Sur les serveurs contrôleur de domaine l’erreur 11 est remontée pour certains services Exchange 2007.
L’article suivant décrit la méthode utilisée pour supprimer l’entrée dupliquée.
Les services incriminés sont :
- (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv)
- (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv)
Car ils référencent tout les deux le nom du CMS Exchange ainsi que le nom host du serveur Actif.
Extrait LDP :
***Searching…
ldap_search_s(ld, « DC=unifiedit,DC=priv », 2, « (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) », attrList, 0, &msg)
Result <0>: (null)
Matched DNs:
Getting 2 entries:
>> Dn: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
5> objectClass: top; person; organizationalPerson; user; computer;
1> cn: NODE1;
1> description: Exchange Mailbox Server 1st Cluster Node;
1> distinguishedName: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;
1> name: NODE1;
1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/NODE1;
>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
5> objectClass: top; person; organizationalPerson; user; computer;
1> cn: EXCCLUS;
1> description: Exchange Server cluster virtual network name account;
1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;
1> name: EXCCLUS;
1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;
Dn: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
5> objectClass: top; person; organizationalPerson; user; computer;
1> cn: NODE1;
1> description: Exchange Mailbox Server 1st Cluster Node;
1> distinguishedName: CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;
1> name: NODE1;
1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/NODE1;
>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
5> objectClass: top; person; organizationalPerson; user; computer;
1> cn: EXCCLUS;
1> description: Exchange Server cluster virtual network name account;
1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;
1> name: EXCCLUS;
1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;
MESSAGE D’ERREUR
Event Type: Error
Event Source: KDC
Event Category: None
Event ID: 11
Date: 06/01/2010
Time: 08:48:37
User: N/A
Computer: COMPUTERNAME
Description: There are multiple accounts with name exchangeMDB/COMPUTERNAME.unifiedIT.priv of type DS_SERVICE_PRINCIPAL_NAME.
Après vérification nous avons trouvé cette erreur dans la base de connaissance Microsoft : http://support.microsoft.com/kb/321044/fr
SOLUTION TECHNET
La cause remontée par la base de connaissance est la suivante :
« Ce problème se produit car deux ou plusieurs comptes d’ordinateur ont le même nom principal de service (SPN) inscrit au Registre. L’ID d’événement 11 est enregistré lorsque le centre de distribution de clés (KDC) reçoit une demande de ticket et que le nom SPN associé figure plusieurs fois sur le catalogue global lors de la vérification sur l’ensemble de la forêt. »
Pour résoudre ce problème, repérez les comptes d’ordinateur dotés du nom SPN en double. Une fois ces ordinateurs repérés, vous pouvez soit supprimer le compte d’ordinateur du domaine, détacher puis rattacher l’ordinateur au domaine, soit utiliser l’utilitaire ADSI Edit pour corriger le nom SPN sur l’ordinateur doté du nom SPN incorrect.
RESOLUTIONS
Pour repérer les comptes d’ordinateur dotés des noms SPN en double, appliquez l’une des méthodes ci-dessous.
Méthode 1 : Utiliser l’outil de support LDP
- Remarque Si les outils de support de Windows 2000 ne sont pas installés, installez-les à partir du CD-ROM Windows 2000 avant de poursuivre. Le fichier exécutable du programme d’installation des outils de support se trouve dans le dossier Support\Tools du CD-ROM. L’installation ne requiert pas le redémarrage de l’ordinateur. Toutefois, vous devrez peut-être redémarrer l’ordinateur pour mettre à jour les variables d’environnement.
- Cliquez sur Démarrer, puis sur Exécuter, tapez LDP, puis cliquez sur OK.
- Cliquez sur Connexion, puis sur Connecter.
- Laissez les paramètres par défaut, puis cliquez sur OK.
- Cliquez sur Connexion, puis sur Liaison.
- Laissez les paramètres par défaut, puis cliquez sur OK.
- Cliquez sur Affichage, puis sur Arborescence.
- Dans la boîte de dialogue Affichage de l’arborescence, tapez DC=votre_domaine,DC=com dans la zone BaseDN, où votre_domaine est le nom de votre domaine.
- Cliquez sur Parcourir, puis sur Rechercher.
- Dans la boîte de dialogue Rechercher, tapez DC=votre_domaine,DC=com dans la zone Nom unique de base.
- Dans la boîte de dialogue Rechercher, tapez nom_principal_service=HOST/monordinateur.mondomaine.com dans la zone Filtre. Si le nom principal du service mentionné dans l’erreur du journal système diffère de cet exemple, tapez le nom principal du service auquel l’erreur fait référence.
- Sous Étendue, cliquez sur Sous-arbre.
- Cliquez sur Exécuter.
Dans notre cas les deux services (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv) et (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) étaient présents sur la machine virtuelle ainsi que sur un des nœuds du cluster. La question est donc quelles valeurs supprimer. L’article http://technet.microsoft.com/fr-fr/library/aa996905(EXCHG.80).aspx donne un élément de réponse et laisse penser que le nom FDQN attendu ce qui est logique doit correspondre au serveur virtuel Exchange 2007.
Pour supprimer l’entrée nous avons utilisé SetSpn doit voici la syntaxe en précisant bien le nom du serveur à supprimer. L’idée est de supprimer l’entrée incorrecte et non le SPN entier.
setspn -D exchangeMDB/EXCCLUS.unifiedit.priv NODE1
Voici ce que cela a donné
C:\Documents and Settings\_lteruin>setspn -D exchangeMDB/EXCCLUS.unifiedit.priv MA
EXC2K01
Unregistering ServicePrincipalNames for CN=NODE1,OU=Applications,OU=Marseill
e,OU=Servers,DC=unifiedit,DC=priv
exchangeMDB/EXCCLUS.unifiedit.priv
Updated object
Vérification
***Searching…
ldap_search_s(ld, « DC=unifiedit,DC=priv », 2, « (serviceprincipalname=exchangeMDB/EXCCLUS.unifiedit.priv) », attrList, 0, &msg)
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
5> objectClass: top; person; organizationalPerson; user; computer;
1> cn: EXCCLUS;
1> description: Exchange Server cluster virtual network name account;
1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;
1> name: EXCCLUS;
1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;
———–
C:\Documents and Settings\_lteruin>setspn -D exchangeRFR/EXCCLUS.unifiedit.priv MA
EXC2K01
Unregistering ServicePrincipalNames for CN=NODE1,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
exchangeRFR/EXCCLUS.unifiedit.priv
Updated object
Vérification
***Searching…
ldap_search_s(ld, « DC=unifiedit,DC=priv », 2, « (serviceprincipalname=exchangeRFR/EXCCLUS.unifiedit.priv) », attrList, 0, &msg)
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv
5> objectClass: top; person; organizationalPerson; user; computer;
1> cn: EXCCLUS;
1> description: Exchange Server cluster virtual network name account;
1> distinguishedName: CN=EXCCLUS,OU=Applications,OU=Marseille,OU=Servers,DC=unifiedit,DC=priv;
1> name: EXCCLUS;
1> canonicalName: unifiedit.priv/Servers/Marseille/Applications/EXCCLUS;
C:\Documents and Settings\_lteruin>
SYNTAXE DE LA COMMANDE SPN
Usage: setspn [switches data] computername
Where « computername » can be the name or domain\name
Switches:
-R = reset HOST ServicePrincipalName
Usage: setspn -R computername
-A = add arbitrary SPN
Usage: setspn -A SPN computername
-D = delete arbitrary SPN
Usage: setspn -D SPN computername
-L = list registered SPNs
Usage: setspn [-L] computername
Examples:
setspn -R daserver1
It will register SPN « HOST/daserver1 » and « HOST/{DNS of daserver1} »
setspn -A http/daserver daserver1
It will register SPN « http/daserver » for computer « daserver1 »
setspn -D http/daserver daserver1
It will delete SPN « http/daserver » for computer « daserver1 »