bizarre, dans le repertoire "Policies" j'ai 4 {GUID} différents, qui ont à l'intérieur la bonne structure (que tu as représenté dans ton post précédant).

Pour être sur j'ai testé avec l'outil "Ldp.exe", pas de probleme pour se connecter, mais élément bizarre par rapport à ce que nous dit microsoft:

Je cite:
On the View menu, click Tree.
In the Base DN box, type dc=mydomain,dc=mydomain, replacing mydomain and mydomain with the appropriate domain name.
Click the plus sign (+) next to the System container.
Click the plus sign (+) next to the Policies container.

-> Moi une foi l'arbre conencté, lorsque je clique sur les "+" de l'arboresence je n'obtient rien. Un beau empty en fait.


Voilà les résultats des test.

 

[redbaron-x66]

Pour les GUID * 4, c'est normal. Un GUID par stratégie crée.
Tu dois avoir 4 stratégies différentes sur ton serveur.

 

[redbaron-x66]

Ton serveur pointe bien sur ça propre adresse pour le DNS?
(dans les propriétées tcp/ip de ta connexion locale)
Il faut aussi créer une zone de recherche inverse.
Quel résultats obtiens-tu avec nslookup?

pour ton test avec ldp.exe,
"dc=mydomain,dc=mydomain" ==> exple : dc=mondomaine,dc=fr

Pour l'erreur DCDIAG, met à jour l'outils DCDIAG (récupérable sur le site de Microsoft). Il n'est pas non plus mis à jour au changement de SP.

 

[redbaron-x66]

Des news!
des news!

 

[ezekiel_leouf]

j' ais eu le même problème ces derniers jours sur un Windows 2000 Sp3 server.

Bon j' ais bien paniqué.....

ET pis j' ais cherché, et j'ais restoré le C:\winnt\sysvol\*.* de la veille.

et tous et rentré dans l'ordre.

Essaie de voir si tu aurais une sauvegarde de moins de 60 jours, je sais facile à dire, mais ça pourrait t éviter de refaire le serveur en entier.

Bon Courage

 

[quebec_1]

Salutation du quebec !!!!!

Essaye ceci ca peut p-e aider !

http://support.microsoft.com/kb/259398/EN-US/

BC