asked on
DC Netdom resetpwd  - internal error has occured
Hello,
Here the configuration :
One Hyper V.
Domain : xxxx.xxxx.com
Domain controller: pmdc.xxxx.xxxx.com
IP : 10.80.0.90
DNS : 10.80.0.90 (itself)
OS : Windows 2019 standard
Here the symptoms :
After a reboot, DNS just wont open : Access Denied.
Here the event ID found in the event viewer :
4000, 4521,4007.
ADUC is still available, GPO too
Disabled the KDC service and I tried this command ad admin: netdom /resetpwd /s:pmdc.xxxx.xxxx.com /ud:xxxx\admin /pd:*
And this error occured :
The machine account password for the local machine could not be reset.
An internal error occurred.
The command failed to complete successfully.
I tried with /s:10.80.0.90...same problem
I restored an old snapshot (10days old), after the reboot I have the same problem.
I tried to launch the command from another server on the same subnet/domain, it works but nothing changes after the reboot.
I think this domain is totally broken, but if you have any suggestions.
ASKER
Yes I restored a 10 day old snapshot after tried everything.
Even If I'm going to have problems, the main problem will not solved anyway.
assuming you have another DC, DNS for each DC should point to a different DC
If DNS is not working - nothing will work in AD.... so if you do have another working DC, point it to that for DNS then see how you go.
ASKER
I don't have another working DC, that's the problem. :(
ASKER
https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/use-netdom-reset-domain-controller-password
There is no benefit to resetting a DC computer account password where you only have one DC in your forest.
you cant logon to the DC directly... can you access the event logs remotely ? The best thing to do is to try and find the root cause of your issue (which will be hard, as there will bucketloads of errors in your event logs) and systematically work through it
ASKER
I've tried a lot of things.
And I can logon DC directly, I have all the logs mentionned in the first post.
I can add these events to this problem:
EVENT 1126 ActiveDirectory_Domain Service, Error 8430
Event 1202 ADWS
I only have this...
ASKER
Ending to I_NetlogonControl failed : Status = 1359 0x54f ERROR_INTERNAL_ERROR
net stop kdc
klist purge
netdom resetpwd /server:127.0.0.1 /userd:domain.com\administrator /passwordd:*
net start kdc
After that restart the Active Directory Services service.I'm also curious what the output of dcdiag /v /test:dns is.
ASKER
Here the result (sorry it's in French):
dcdiag /v /test:dns
Diagnostic du serveur d'annuaire
Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
* Vérification que l'ordinateur local pmdc est un serveur d'annuaire.
Serveur associé : pmdc
* Connexion au service d'annuaire sur le serveur pmdc.
* Forêt AD identifiée.
Collecting AD specific global data
* Collecte des informations sur le site.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com
Getting ISTG and options for the site
* Identification de tous les serveurs.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=PMDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Identification de toutes les références croisées NC.
* 1 contrôleurs de domaine ont été trouvés. Test de 1 d'entre eux.
Collecte des informations initiales terminée.
Exécution des tests initiaux nécessaires
Test du serveur : Default-First-Site-Name\PMDC
Démarrage du test : Connectivity
* Active Directory LDAP Services Check
L'adresse IP de l'hôte 62dc4c82-aa0a-4289-af4b-0ff1f922b872._msdcs.inside.contoso.com n'a pas pu être
résolue. Vérifiez le serveur DNS, DHCP, le nom du serveur, etc.
Erreur obtenue lors de la vérification de la connectivité LDAP et RPC. Vérifiez les paramètres du pare-feu.
......................... Le test Connectivity
de PMDC a échoué
Exécution des tests principaux
Test du serveur : Default-First-Site-Name\PMDC
Test omis à la demande de l'utilisateur : Advertising
Test omis à la demande de l'utilisateur : CheckSecurityError
Test omis à la demande de l'utilisateur : CutoffServers
Test omis à la demande de l'utilisateur : FrsEvent
Test omis à la demande de l'utilisateur : DFSREvent
Test omis à la demande de l'utilisateur : SysVolCheck
Test omis à la demande de l'utilisateur : KccEvent
Test omis à la demande de l'utilisateur : KnowsOfRoleHolders
Test omis à la demande de l'utilisateur : MachineAccount
Test omis à la demande de l'utilisateur : NCSecDesc
Test omis à la demande de l'utilisateur : NetLogons
Test omis à la demande de l'utilisateur : ObjectsReplicated
Test omis à la demande de l'utilisateur : OutboundSecureChannels
Test omis à la demande de l'utilisateur : Replications
Test omis à la demande de l'utilisateur : RidManager
Test omis à la demande de l'utilisateur : Services
Test omis à la demande de l'utilisateur : SystemLog
Test omis à la demande de l'utilisateur : Topology
Test omis à la demande de l'utilisateur : VerifyEnterpriseReferences
Test omis à la demande de l'utilisateur : VerifyReferences
Test omis à la demande de l'utilisateur : VerifyReplicas
Démarrage du test : DNS
Les tests DNS sont en cours d'exécution et ne sont pas arrêtés. Veuillez patienter quelques minutes...
See DNS test in enterprise tests section for results
......................... Le test DNS
de PMDC a échoué
Exécution de tests de partitions sur ForestDnsZones
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur DomainDnsZones
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur Schema
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur Configuration
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur inside
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests d'entreprise sur inside.contoso.com
Démarrage du test : DNS
Résultats des tests des contrôleurs de domaine :
Contrôleur de domaine : pmdc.inside.contoso.com
Domaine : inside.contoso.com
TEST: Authentication (Auth)
Test d'authentification : terminé
TEST: Basic (Basc)
Erreur : Pas de connectivité LDAP
Le système d'exploitation Microsoft Windows Server 2019 Standard (Service Pack level: 0.0) est pris
en charge
Le service NETLOGON est en cours d'exécution
Le service kdc est en cours d'exécution
Le service DNSCACHE est en cours d'exécution
Le service DNS est en cours d'exécution
Le contrôleur de domaine est un serveur DNS
Informations sur les cartes réseau :
Carte [00000001] Microsoft Hyper-V Network Adapter :
MAC address is 00:15:5D:00:D0:01
Adresse IP statique
IP address: 10.80.0.90
Serveurs DNS :
Avertissement :
10.80.0.90 (PMDC) [Invalid]
Avertissement : la carte [00000001] Microsoft Hyper-V Network Adapter a un serveur DNS non
valide : 10.80.0.90 (PMDC)
Erreur : serveurs DNS non valides
Aucun enregistrement d'hôte (A ou AAAA) n'a été trouvé pour ce contrôleur de domaine
The SOA record for the Active Directory zone was not found
Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)
[Error details: 5 (Type: Win32 - Description: Accès refusé.)]
Résumé des résultats des tests pour les serveurs DNS utilisés par les contrôleurs de domaine ci-dessus :
Serveur DNS : 10.80.0.90 (PMDC)
Erreur de test 1 sur ce serveur DNS
Name resolution is not functional. _ldap._tcp.inside.contoso.com. failed on the DNS server 10.80.0.90
[Error details: 9003 (Type: Win32 - Description: Le nom DNS n'existe pas.)]
Résumé des résultats des tests DNS :
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domaine : inside.contoso.com
pmdc PASS FAIL n/a n/a n/a n/a n/a
......................... Le test DNS
de inside.contoso.com a échoué
Test omis à la demande de l'utilisateur : LocatorCheck
Test omis à la demande de l'utilisateur : Intersite
ASKER
Thanks everyone
run group policy results wizard from GPMC against the user.
Something is changed.
You only can not access the DNS management interface.
What group memberships is the admin users in? perhaps one of the groups you added, incude a block on access...
Did you delegate DNS management rights?
ASKER
In ADSI, I saw that the zones were missing. Even by recreating them, it changes nothing.