Réplication AD - Le nom principal de la cible n'est pas correct (-2146893022)

Envoyer Imprimer PDF

Sommaire

 

 

Descriptif

J’ai rencontré le problème dernièrement chez un client et plus récemment encore sur une de mes maquettes.

Le message d’erreur remonté est « The target principal name is incorrect » ou, en français « le nom principal de la cible est incorrect ».

Ci-dessous, un exemple concret obtenu depuis ma maquette avec l’outil « AD Replication status tools » (http://www.microsoft.com/en-us/download/details.aspx?id=30005).

 

Le même résultat mais, cette fois-ci, avec la commande « repadmin /showrepl * /csv » et une petite mise en forme sous Excel.

 

Clairement, ce message d’erreur apparait lorsque le mot de passe d’un ou plusieurs contrôleurs de domaine n’a pas été répliqué correctement entre tous les contrôleurs de domaine. Pour information, un compte ordinateur Active Directory dispose d’un mot de passe et le renouvelle automatiquement et par défaut tous les 30 jours. Les contrôleurs de domaine ne dérogent pas à la règle.

Pour étayer mes propos, nous pouvons voir dans l’exemple ci-dessous que l’objet DC01 a une date de changement de mot de passe (attribut « pwdLastSet ») différent entre lui-même et DC02.

 

On aurait pu également utiliser la commande « repadmin /showobjmeta <DC Source> <distinguishedName de l’objet> » pour identifier que les attributs relatifs au mot de passe ne sont pas synchronisés entre les deux contrôleurs de domaine.

 

 

 

Solution

 

  • Etape 1 : on identifie le contrôleur de domaine qui est maître d’opérations « PDCe » à l'aide de la commande « netdom query fsmo ». Dans notre exemple, il s’agit de « DC01 ».

 

  • Etape 2 : premièrement, on stoppe le service KDC sur le contrôleur de domaine impacté à l'aide de la commande « net stop kdc ». On purge ensuite les tickets kerberos avec la commande « klist purge ».

 

  • Etape 3 : on réinitialise le mot de passe du contrôleur de domaine impacté depuis le PDCe avec la commande « netdom resetpwd <dc> /userd:user@domain /passwordd:* » (<dc> est le nom du contrôleur de domaine sur lequel vous rencontrez le problème).

Remarque: si cela est possible, créez temporairement un lien de réplication bi-directionnel entre le PDCe et le contrôleur de domaine impacté.

 

  • Etape 4 : on force la synchronisation des réplications à l’aide de la commande  « repadmin /syncall ».

 

  • Etape 5 : on redémarre le service KDC sur le contrôleur de domaine impacté avec la commande « net start kdc ».

 

Le problème est résolu !

Mise à jour le Jeudi, 22 Mai 2014 16:35