[Résolu]Compte Ordinateur Périmé dans l'AD

Bonjour à la communauté (et bonne reprise à ceux qui reviennent de vacances :slight_smile: ),



Nous avons des serveurs Citrix qui tournent dans un domaine Windows avec des controleurs de domaine sous Windows 2003 R2.



Ces serveurs s’appuient sur un SAN (ils n’ont pas de disques locaux).

Comme ils étaient en phase de test, une sauvegarde du disque logique a été effectuée avant chaque nouvelle grosse configuration du système.



Nos tests arrivants arrivant à leur terme j’ai décidé de restaurer une sauvegarde vieille d’un mois et demi avant d’apporter les dernières modifications et de passer le tout définitivement en prod.



Et là problème … les serveurs ne retrouvent plus leur compte dans l’AD :-



Je sais que tout les 30 jours l’AD réset les passwords des compte ordi.

Donc comme la sauvegarde date de plus de 30 jours, ça viens de là.

Je sais aussi qu’il y a une manip pour mettre à jour les serveurs et leur compte qui consiste à reset le compte ordi dans l’AD.



Mais je souhaiterais avoir la manip exacte pour être sûr de pas faire d’erreur et savoir s’il faut que la machine soit allumée au moment du reset ou au contraire éteinte.



L’un de vous peut il m’aider ?



Je vous remercie par avance pour votre aide :slight_smile:

Regarde ca:

netdom.exe


Résumé
Cet article décrit étape par étape comment utiliser Netdom.exe pour réinitialiser les mots de passe de comptes d'ordinateur d'un contrôleur de domaine Windows Server 2003.

Tout ordinateur Windows gère un historique des mots de passe de comptes d'ordinateur qui contient les mots de passe du compte en cours d'utilisation et précédemment utilisés. Lorsque deux ordinateurs essaient de s'authentifier entre eux et qu'une modification apportée au mot de passe en cours n'est pas encore reçue, Windows utilise le mot de passe précédent. Si la séquence excède deux modifications de mot de passe, les ordinateurs impliqués peuvent être incapables de communiquer et vous pouvez recevoir des messages d'erreur. Vous pouvez par exemple recevoir des messages d'erreur « Accès refusé » au cours d'une réplication Active Directory.

Ce problème se produit également lors d'une réplication entre des contrôleurs de domaine du même domaine. Si les contrôleurs de domaine qui ne répliquent pas résident sur deux domaines différents, examinez de plus près la relation d'approbation.

Vous ne pouvez pas modifier le mot de passe d'un compte d'ordinateur en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, mais vous pouvez le réinitialiser en utilisant l'outil Netdom.exe. Celui-ci est fourni avec les outils de support de Windows.

L'outil Netdom.exe réinitialise localement le mot de passe du compte sur l'ordinateur (appelé « secret local ») et écrit cette modification dans l'objet du compte d'ordinateur de l'ordinateur sur un contrôleur de domaine Windows qui réside dans le même domaine. L'écriture simultanée du nouveau mot de passe aux deux emplacements garantit que les deux ordinateurs impliqués dans l'opération sont au moins synchronisés et démarre la réplication Active Directory de sorte que les autres contrôleurs de domaine reçoivent la modification.

La procédure suivante décrit comment utiliser la commande netdom pour réinitialiser le mot de passe d'un compte d'ordinateur. Cette procédure est généralement utilisée sur les contrôleurs de domaine, mais s'applique aussi à n'importe quel compte d'ordinateur Windows.

Vous devez exécuter l'outil localement, à partir de l'ordinateur Windows dont vous souhaitez modifier le mot de passe. En outre, vous devez posséder des droits d'administrateur à la fois au niveau local et sur l'objet du compte d'ordinateur dans Active Directory pour pouvoir exécuter Netdom.exe.

Retour au début
Utilisation de Netdom.exe pour réinitialiser le mot de passe d'un compte d'ordinateur
1. Installez les outils de support de Windows Server 2003 sur le contrôleur de domaine dont vous souhaitez réinitialiser le mot de passe. Ces outils se trouvent dans le dossier SupportTools sur le CD-ROM Windows Server 2003. Pour installer ces outils, cliquez avec le bouton droit sur le fichier Suptools.msi dans le dossier SupportTools, puis cliquez sur Installer.
2. Pour réinitialiser le mot de passe d'un contrôleur de domaine Windows, vous devez arrêter le service Centre de distribution de clés Kerberos et définir le type de démarrage sur Manuel.

Remarques
• Après avoir redémarré l'ordinateur et vérifié que le mot de passe a bien été réinitialisé, vous pouvez redémarrer le service Centre de distribution de clés Kerberos (KDC) et redéfinir le type de démarrage sur Automatique. Cela oblige le contrôleur de domaine dont le mot de passe du compte d'ordinateur est incorrect à contacter un autre contrôleur de domaine pour obtenir un ticket Kerberos.
• Il est possible que vous deviez désactiver le service du centre de distribution de clés Kerberos sur tous les contrôleurs de domaine, à l'exception d'un. Si possible, ne désactivez pas le contrôleur de domaine qui possède le catalogue global, à moins que celui-ci ne rencontre des problèmes.
3. Supprimez le cache de ticket Kerberos du contrôleur de domaine sur lequel les erreurs s'affichent. Pour ce faire, redémarrez l'ordinateur ou utilisez les outils KLIST, Kerbtest ou KerbTray.
4. À l'invite de commandes, tapez la commande suivante :
netdom resetpwd /s:serveur /ud:domaineUtilisateur /pd:*
Description de cette commande :
• /s:serveur est le nom du contrôleur de domaine à utiliser pour définir le mot de passe de compte ordinateur. Il s'agit du serveur sur lequel le KDC est exécuté.
• /ud:domaineUtilisateur est le compte d'utilisateur qui établit la connexion avec le domaine spécifié dans le paramètre /s. Il doit être au format domaineUtilisateur. Si ce paramètre est omis, le compte d'utilisateur actuel est utilisé.
• /pd:* spécifie le mot de passe du compte d'utilisateur spécifié dans le paramètre /ud. Utilisez un astérisque (*) pour que le système vous invite à entrer le mot de passe.
Par exemple, serveur1 est l'ordinateur contrôleur de domaine local et serveur2 est le contrôleur de domaine Windows pair. Si vous exécutez Netdom.exe sur serveur1 avec les paramètres suivants, le mot de passe est modifié localement et écrit simultanément sur serveur2, et la réplication propage la modification aux autres contrôleurs de domaine :
netdom resetpwd /s:server2 /ud:mon_domaineadministrator /pd:*
5. Redémarrez le serveur dont le mot de passe a été modifié. Dans cet exemple, il s'agit de serveur1.

Merci pour la réponse.



Mais le problème de ce type de commande (car j’en ai trouvé une autre du même type) c’est qu’elle nécéssite un compte avec des droits administrateur sur le domaine et sur le poste local.

Dans mon cas, comme le compte ordinateur dans l’AD ne correspond plus avec les données locales, le serveur s’est plus vu comme membre du domaine et donc les comptes admin du domaine ne sont plus valide sur le poste local.



Si je ne me contente pas de disjoindre et rejoindre c’est que je craind que le compte ordi déclaré dans SQL Server pour la BDD de Citrix ne soit plus reconnu car l’ID aura changé :-



Bref je cherche une autre solution.



J’ai fait un réinitialisé le compte ordinateur dans l’AD et mais pour l’heure rien ne change … sans doute faut 'il un certain temps pour que la manip prenne effet ?



Si vous avez déjà eu le cas et que vous avez une idée je suis preneur.

Je test encore et si rien de concluant je disjoindrai le domaine et je verrai ensuite.



Merci d’avance pour vos réponses.

Pour ton info Citrix n’utilise pas l’ID de la machine mais son nom netbios. Fais ce test:

Stop le service IMA

change le nom de la machine (donc reboot :slight_smile: voire même sort la du domaine.

dans la base de registre change le nom dans HKLMcitrixIMAServerHost et HKLMcitrixIMAruntimeHostName avec le nouveau

Redemarre le service IMA



La dans la CMC la nouvelle machine apparait et l’ancienne est down dans RMS.



Si tu refait la manip inverse, au démarrage du service IMA, le serveur revient UP et il a toutes les appli, LB, acl …

Merci pour ton aide :slight_smile:



Avant de tenter ta solution j’ai voulu en tester une autre et ça a marché ;D



En fait c’est tout simple :



>> 1) Réinitialiser le compte ordinateur dans l’AD (clic droit sur l’objet et clic gauche sur réinitialiser le compte)

>> 2) Disjoindre l’ordi du domaine et le rejoindre : il recupère son compte. Le service IMA se lance sans souci ensuite.