Contactez nous

erreur DNS sur BDC

Venez ici partager vos astuces et aides autour de Samba4
Bonjour

J'ai des nombreuses erreurs sur un BDC3

UpdateRefs failed with WERR_DS_DRA_ACCESS_DENIED/NT code 0xc0002105 for 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)

J'ai un ADBDC1 correct avec rôle fsmo sur le second BDC2 rôle fsmo pointe bien vers ADBDC1 puis le BDC3 (celui qui a des problèmes) pointe bien vers ADBDC1


Cette erreur revient toute les secondes je ne comprends pas la raison et avec des recherches sur internet il n'y a a rien qui m'oriente vers une solution probante. auriez vous une piste.
Merci d'avance
cordialement
Eric
Bonjour Eric,
eric a écrit :
20 octobre 2018, 08:01
J'ai des nombreuses erreurs sur un BDC3
Pour rappel, il est préférable d'éviter les noms de serveur AD comme PDC et BDC. En effet, en Active Directory tous les RWDC (c-à-d les DC qui ne sont pas RODC) sont tous égaux, il n'y a pas de Primary DC et de Backup DC. Avec les rôles FSMO, il y a en effet des DC qui sont plus égaux que d'autres (pour paraphraser G. Orwell), mais il n'y a pas la différence PDC / BDC comme en mode NT4.

Avec la notion de RODC, Microsoft a recréé un équivalent du concept de BDC.

eric a écrit :
20 octobre 2018, 08:01
UpdateRefs failed with WERR_DS_DRA_ACCESS_DENIED/NT code 0xc0002105 for 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)

J'ai un ADBDC1 correct avec rôle fsmo sur le second BDC2 rôle fsmo pointe bien vers ADBDC1 puis le BDC3 (celui qui a des problèmes) pointe bien vers ADBDC1

Cette erreur revient toute les secondes je ne comprends pas la raison et avec des recherches sur internet il n'y a a rien qui m'oriente vers une solution probante. auriez vous une piste.
Les rôles FSMO sont très rarement à l'origine d'un problème. Si ce n'est que la partition DomainDnsZones qui pose problème, le mieux est de le démoter et de le rejoindre. Pour le démote, il suffit d'arrêter Samba, cleaner le répertoire /var/lib/samba (il faudra recréer le répertoire /var/lib/samba/private vide derrière), puis lancer un samba-tool domain demote --remove-other-dead-server=BDC3 sur ADBDC1.

Cordialement,

Denis
Bonjour,
Un grand merci pour votre aide

Bonjour Eric,

eric a écrit : ↑
20 octobre 2018, 08:01
J'ai des nombreuses erreurs sur un BDC3

Pour rappel, il est préférable d'éviter les noms de serveur AD comme PDC et BDC. En effet, en Active Directory tous les RWDC (c-à-d les DC qui ne sont pas RODC) sont tous égaux, il n'y a pas de Primary DC et de Backup DC. Avec les rôles FSMO, il y a en effet des DC qui sont plus égaux que d'autres (pour paraphraser G. Orwell), mais il n'y a pas la différence PDC / BDC comme en mode NT4.

Avec la notion de RODC, Microsoft a recréé un équivalent du concept de BDC.

eric a écrit : ↑
20 octobre 2018, 08:01
UpdateRefs failed with WERR_DS_DRA_ACCESS_DENIED/NT code 0xc0002105 for 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)

J'ai un ADBDC1 correct avec rôle fsmo sur le second BDC2 rôle fsmo pointe bien vers ADBDC1 puis le BDC3 (celui qui a des problèmes) pointe bien vers ADBDC1

Cette erreur revient toute les secondes je ne comprends pas la raison et avec des recherches sur internet il n'y a a rien qui m'oriente vers une solution probante. auriez vous une piste.

Les rôles FSMO sont très rarement à l'origine d'un problème. Si ce n'est que la partition DomainDnsZones qui pose problème, le mieux est de le démoter et de le rejoindre. Pour le démote, il suffit d'arrêter Samba, cleaner le répertoire /var/lib/samba (il faudra recréer le répertoire /var/lib/samba/private vide derrière), puis lancer un samba-tool domain demote --remove-other-dead-server=BDC3 sur ADBDC1.


Quelques précisions sur la dernière partie ?
Pour le démote, il suffit d'arrêter Samba, cleaner le répertoire /var/lib/samba (il faudra recréer le répertoire /var/lib/samba/private vide derrière cela se réalise sur BDC3 ? puis je le rejoins à nouveau au domain en pointant ADBDC1.
Je n'ai pas trop bien saisi la différence



Excusez moi pour les noms BDC c'est plus facile pour toutes les personnes du service.

cordialement
Merci
eric
Bonjour Eric,

Passez nous un coup de fil au bureau, +33240975755. Je crains que vous n'obtiendrez pas l'aide que vous souhaitez sur votre sujet et je soupçonne que vous êtes une structure d'une relative importance qui mérite donc un support sur des canaux dédiés.

Mon petit doigt me dit que vous vous trainez des restes suite à un upgrade d'un Samba3-NT4 qui date de 10+ ans vers Samba-AD sans avoir fait de nettoyage, normal car un tel nettoyage est difficile à documenter de manière sûre.

En effet, Samba3-NT4, comme Windows NT étaient très permissifs et ces technos permettaient de la bonne et de la mauvaise créativité. Samba-AD, qui reproduit le comportement de MSAD, autorise beaucoup moins de créativité, la chose est plus rigide et son fonctionnement est ainsi rendu plus sûr. Globalement, c'est positif et cette rigidité arrange tout le monde. Cet historique peut donc provoquer des effets de bord indésirables si on a des vieux objets non conformes qu'on se traîne en AD suite à un upgrade.

Avec Microsoft Active Directory, la créativité autrefois autorisée avec NT4 avait été progressivement circonscrite avec MSAD2000, puis 2003, 2008, etc. Ici, entre un vieux Samba3-NT4, certes tenu à jour mais toujours en mode NT4, et Samba-AD, vous avez fait un immense saut générationnel, ça nécessite beaucoup plus de rigueur pour que ça marche bien tout de suite. Chez TIS, on a cette expérience.

Cordialement

Vincent C