Discussion :

[alex_m94]

Bonjour,

Savez vous comment je peux voir sur quel contrôleur de domaine s'est authentifié un poste ?
Quand je vais sur le poste même et que je tape en command "set" il me sort une liste

Logonserver=nom_du_serveur

J'ai un RODC où j'ai répliqué les mots de passe de certains utilisateurs mais ceux ci ont l'air de se connecté sur mes DC en lecture/écriture et non sur le RODC où les mots de passe sont répliqué.

Avez vous une idée ?

[A&Nexus]

Bonjour,

la commande est bien la bonne.

Si tu vois marqué un de tes DC et pas ton serveur RODC cela peut vraiment dépendre de pleins de choses.
Dans un premier temps comment sont tes serveurs et tes sites AD ?

[alex_m94]

Merci de ton retour.

J'ai 4 sites.
SIte 1 : Deux DCs avec tout les rôles (PDC .....)
Site 2 : Deux DCs
Site 3 : une DC.
Site 4 : Un RODC

Après la réplication s'effectue bien, par exemple je créé un compte sur un des dc, il se réplique bien sur les autres ...

[A&Nexus]

A vérifier déjà que les subnets soient bien configurés.

Sinon lorsque l'utilisateur s'authentifie sur un DC au lieu du RODC c'est qu'il n'a pas son mot de passe en cache.
Ce lien peut t'aider :
http://technet.microsoft.com/en-us/l...8WS.10%29.aspx

[alex_m94]

Peux tu être plus clair sur les subnets ?
Parles tu de site et services AD ? Si oui pour moi par de soucis.

J'ai lu ton lien aussi et je vois bien le nom de mon utilisateur dans la partie "Comptes dont les mots de passe sont stockés sur se controleur de domaine en lecture seule" et "Comptes authentifiés sur ce controleur de domaine en lecture seule".

Pourtant quand je fai "set" depuis le poste il m'indique Logonserver=nom_du_serveur (pas le rodc).

[A&Nexus]

Oui c'est ça les subnet des sites AD.

Tu test avec un compte administrateur ?
Par défaut les comptes admins sont en deny dans les policy et ils prennent la main sur les policy "Allow".


Que donnes les commandes suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
repadmin /prp view rodc.domaine.local allow
repadmin /prp view rodc.domaine.local deny
repadmin /prp view rodc.domaine.local auth2
repadmin /prp view rodc.domaine.local reveal

Après j'ai un doute si il faut que l'utilisateur et l'ordinateur soit autorisé dans la policy de cache password.
L'exemple de microsoft montre pour pré-peupler les mots de passes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

repadmin /rodcpwdrepl rodc.domaine.local dcfsmo.domaine.local "cn=mikedan,ou=b_users,dc=domaine,dc=local" "cn=mdvista1,cn=Computers,dc=domaine,dc=local"

Tu as essayé avec de simple utilisateurs non admins du domaine ?

[alex_m94]

Bonjour,

DSL je viens de rentrer de week end prolongé.

Oui moi aussi pour tester j'ai utilisé avec un utilisateur simple et ai mis son ordinateur dans le "groupe des mot de passe en cache ..."

[alex_m94]

Bonjour,
Toujours le même soucis.
Quand je fais un set sur un poste client, il s'authentifie sur un de mes DC aléatoirement mais pas sur le RODC.
Une idée ?

[A&Nexus]

Pas plus d'idées pour le moment.

Pour voir si le client est bien dans le bon site active directory tu peux vérifier le registre :
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName

Avec de la chance il sera dans le site du contrôleur en lecture/écriture.

[alex_m94]

Oui il est bien sur le site d'un controleur en lecture écriture.
Mais moi je voudrais qu'il soit sur un site RODC

[A&Nexus]

Oui il est bien sur le site d'un controleur en lecture écriture.
Mais moi je voudrais qu'il soit sur un site RODC

Si ta valeur dans le registre DynamicSiteName est bien sur ton mauvais site alors tu as un soucis dans la console "Site et ordi AD".
Le plus souvent c'est la plage réseau IP qui n'est pas spécifié pour le site distant.

Pour faire simple dans cette console tu as :
- SitePrincipal ou tu as tes controleurs en ecriture avec le reseau 192.168.0.0/24

- SiteSecondaire ou tu as ton RODC avec le reseau 192.168.10.0/24


Il faut bien que le site soit créé dans la console, que le RODC et la/les plage(s) réseau(x) soient attribués dans le bon site

[alex_m94]

Oui oui comme indiqué les sites et subnet sont bons.

[A&Nexus]

Il y a forcément un truc mais là comme ça je ne vois pas.

[alex_m94]

Bon ca va mieux, j'ai UN poste qui s'est authentifié enfin sur le RODC.

Pourtant ca fait depuis 1 semaine que son compte user et ordinateur sont dans le groupe "Groupe de réplication dont le mot de passe RODC est autorisé".
Bref je comprends pas.
Je vais donc mettre tous les users et ordinateur sur ce RODC dans le groupe "Groupe de réplication dont le mot de passe RODC est autorisé"

A voir donc