Réplication partielle d'un AD Résolu

Question

Bonjour, 



Configuration: Windows XP / Internet Explorer 8.0

Je suis actuellement en stage et ca fait 3 semaines que je me creuse la tête pour trouver une solution à mon problème.

Je m'explique : je dois répliquer un AD qui se trouve dans un VPN vers une DMZ, mais en répliquant qu'une partie des attributs de l'annuaire ( ne pas répliquer les données sensibles comme les mots de passe par exemple ). Je souhaiterai savoir s'il est possible d'effectuer ce genre d'opérations à partir d'un environnement windows server 2008 se situant dans le VPN et avec un windows server 2003 dans la DMZ.
J'ai un peu abandonné l'idée de répliquer l'AD vers un openLDAP, apparement ca pose soucis au niveau des normes des schémas entre les deux annuaires.

Voilà si vous avez une solution à me proposer je suis preneur.

Merci

saffal · Answer

Bonjour,
Je pense que tu prends le pb dans le mauvais sens.
Quel est le but de publier une partie d'annuaire dans une DMZ ? Je suppose que tu veux publier un service sur internet non ? Si oui quel service ?
Active directory n'est pas un système d'authentification publiable sur internet, tu fais fausse route en voulant partir de cela. Il faut d'abord réfléchir à ce que tu veux publier, puis voir ensuite la possibilité de coupler ce service avec un annuaire AD (Radius par exemple).

MarcusDom · Answer

en fait, l'objectif est de pouvoir accès au carnet d'adresses de l'entreprise ( donc uniquement les adresses mail et les noms des employés ) à partir de leur domicile. Le carnet d'adresses n'étant disponible pour le moment qu'à l'intérieur de l'entreprise, l'idée est que les utilisateurs puissent y avoir accès depuis n'importe où, sans pour autant avoir trop d'informations sur les employés, puisque l'annuaire répliqué serait dans la DMZ.

MarcusDom · Answer

J'ai aussi vu le catalogue global, mais je ne sais pas si on peut en créer plusieurs et si on peux le répliquer dans un autre domaine. Donc pour le moment j'ai pas de solution concluante.

Utilisateur anonyme · Answer

Hello,

As-tu exploré les possibilités natives de Microsoft, telles que ADAM (server 2003) ou LDS (server 2008) ?

Tu ne devrais avoir aucun souci de compatibilité de schéma, et l'environnement est paramétrable à souhait.

MarcusDom · Answer

Merci je vais jeter un oeil à ces 2 acronymes, je ne les connais pas encore.

Au passage ta signature, je l'adore, je m'y apparente quelques fois ^^

MarcusDom · Answer

Voilà, je me suis penché sur la solution ADAM, et je bloque lors de l'installation pour la synchronisation entre l'AD et une instance ADAM. 
Ca doit venir du fichier de configuration, l'erreur affiché est : 
Une erreur LDAP s'est produite. ldap_get_next_page_s : Référence.
Informations détaillées : 0000202B: RefErr: DSID-031006E0, data 0, 1 access points
ref 1: 'exemple.com'
.

Exemple.com est l'instance que j'ai crée ( sous la forme : cn=partition1,dc=exemple,dc=com ).

Si quelqu'un a des connaissances sur le sujet, je suis à l'écoute.

Utilisateur anonyme · Answer

A priori je dirais que c'est une erreur classique de contexte de nommage. 

Ton instance est-elle correctement référencée dans les DNS ? 

Sinon, poste ton fichier de conf, je jetterai un oeil.
Plus on est confiant dans sa capacité à faire fonctionner une machine, plus on passe pour un con quand ça foire...

MarcusDom · Answer

Je t'avoue que j'ai très peu de connaissances en DNS. Y a t-il un moyen de vérifier cela ? Je t'explique ma démarche, j'ai suivi le fichier suivant : https://www.scribd.com/document/2415728/Guide-pas-a-pas-du-deploiement-d-ADAM Mais à un aucun moment je ne suis allé dans une console MMC pour modifier quelque chose au niveau du DNS, peut être ais-je sauté une étape ? Merci Edit : Adamsync

object

w2k3test.principal.test

dc=principal,dc=test

administrateur

administrateur.principal.test

cn=partition1,dc=exemple,dc=com

dc=principal,dc=test

(objectClass=user)

objectSID

user

userProxy

0

Utilisateur anonyme · Answer

Bizarre, tout a l'air correct. Ta machine de test (physique) est bien référencée je suppose ?

MarcusDom · Answer

J'ai peur de dire une connerie, c'est bien les zones de recherche directes avec à la racine mon contrôleur de domaine ?
J'ai vraiment aucun acquis en DNS et je suis un peu perdu avec le vocabulaire.

Utilisateur anonyme · Answer

Ouaip, zone de recherche directe avec dedans (notamment) ton DC, mais pour ça je suis pas inquiet, un DC mal inscrit ne fonctionne pas, mais aussi et surtout, un enregistrement A (paire nom / IP) correspondant à la machine qui héberge ton instance ADAM.

MarcusDom · Answer

Alors dans les zones de recherche directes, j'ai  une zone intitulé partition1.exemple.com avec 2 fichiers intitulés tous les deux : ( identique au dossier parent ) qui sont SOA et l'autre NS.
Dans les deux, il y a comme nom de domaine pleinement qualifié du serveur : w2k3test.principal.test et l'adresse IP du serveur. Ca doit être tout bon ca non ?

Utilisateur anonyme · Answer

Ca m'a l'air pas mal en effet. Une petite clarification : partition1 est le nom de la machine sur laquelelle tu as installé l'instance ? Enfin, je veux dire, t'as pas installé une instance de l'ADAM sur ton DC, hein ? T'as pas fait ça ? =:-s

MarcusDom · Answer

Heu, c'est bien possible tout ca. Je m'y perd !
Alors mon contrôleur de domaine s'appelle w2k3test, donc je suppose que c'est mon serveur.
Mon domaine est principal.test où j'ai installer mon AD.
Et partition1.exemple.com est la zone où j'ai installer mon instance ADAM.

Lors de la création de l'instance, j'ai renseigné après avoir coché oui, le nom : cn=partition1,dc=exemple,dc=com.

Comme je te l'ai dit, niveau DNS, je suis perdu. Ca serait pas mieux que je refasse une instance en mettant par exemple : cn=partition1,dc=principal,dc=test ?

En tout cas merci pour ton aide

Utilisateur anonyme · Answer

Pas de souci, j'essaie juste de bien piger pour ne pas te préconiser des bêtises, et c'est un peu confus, là... Ce que j'ai besoin de comprendre clairement, c'est si ton instance de l'ADAM est installée sur un serveur à part, ou sur la même machine qui te sert de contrôleur de domaine. Si on est dans ce dernier cas, c'est pas bon...

MarcusDom · Answer

Alors je dirai un peu des deux ^^
J'ai accès à un serveur virtuel qui ne se trouve pas dans mon réseau, je suis connecté via le bureau à distance, j'ai donc installé active directory dessus, crée mon nom de domaine, puis ensuite installé l'instance d'ADAM sur une zone nommée exemple.com. Mais tout ceci s'est fait sous le même serveur. A aucun moment je n'ai utilisé un ordi client ou un autre serveur.
On ne peut pas synchroniser un AD vers un ADAM sur un même serveur ?

Utilisateur anonyme · Answer

Si si on peut, c'est juste que je ne l'ai jamais fait :o)

Tu as utilisé toutes les valeurs par défaut que le wizard te proposait ? Parce que si tu installes ADAM sur un DC, les valeurs par défaut qui te sont proposées pour les ports LDAP et SSL sont 50000 et 50001. Si tu les as conservées telles quelles, alors le souci ne vient pas de là. Si tu les as modifiées en 389 et 636 (ça peut arriver quand on installe vite :o) ) alors y'a des chances pour que ça coince à ce niveau.

Sinon, après, je vois plus très bien où ça pourrait coincer :o)

MarcusDom · Answer

Oui, j'ai gardé les valeurs par défaut, donc bien le 50000 pour le port donc quand j'ai utilisé les commandes ldifde j'ai rentré : 

Ldifde -i -s localhost -t 50000 -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSchemaW2k3.ldf

il me modifie 1009 entrées

ainsi que :

Ldifde -i -s localhost :389 -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetaData.ldf

Celle là si je la refais, il me met une erreur comme quoi une tentative d'ajout d'un objet dans l'annuaire avec un nom déjà utilisé s'est produite, mais sinon ca c'était bien déroulé la première fois.

Et ensuite ca coince. J'ai parcouru environ les 3/4 d'internet sur cette erreur bien précise, sans trouver une solution. Je pense que je vais repartir de zéro cette après midi pour voir si j'ai merdé quelque part, parce que là, je sèche

Utilisateur anonyme · Answer

En effet, l'un des principaux avantages d'ADAM est de pouvoir le désinstaller / réinstaller très facilement. 

Tiens moi au courant du résultat, ça m'intéresse :o)

MarcusDom · Answer

Ok, je te tiens au courant une fois que c'est fait.
J'ai l'impression qu'il y a du vécu chez toi. Tu penses que ce que je propose est réalisable ? 
Ca fait déjà 3 semaines, et il est temps pour moi de trouver une solution. Même si j'arrive à régler ce problème, la synchro entre le serveur 2003 et 2008 sera possible ? 
Je crée une instance ADAM dans la DMZ et je synchronise avec l'AD du 2008, j'ai juste ou pas ?

Utilisateur anonyme · Answer

Tu as juste dans l'absolu. Le truc, c'est que tu as dit ce que tu voulais faire, mais pas pourquoi :o)

Du coup j'ai un peu de mal à te dire si ta solution est appropriée, vu que je n'en connais pas la finalité ;o)

MarcusDom · Answer

Bien sûr, alors je veux juste répliquer 3 ou 4 attributs de chaque utilisateurs de l'active directory ( nom, prénom, adresse e-mail, éventuellement numéro de téléphone ), pour que les employés utilisant le carnet d'adresses de l'entreprise, puissent consulter l'annuaire même en étant à l'extérieur du VPN. Pour le moment il faut être dans l'intranet pour avoir accès au carnet d'adresses ( utilisation via outlook et webmail ). Donc le mettre dans la DMZ permettrait aux utilisateurs nomades d'utiliser l'annuaire sans pour autant que ce dernier ne contienne des données sensibles. 
Il faut également que ce soit dynamique, d'où la synchronisation.

J'ai du mal à l'expliquer ce sujet  :-|

Utilisateur anonyme · Answer

Problématique cette fois parfaitement exprimée, et je te confirme que la solution est la bonne.

Juste, quand les petits malins habituels vont voir qu'il y a des noms, des adresses mail et des des nums de tel, y vont bien se régaler.

D'un autre côté, c'est pas bien grave, hein, une DMZ c'est fait pour ça ;o)

MarcusDom · Answer

Très bien ca me rassure, après avoir envisagé l'openLDAP, la réplication entre AD, le LSC project ou les solutions payantes, je me sentais un peu découragé :)

Pour les données en DMZ c'est pas ce qui me pose le plus de soucis, j'appréhende plus le côté pare-feu, je ne souhaite pas le transformer en passoire si je dois synchroniser l'adam. Enfin pour le moment je vais déjà essayer de régler le problème de la synchronisation.

Utilisateur anonyme · Answer

Ouaip, tiens moi au courant, on verra ensuite comment gérer la passoire :o)

MarcusDom · Answer

J'ai refais la manip'. J'ai mis comme nom DNS domaine.principal.test Cette fois ci j'ai créer une instance ADAM cn=partition,dc=domaine,dc=principal,dc=test. Avec : Adamsync

object

w2k3test.domaine.principal.test

dc=domaine,dc=principal,dc=test

Administrateur

Administrateur.domaine.principal.test

cn=partition,dc=domaine,dc=principal,dc=test

dc=domaine,dc=principal,dc=test

(objectClass=*) Et j'ai comme message d'erreur : Impossible de lire l'attribut objectclass sur cn=partition,dc=domaine,dc=principal,dc=test On peut pas dire que ce soit beaucoup mieux :o|

Utilisateur anonyme · Answer

Là, je comprends plus rien de rien...

Tu as bien fait les extensions de schéma qui sont demandées, tu as bien importé les fichiers ldif et tout et tout ?

MarcusDom · Answer

oui, avec les 2 commandes en ldifde.
J'ai eu un "soucis" par contre. Lors de la création du fichier LDIF, mais comme je m'en sers pas encore j'y ai pas prêté attention. 
Avec ADSchemaAnalyzer, j'ai mis le schéma de base et la cible et lorsque je crée le fichier LDIF, il me met schéma valide, mais lors de la création, il me marque : 0 attributs, 0 classes, 0 ensembles de propriétés, 0 éléments présents mis à jour.

Mais je doute que ca vienne de là le problème

Utilisateur anonyme · Answer

la connexion à l'instance se fait bien ? le port 50000 serait pas des fois bloqué ? tente un telnet du bouzin sur ce port, histoire de voir...

Là j'envoie au  hasard dès que ça me vient, parce que je comprends pas... 

De toute manière s'il ne sait pas lire l'attribut objectclass, c'est même pas la peine, c'est le plus important.

MarcusDom · Answer

pare-feu désactivé donc je pense qu'il ne devrait pas y avoir de soucis.
Ensuite via les outils ADAM ADSI et Schéma ADAM j'arrive à explorer sans soucis. Donc je suppose qu'il est bien ouvert.
Je crois que je suis reparti pour faire un essai, je suis plus à ca près

MarcusDom · Answer

Du neuf, j'ai le même problème qu'au début la même erreur, sauf que la commande de l'install s'est bien déroulé. Voilà le nouveau fichier de config : description>Adamsync object

serveur.test

dc=serveur,dc=test

Administrateur

Administrateur.serveur.test

cn=partition,dc=adam,dc=serveur,dc=test

dc=serveur,dc=test

(objectClass=*) sur les ports 50000 et 50001. si je tape adamsync /sync localhost:50000 "dc=adam,dc=serveur,dc=test" j'ai l'erreur vu précédement. si je tape adamsync /sync localhost:50000 "cn=partition,dc=adam,dc=serveur,dc=test" j'ai : Une erreur LDAP s'est produite. ldap_add_sW: Définition de la violation. Informations détaillées : 00002099: NameErr: DSID-03050F78, problem 2005 (naming_violation), data 0, best match of: 'cn=partition,dc=adam,dc=serveur,dc=test' Mais au moins l'étape de l'install est passée, mais bon si c'est pour coincer une commande plus loin, ca craint...

Utilisateur anonyme · Answer

Là, c'est déjà plus logique...

Effectivement, ce que tu essaies de synchroniser dans ta commande initiale est incomplet, la seconde est syntaxiquement la bonne.

Pour l'erreur de naming violation, jette un oeil à ce thread :

http://forums.techarena.in/active-directory/64934.htm

Courage, tu y es presque :o)

MarcusDom · Answer

Bonjour, nouvelle semaine, nouvelle galère ?

J'ai jeté un oeil sur ton lien mais je n'arrive pas à régler mon problème. En même temps je pige pas tout en anglais. J'ai essayé une autre méthode via un fichier de config "update", mais rien n'y fait, je suis toujours coincé à cette install

Utilisateur anonyme · Answer

Dans le thread que je t'ai indiqué, cette partie est intéressante :

That's a namespace problem, the DSA is punting to a namespace
it does not cover

> My AD is organized so I have
> ou=users,ou=accounts,dn=web,dn=nmda,dn=org

assuming that should be dc= rather than dn=

> and I want to sync that with the ADAM instance at
> ou=users,ou=accounts,o=nmda,c=us

That is most likely your problem; you cannot transform the naming
contexts in that way, so in your config.xml if your source-ad-partition is

dc=web,dc=nmda,dc=org

then you will need to create an ADAM naming context

dc=web,dc=nmda,dc=org, <target-rdn>

where target-rdn can be some naming component or nothing. If you
then specify the base-dn as

ou=users,ou=accounts,dc=web,dc=nmda,dc=org

That should sync the data for you.

MarcusDom · Answer

J'ai pas vraiment saisi l'utilité du <target-rdn> c'est quoi le r ?
J'ai changé un peu toute la config de ce fichier, mais rien n'y fait. 
C'est bien une ligne à rajouter ? 
Ensuite, le type met des dn, bon si j'ai bien compris, c'est pas bon, mais je ne l'ai pas fait donc de ce côté là, ca va.
Je comprends toujours pas l'erreur. Mon instance ADAM est bien dans la forêt de l'AD, donc il ne doit pas avoir de soucis pour y accèder non ?
Le lundi matin c'est dur :)

Utilisateur anonyme · Answer

A priori c'est vraiment un souci d'espace de nommage, j'avoue que je commence à être un peu sec :-s

MarcusDom · Answer

Moi de même...
Mais il n'y a pas autre chose que je pourrai faire à part toucher au fichier de config ?
Si ca se trouve ca vient peut être de mon serveur DNS.
Ou alors je refais ( encore ) un essai en utilisant scrupulesement les noms utilisés dans le tutoriel de microsoft avec les "o=Microsoft,dc=FR", mais je doute que ca ne change quelque chose

Utilisateur anonyme · Answer

C'est ce que j'allais te proposer en dernier recours :o) 

Mais bon, j'y crois pas plus que ça non plus 
Plus on est confiant dans sa capacité à faire fonctionner une machine, plus on passe pour un con quand ça foire...

MarcusDom · Answer

Je n'ai plus de message d'erreur !
Mais je sais pas si la synchro a fonctionné. J'ai just changé 2,3 trucs dans le fichiers de config, j'y comprends plus rien a ce programme.

Utilisateur anonyme · Answer

C'est ce qui fait tout son charme :o) 

T'as fait tout exactement comme dans l'exemple c'est ça ? 
Plus on est confiant dans sa capacité à faire fonctionner une machine, plus on passe pour un con quand ça foire...

MarcusDom · Answer

même pas, j'ai refait comme l'exemple mais ca n'a rien fait. Je suis allé dans le guide détaillé des technet pour le fichier de config et j'ai changé ce dernier. Voilà le nouveau : Adamsync

object

w2k3test

dc=serveur,dc=test

Administrateur

serveur.test

cn=partition,dc=adam,dc=serveur,dc=test

ou=Users,dc=serveur,dc=test On peut pas dire que j'ai changé beaucoup de choses, mais il semblerait que ca marche, mais c'est pas encore concret puisque je n'ai pas d'exemples concrets pour le moment, je continue le tuto pour voir s'il réplique correctement. Quoi qu'il en soit, plus de message d'erreurs, et ça, c'est un bon début !

Utilisateur anonyme · Answer

En effet... Mais le nommage me semble différent de ce que tu avais fait avant, et c'est vraiment touchy à ce niveau.

Ben après, te reste plus qu'à faire une requête LDAP sur ton ADAM, tu verras de suite si ça gaze ou pas.

MarcusDom · Answer

Du neuf.
Voilà j'arrive à créer des utilisateurs, groupes, partitions via ldp ainsi que par des fichiers ldf via l'outil ldfide.
Maintenant mon objectif, c'est de créer des utilisateurs à partir de l'active directory et que ce soit répliqué dans l'adam avec si possible une réplication automatique du genre tout les jours. 
Toujours en local. 
Je suppose qu'il faut apporter des modifications au niveau du fichier de config et bien sûr ne répliquer que le nom, prénom et l'adresse mail de l'utilisateur crée

MarcusDom · Answer

Autre problème, j'essaie via le carnet d'adresses de windows d'accèder aux infos des contacts que j'ai crée dans ADAM avec un PC qui ne strouve pas dans le réseau du serveur. J'ai ouvert le port d'ADAM sur le serveur et sur le PC. Dans le champ de l'authentification j'ai quelques doutes sur ce que je dois renseigner du type : Administrateur, ACTIVEDIRECT\Administrateur, serveur.test\Administrateur, dc=serveur,dc=test...
Puis les cases à cocher. En gros il m'interdit l'accès à mon serveur distant.

Utilisateur anonyme · Answer

Là, je sais plus trop... Ou y'a des ACL sur l'ADAM lui-même et tu les utilises pour l'authentification, soit faut un compte admin de l'AD (ce dont je doute pour de l'accès en lecture simple).

Dans les deux cas, j'utiliserais une authentification "à la NT" : DOMAINE\compte

MarcusDom · Answer

Ouais je sais c'est étrange, mais en local, j'ai même pas besoin de renseigner un utilisateur. Je suis obligé de dire qu'il utilise une connexion sécurisé pour se connecté, mais je peux laisser les champs libres sans rien mettre il marchera quand même. En ce qui concerne depuis l'ordinateur distant, je peux le faire aussi, il ne me mettra pas de message d'erreur de connexion, mais en revanche il ne me trouvera rien dans la base.
Pour les comptes, j'ai tout essayé :
serveur.test\Administrateur
cn=Administrateur,dc=serveur,dc=test
Administrateur
ACTIVEDIRECT\Administrateur
Les mêmes avec un /
Mais rien n'y fait.
Et pour le fichier de config t'as des infos, ou bien un coin où je pourrai trouver des informations ?

Utilisateur anonyme · Answer

Je crains malheureusement d'être arrivé à la limite de mes maigres compétences en ADAM :-s

MarcusDom · Answer

c'est pas grave, je te remercie pour ton aide précieuse. Je reste dans les parages tout de même au cas ou j'ai du nouveau :)

Utilisateur anonyme · Answer

Yep, comme ça j'apprends en même temps :o)

MarcusDom · Answer

Penses tu qu'il soit possible de créer un fichier ldif sur mesure pour l'importation des données ?
Je veux dire, étant donné que je ne veux répliquer qu'un nombre bien précis d'attributs, j'aimerai créer un fichier qui lorsque je crée un objet utilisateur, qu'il n'accepte que des attributs définis par mes soins, car à la base, il en accepte une bonne centaine. Ca serait intéressant pour la sécurisation des données

Utilisateur anonyme · Answer

Ben à mon avis oui, et c'est même tout l'intérêt de la manip, ne mettre à la disposition des requêteurs que les données qu'ils ont à connaître.

MarcusDom · Answer

en fait c'est pas vraiment utile. j'ai réussi à répliquer l'adam en local, il me réplique tout les attributs mais il ne met pas les valeurs des champs, donc ce n'est pas génant. Pour avoir la valeur de l'adresse e-mail, je met par exemple mail Je vais faire appel à tes connaissances maintenant : je réplique l'instance d'adam dans un autre réseau. La réplication ( apparemment ) marche, il me dit qu'il va me créer une partition adam.serveur.test ( comme dans le réseau initial, c'est d'ailleurs le nom absolu du domaine ). J'essaie ensuite d'accèder à la partition via l'outil ADSI Edit, mais si je met adam.serveur.test dans la zone ou encore adam.serveur.test.ips.domaine ( le nom de domaine ou se trouve donc le réplica ), il me met qu'une référence à été renvoyé par le serveur et du coup, je n'arrive pas à valider ma connexion à l'instance. Pas terrible quoi :|

MarcusDom · Answer

J'ai trouvé la solution à mon problème. Je répliquais la base d'une forêt vers une autre, du coup, ADAM n'était pas content...
Alors la synchronisation marche, j'ai fait une tâche planifiée pour lancer la commande de synchro une fois par jour. La réplication vers mon PC s'est effectué normalement et dès qu'une modification était faite sur l'ADAM du serveur, la modification était répliquée vers l'autre instance. La connexion via le carnet d'adresses marche également. Il me reste plus qu'à faire la manipulation sur la base de l'entreprise en créant au préalable un RODC dans la DMZ.
La semaine prochaine je fais ça et je donne mon retour sur le sujet ;)

Utilisateur anonyme · Answer

Ah ben oui, évidemment, quand on n'a pas toutes les billes... :o)

T'avais jamais parlé d'une réplication inter-forêts, c'était en effet une autre problématique... M'enfin quoi... :p

Tu t'en tires très bien, Jeune Padawan, et voici ta Ceinture Bleue d'ADAM.

Maintenant, paie ton coup, moi, je suis en vacances :o)

MarcusDom · Answer

yeah depuis le temps que j'en rêvais, je l'ai enfin cette ceinture tant convoitée !

Aller c'est ma tournée, attention je paie que de la bière...

Bonne vacances maître, encore 3 semaines pour moi avant de pouvoir goûter à la joie de la farniente au soleil

MarcusDom · Answer

Les problèmes se suivent et ne se ressemblent pas.
Je dois maintenant répliquer une instance dans la DMZ. J'ai un soucis au niveau de l'utilisateur pour le jeu de configuration. Je vois pas lequel je dois utiliser. Si je choisis l'administrateur de la DMZ j'ai un beau message d'erreur à la fin de l'installation :

Active Directory n'a pas pu créer l'objet Paramètres NTDS pour ce serveur d'annuaire CN=NTDS Settings,CN=SRVAUXI$annuaire,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={636E444A-9114-47A3-B208-87781152B16B} sur le serveur d'annuaire distant 45.156.220.37:50000. Assurez-vous que les informations d'identification réseau fournies disposent des autorisations suffisantes.

Code d'erreur : 0x800706ec

La liste des serveurs RPC disponibles pour la liaison des auto-descripteurs est épuisée.

Alors là, je suis un peu perdu :|

Utilisateur anonyme · Answer

C'est un souci de firewall / ports pas ouverts. Je te poste la soluce trouvée dans un topic relatant exactement le même prob que toi :o)

2009-08-28 09:58:35 SEVERE Operation "Join instance VMwareVCMSDS" failed: : Action: Join Instance
Action: Join Instance
Action: Create replica instance
Action: Create Instance
Problem: Creation of instance VMwareVCMSDS failed: Active Directory could not create the NTDS Settings object for this directory server CN=NTDS Settings,CN=VCENTER67$VMwareVCMSDS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={0E66679B-2F2D-4BCD-9B23-1E0CF75D6B63} on the remote directory server vCenter66.vi3.vm:389. Ensure the provided network credentials have sufficient permissions.
Error code: 0x800706ec
The list of RPC servers available for the binding of auto handles has been exhausted.

The key is the error on the last two lines. RPC is failing. Bottom line, turn off the firewall.

I finally found the answer. It has to do with the installation of ADAM and RPC. I found the following on another site:

"On investigation we found that ADAM requires 2 more addtional ports (Port 135 & a random port between 1025-65535) other than port 2000 to be opened at firewall. If I open those ports I replication happens without any Issues."

MarcusDom · Answer

Oui j'ai vu ça, reste à voir si le chef veux bien ouvrir encore 2 ports supplémentaire. 
Encore un soucis, le compte de jeu de configuration. Quoi que je fasse ( et j'en ai crée des comptes, à la pelle ), j'ai toujours une erreur 0x80070057 lorsque je choisis un compte de service pour la réplication. A moins que je me plante lors de la création de l'utilisateur, je n'arrive pas vraiment à comprendre si l'utilisateur que je crée est local, de domaine ou service réseau. Même avec l'aide d'adam ca reste très flou, aussi avec cette histoire d'authentification négociée...

Utilisateur anonyme · Answer

Essaie ça :

==================================
On the "Replication Master" ADAM server only:
==================================
Create a local service account.  Add the account to Configuration
partition Administrators role.  Account has no other local privileges
beyond our default security (which I won't dig up at the moment, but
it's not in the local Administrators group for example).  Also note
that ADAM is not running under the context of this user; it's running
as default Network Services.

When installing the replica, specify Administrator of the master
replication server username as
ReplicationMasterComputername\ServiceAccountName

This account is not created on the replica server.  We also have no
firewalls between the replicas, so I can't comment on that.

Different configuration than yours, but maybe that info will help
eliminate some suspects.



Mais je soupçonne encore un prob de firewall (vu sur la plupart des threads parcourus).

MarcusDom · Answer

Oui merci pour le message, j'ai aussi trouvé des trucs similaires, mais rien n'y fait, j'ai toujours la même erreur. Pour le firewall ca ne pose pas de problème puisque je le fais aussi sur le serveur de tests et l'erreur est similaire. En fait je crée un même compte local sur les 2 serveurs qui ont le même nom et le même mot de passe, c'est bien ca ? et puis ben, j'ai toujours l'erreur 0x80070057. Rageant quand même

MarcusDom · Answer

Me revoila. Bon ca suffit, toujours pas moyen d'installer un réplica.
Je vais essayer autre chose. L'idée serait d'exporter un fichier de données des utilisateurs au format ldif, pour ensuite importer ce fichier dans un annuaire ldap dans la DMZ. Je sais pas si c'est possible de le faire avec ADAM, mais peut être avec openLDAP ou un autre programme, je suis ouvert à toutes propositions :)

Utilisateur anonyme · Answer

Moi j 'aurais continué à creuser... Meuh non j'me moque pas :o)

Normalement, juste avec une logique import / export ldif, tu devrais pas avoir de soucis, sinon t'es maudit, et faut passer au jardinage, ça tombe bien parce que j'ai la flemme de planter mes tomates :o))))

Tiens moi au courant, et lâche pas le morceau !

MarcusDom · Answer

si je continue à creuser, je vais en faire ma tombe :o|

Je part sur l'import / export, je reviens dès que je tombe sur des problèmes :)

Très peu le jardinage pour moi, vive le supermarché...

MarcusDom · Answer

Enfin, l'annuaire à pu être mis en place à l'aide de l'importation et l'exportation des fichiers LDIF. Je décris un peu ma méthode : 

Création d'une instance d'ADAM sur le serveur avec la synchronisation de l'AD. 
Export des unités d'organisation et des utilisateurs à l'aide de la commande ldifde. 

Création d'une instance d'ADAM sur le serveur de la DMZ et import des fichiers via la commande ldifde. 

Tâches planifiées pour les commandes ldifde, et hop ca marche ;) 

Maintenant il n'y a plus qu'à configurer comme il faut les serveurs de messageries pour vérifier qu'il accède bien aux contacts. 

Je vais me pencher la dessus ^^

Edit : en local j'arrive bien à le consulter, en revanche ca pose problème pour la consultation depuis l'extérieur.

Le port 389 de la DMZ est bel et bien ouvert, mais apparement il y a un soucis d'authentification.

MarcusDom · Answer

Bon aller je continue,

Je peux consulter l'annuaire mais les conditions sont très lourdes :

Il faut que tous les comptes qui veulent accéder à l'annuaire doivent être déclarés dans le CN=Readers de l'ADSI EDIT et que ce soit leurs mot de passe du domaine de l'entreprise. 

En gros des centaines de comptes avec mots de passe déclarés dans une DMZ, c'est pas terrible...

Utilisateur anonyme · Answer

J'm'en doutais un peu... Mais comme j'avais jamais essayé, je ne pensais pas que ça puisse être aussi lourd en DMZ.

Bon, l'essentiel, c'est que ça marche :o)

MarcusDom · Answer

De retour :)

J'ai tout importé d'adam vers un openLDAP, maintenant j'aimerai définir un utilisateur pour qu'il soit le seul à consulter en lecture seule l'annuaire. 
J'ai un admin qui a le contrôle total. Je ne souhaite pas autoriser l'accès en anonyme. J'ai créé donc un utilisateur spécifique mais ça coince au niveau du fichier de configuration et pas moyen d'autoriser un seul utilisateur, c'est tout le monde ou personne. 

Mais bon, au moins avec cette solution, je n'ai pas besoin d'enregistrer tous les utilisateurs comme avec ADAM.

MarcusDom · Answer

Me revoila !
Bon alors je vais parler de mon expérience :
Pour la mise en place d'un annuaire LDAP dans une DMZ, l'utilisation d'une synchronisation par fichier LDIF est bien moins hasardeuse qu'une synchro ADAM et moins lourde à mettre en place. 

Il suffit d'exporter les données de l'AD avec l'outil LDIFDE et de les exporter dans un annuaire OpenLDAP, relativement facile à mettre en oeuvre. 

Merci BugCrusher pour ces infos, je te souhaite une bonne continuation :)

Utilisateur anonyme · Answer

Pas de souci, je suis content que tu aies pu t'en tirer.

Réplication partielle d'un AD

69 réponses

Discussions similaires

Newsletters