DC Netdom resetpwd  - internal error has occured
Hello,
Here the configuration :
One Hyper V.
Domain : xxxx.xxxx.com
Domain controller: pmdc.xxxx.xxxx.com
IP : 10.80.0.90
DNS : 10.80.0.90 (itself)
OS : Windows 2019 standard
Here the symptoms :
After a reboot, DNS just wont open : Access Denied.
Here the event ID found in the event viewer :
4000, 4521,4007.
ADUC is still available, GPO too
Disabled the KDC service and I tried this command ad admin: netdom /resetpwd /s:pmdc.xxxx.xxxx.com /ud:xxxx\admin /pd:*
And this error occured :
The machine account password for the local machine could not be reset.
An internal error occurred.
The command failed to complete successfully.
I tried with /s:10.80.0.90...same problem
I restored an old snapshot (10days old), after the reboot I have the same problem.
I tried to launch the command from another server on the same subnet/domain, it works but nothing changes after the reboot.
I think this domain is totally broken, but if you have any suggestions.
Andrew Porter
You should be able to login to the machine in Safe Mode as the local admin (regardless of password). From there I would think you could regain access to DNS? Are you saying you restored a 10 day old snapshot of your PDC? If so, you're going to have problems.
ASKER
I can login with any accounts on that DC, safe mode or not.
Yes I restored a 10 day old snapshot after tried everything.
Even If I'm going to have problems, the main problem will not solved anyway.
Yes I restored a 10 day old snapshot after tried everything.
Even If I'm going to have problems, the main problem will not solved anyway.
Hey.... first issue is the DC using itself for DNS.... this creates potential for the "DNS island" issue - https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-server-becomes-island
assuming you have another DC, DNS for each DC should point to a different DC
If DNS is not working - nothing will work in AD.... so if you do have another working DC, point it to that for DNS then see how you go.
assuming you have another DC, DNS for each DC should point to a different DC
If DNS is not working - nothing will work in AD.... so if you do have another working DC, point it to that for DNS then see how you go.
ASKER
Thanks Hayes,
I don't have another working DC, that's the problem. :(
I don't have another working DC, that's the problem. :(
So even when you are logged direclty into the DC w/ a domain admin account your DNS is still giving you Access Denied?
ASKER
@Andrew, Yes indeed. I followed this article:
https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/use-netdom-reset-domain-controller-password
https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/use-netdom-reset-domain-controller-password
ok, fair enough, you are in a world of hurt then.
There is no benefit to resetting a DC computer account password where you only have one DC in your forest.
you cant logon to the DC directly... can you access the event logs remotely ? The best thing to do is to try and find the root cause of your issue (which will be hard, as there will bucketloads of errors in your event logs) and systematically work through it
There is no benefit to resetting a DC computer account password where you only have one DC in your forest.
you cant logon to the DC directly... can you access the event logs remotely ? The best thing to do is to try and find the root cause of your issue (which will be hard, as there will bucketloads of errors in your event logs) and systematically work through it
I would recommend standing up a secondary DC, get it operating properly, then promote it to the PDC role.
ASKER
I can't join any machine to the domain. The DNS is not working properly.
I've tried a lot of things.
And I can logon DC directly, I have all the logs mentionned in the first post.
I can add these events to this problem:
EVENT 1126 ActiveDirectory_Domain Service, Error 8430
Event 1202 ADWS
I only have this...
I've tried a lot of things.
And I can logon DC directly, I have all the logs mentionned in the first post.
I can add these events to this problem:
EVENT 1126 ActiveDirectory_Domain Service, Error 8430
Event 1202 ADWS
I only have this...
ASKER
Tried that : nltest /sc_changepwd:...
Ending to I_NetlogonControl failed : Status = 1359 0x54f ERROR_INTERNAL_ERROR
Ending to I_NetlogonControl failed : Status = 1359 0x54f ERROR_INTERNAL_ERROR
You can give this a shot. I think you've mostly tried this, but I didn't see mention of purging the kerberos ticket cache.
I'm also curious what the output of dcdiag /v /test:dns is.
net stop kdc
klist purge
netdom resetpwd /server:127.0.0.1 /userd:domain.com\administrator /passwordd:*
net start kdcI'm also curious what the output of dcdiag /v /test:dns is.
ASKER
@footech Yes I also tried to purge the kerberos tickets. (btw netdom resetpwd still not works)
Here the result (sorry it's in French):
dcdiag /v /test:dns
Diagnostic du serveur d'annuaire
Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
* Vérification que l'ordinateur local pmdc est un serveur d'annuaire.
Serveur associé : pmdc
* Connexion au service d'annuaire sur le serveur pmdc.
* Forêt AD identifiée.
Collecting AD specific global data
* Collecte des informations sur le site.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com
Getting ISTG and options for the site
* Identification de tous les serveurs.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=PMDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Identification de toutes les références croisées NC.
* 1 contrôleurs de domaine ont été trouvés. Test de 1 d'entre eux.
Collecte des informations initiales terminée.
Exécution des tests initiaux nécessaires
Test du serveur : Default-First-Site-Name\PMDC
Démarrage du test : Connectivity
* Active Directory LDAP Services Check
L'adresse IP de l'hôte 62dc4c82-aa0a-4289-af4b-0ff1f922b872._msdcs.inside.contoso.com n'a pas pu être
résolue. Vérifiez le serveur DNS, DHCP, le nom du serveur, etc.
Erreur obtenue lors de la vérification de la connectivité LDAP et RPC. Vérifiez les paramètres du pare-feu.
......................... Le test Connectivity
de PMDC a échoué
Exécution des tests principaux
Test du serveur : Default-First-Site-Name\PMDC
Test omis à la demande de l'utilisateur : Advertising
Test omis à la demande de l'utilisateur : CheckSecurityError
Test omis à la demande de l'utilisateur : CutoffServers
Test omis à la demande de l'utilisateur : FrsEvent
Test omis à la demande de l'utilisateur : DFSREvent
Test omis à la demande de l'utilisateur : SysVolCheck
Test omis à la demande de l'utilisateur : KccEvent
Test omis à la demande de l'utilisateur : KnowsOfRoleHolders
Test omis à la demande de l'utilisateur : MachineAccount
Test omis à la demande de l'utilisateur : NCSecDesc
Test omis à la demande de l'utilisateur : NetLogons
Test omis à la demande de l'utilisateur : ObjectsReplicated
Test omis à la demande de l'utilisateur : OutboundSecureChannels
Test omis à la demande de l'utilisateur : Replications
Test omis à la demande de l'utilisateur : RidManager
Test omis à la demande de l'utilisateur : Services
Test omis à la demande de l'utilisateur : SystemLog
Test omis à la demande de l'utilisateur : Topology
Test omis à la demande de l'utilisateur : VerifyEnterpriseReferences
Test omis à la demande de l'utilisateur : VerifyReferences
Test omis à la demande de l'utilisateur : VerifyReplicas
Démarrage du test : DNS
Les tests DNS sont en cours d'exécution et ne sont pas arrêtés. Veuillez patienter quelques minutes...
See DNS test in enterprise tests section for results
......................... Le test DNS
de PMDC a échoué
Exécution de tests de partitions sur ForestDnsZones
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur DomainDnsZones
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur Schema
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur Configuration
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur inside
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests d'entreprise sur inside.contoso.com
Démarrage du test : DNS
Résultats des tests des contrôleurs de domaine :
Contrôleur de domaine : pmdc.inside.contoso.com
Domaine : inside.contoso.com
TEST: Authentication (Auth)
Test d'authentification : terminé
TEST: Basic (Basc)
Erreur : Pas de connectivité LDAP
Le système d'exploitation Microsoft Windows Server 2019 Standard (Service Pack level: 0.0) est pris
en charge
Le service NETLOGON est en cours d'exécution
Le service kdc est en cours d'exécution
Le service DNSCACHE est en cours d'exécution
Le service DNS est en cours d'exécution
Le contrôleur de domaine est un serveur DNS
Informations sur les cartes réseau :
Carte [00000001] Microsoft Hyper-V Network Adapter :
MAC address is 00:15:5D:00:D0:01
Adresse IP statique
IP address: 10.80.0.90
Serveurs DNS :
Avertissement :
10.80.0.90 (PMDC) [Invalid]
Avertissement : la carte [00000001] Microsoft Hyper-V Network Adapter a un serveur DNS non
valide : 10.80.0.90 (PMDC)
Erreur : serveurs DNS non valides
Aucun enregistrement d'hôte (A ou AAAA) n'a été trouvé pour ce contrôleur de domaine
The SOA record for the Active Directory zone was not found
Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)
[Error details: 5 (Type: Win32 - Description: Accès refusé.)]
Résumé des résultats des tests pour les serveurs DNS utilisés par les contrôleurs de domaine ci-dessus :
Serveur DNS : 10.80.0.90 (PMDC)
Erreur de test 1 sur ce serveur DNS
Name resolution is not functional. _ldap._tcp.inside.contoso.com. failed on the DNS server 10.80.0.90
[Error details: 9003 (Type: Win32 - Description: Le nom DNS n'existe pas.)]
Résumé des résultats des tests DNS :
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domaine : inside.contoso.com
pmdc PASS FAIL n/a n/a n/a n/a n/a
......................... Le test DNS
de inside.contoso.com a échoué
Test omis à la demande de l'utilisateur : LocatorCheck
Test omis à la demande de l'utilisateur : Intersite
Here the result (sorry it's in French):
dcdiag /v /test:dns
Diagnostic du serveur d'annuaire
Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
* Vérification que l'ordinateur local pmdc est un serveur d'annuaire.
Serveur associé : pmdc
* Connexion au service d'annuaire sur le serveur pmdc.
* Forêt AD identifiée.
Collecting AD specific global data
* Collecte des informations sur le site.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com
Getting ISTG and options for the site
* Identification de tous les serveurs.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=PMDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=inside,DC=contoso,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Identification de toutes les références croisées NC.
* 1 contrôleurs de domaine ont été trouvés. Test de 1 d'entre eux.
Collecte des informations initiales terminée.
Exécution des tests initiaux nécessaires
Test du serveur : Default-First-Site-Name\PMDC
Démarrage du test : Connectivity
* Active Directory LDAP Services Check
L'adresse IP de l'hôte 62dc4c82-aa0a-4289-af4b-0ff1f922b872._msdcs.inside.contoso.com n'a pas pu être
résolue. Vérifiez le serveur DNS, DHCP, le nom du serveur, etc.
Erreur obtenue lors de la vérification de la connectivité LDAP et RPC. Vérifiez les paramètres du pare-feu.
......................... Le test Connectivity
de PMDC a échoué
Exécution des tests principaux
Test du serveur : Default-First-Site-Name\PMDC
Test omis à la demande de l'utilisateur : Advertising
Test omis à la demande de l'utilisateur : CheckSecurityError
Test omis à la demande de l'utilisateur : CutoffServers
Test omis à la demande de l'utilisateur : FrsEvent
Test omis à la demande de l'utilisateur : DFSREvent
Test omis à la demande de l'utilisateur : SysVolCheck
Test omis à la demande de l'utilisateur : KccEvent
Test omis à la demande de l'utilisateur : KnowsOfRoleHolders
Test omis à la demande de l'utilisateur : MachineAccount
Test omis à la demande de l'utilisateur : NCSecDesc
Test omis à la demande de l'utilisateur : NetLogons
Test omis à la demande de l'utilisateur : ObjectsReplicated
Test omis à la demande de l'utilisateur : OutboundSecureChannels
Test omis à la demande de l'utilisateur : Replications
Test omis à la demande de l'utilisateur : RidManager
Test omis à la demande de l'utilisateur : Services
Test omis à la demande de l'utilisateur : SystemLog
Test omis à la demande de l'utilisateur : Topology
Test omis à la demande de l'utilisateur : VerifyEnterpriseReferences
Test omis à la demande de l'utilisateur : VerifyReferences
Test omis à la demande de l'utilisateur : VerifyReplicas
Démarrage du test : DNS
Les tests DNS sont en cours d'exécution et ne sont pas arrêtés. Veuillez patienter quelques minutes...
See DNS test in enterprise tests section for results
......................... Le test DNS
de PMDC a échoué
Exécution de tests de partitions sur ForestDnsZones
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur DomainDnsZones
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur Schema
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur Configuration
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests de partitions sur inside
Test omis à la demande de l'utilisateur : CheckSDRefDom
Test omis à la demande de l'utilisateur : CrossRefValidation
Exécution de tests d'entreprise sur inside.contoso.com
Démarrage du test : DNS
Résultats des tests des contrôleurs de domaine :
Contrôleur de domaine : pmdc.inside.contoso.com
Domaine : inside.contoso.com
TEST: Authentication (Auth)
Test d'authentification : terminé
TEST: Basic (Basc)
Erreur : Pas de connectivité LDAP
Le système d'exploitation Microsoft Windows Server 2019 Standard (Service Pack level: 0.0) est pris
en charge
Le service NETLOGON est en cours d'exécution
Le service kdc est en cours d'exécution
Le service DNSCACHE est en cours d'exécution
Le service DNS est en cours d'exécution
Le contrôleur de domaine est un serveur DNS
Informations sur les cartes réseau :
Carte [00000001] Microsoft Hyper-V Network Adapter :
MAC address is 00:15:5D:00:D0:01
Adresse IP statique
IP address: 10.80.0.90
Serveurs DNS :
Avertissement :
10.80.0.90 (PMDC) [Invalid]
Avertissement : la carte [00000001] Microsoft Hyper-V Network Adapter a un serveur DNS non
valide : 10.80.0.90 (PMDC)
Erreur : serveurs DNS non valides
Aucun enregistrement d'hôte (A ou AAAA) n'a été trouvé pour ce contrôleur de domaine
The SOA record for the Active Directory zone was not found
Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)
[Error details: 5 (Type: Win32 - Description: Accès refusé.)]
Résumé des résultats des tests pour les serveurs DNS utilisés par les contrôleurs de domaine ci-dessus :
Serveur DNS : 10.80.0.90 (PMDC)
Erreur de test 1 sur ce serveur DNS
Name resolution is not functional. _ldap._tcp.inside.contoso.com. failed on the DNS server 10.80.0.90
[Error details: 9003 (Type: Win32 - Description: Le nom DNS n'existe pas.)]
Résumé des résultats des tests DNS :
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domaine : inside.contoso.com
pmdc PASS FAIL n/a n/a n/a n/a n/a
......................... Le test DNS
de inside.contoso.com a échoué
Test omis à la demande de l'utilisateur : LocatorCheck
Test omis à la demande de l'utilisateur : Intersite
Do you have a workstation onto which you can login and install the RSAT tools and see if you can access the DNS console from the workstation?
ASKER
Yes and it doesn't work. I think the only solution is to delete this domain and restart the work.
Thanks everyone
Thanks everyone
Before you go down this road, create a new administrative user and see if you get similar issues with it.
run group policy results wizard from GPMC against the user.
Something is changed.
You only can not access the DNS management interface.
What group memberships is the admin users in? perhaps one of the groups you added, incude a block on access...
Did you delegate DNS management rights?
run group policy results wizard from GPMC against the user.
Something is changed.
You only can not access the DNS management interface.
What group memberships is the admin users in? perhaps one of the groups you added, incude a block on access...
Did you delegate DNS management rights?
ASKER
Yes I also tried that, I created a domain admin with permissions on DNS (added him to the DNS Admins group).
In ADSI, I saw that the zones were missing. Even by recreating them, it changes nothing.
In ADSI, I saw that the zones were missing. Even by recreating them, it changes nothing.
My french isn't great, but from what I can see (and also taking into account event IDs you mentioned before), I don't think that the DNS zones for your AD are loading. I don't know of any way to repair that. Perhaps you could restore the DC again, and before rebooting stand up a new DC to replicate with the existing one, but I think this would only help if the problem isn't within AD itself.
ASKER CERTIFIED SOLUTION
membership
This solution is only available to members.
To access this solution, you must be a member of Experts Exchange.