Problème contrôleur de domaine après restauration - Management du SI - Systèmes & Réseaux Pro
Marsh Posté le 13-08-2012 à 12:15:17
Normal, un DC ça se ghost pas sous peine de mettre en vrac son infra ...
Marsh Posté le 13-08-2012 à 12:22:33
Accessoirement mieux vaut suivre les procédures de Microsoft plutôt que celles du premier site venu...
Marsh Posté le 13-08-2012 à 12:39:24
Savez vous si je peux sortir mon DC sur domaine (DCPROMO) et le rentrer a nouveau comme secondaire puis le repasser en primaire ?
Marsh Posté le 13-08-2012 à 12:51:33
Ben le tuto est bien.
Le problème, c'est d'avoir remis en service une image du DC crashé.
Mais votre AD focntionne, non ?
Votre autre DC héberge les FSMO désormais, non ?
Si oui alors tu réinstalles le DC crashé et tu le promeus en DC.
Marsh Posté le 13-08-2012 à 12:52:45
et concernant les traces de l'ancien DC dans AD, il existe des articles sur comment nettoyer AD.
Marsh Posté le 13-08-2012 à 13:44:42
Bonjour,
Le problème est que je ne peux pas réinstaller à neuf le DC car il y a des services et autres logiciels dessus que je ne pourrais pas réinstaller.
(En fait on m'as un peu appelé en renfort sur un site que je ne connais pas et dont personne ne s'occupe désormais)
C’est pour ça qu'il me fallait absolument une image de ce serveur AD.
Donc je dois absolument repartir de cette sauvegarde
J'ai effectué toutes les étapes de migration des FSMO indiquées sur le site à part pour les licences car elles étaient déjà hébergés sur l'AD secondaire,
Par contre bizarrement les comptes utilisateurs m'indiquent qu'ils se chargent en local comme si l'AD secondaire n'avait pas le catalogue. Ceci dit les profils étaient hébergés sur un disque de l'AD primaire mais celui-ci ne répond plus quand on l'appel par son nom à partir des autres serveurs (\\nomduserveur ne répond plus, or \\IPduserveur répond, c’est encore le problème de DNS je pense)
Marsh Posté le 13-08-2012 à 14:30:39
Tu as pété ton AD en restaurant le Ghost, donc maintenant tu as un gros problème de plus.
Il n'y a pas de notions de primaire/secondaire donc ne te focalise pas là-dessus, et il ne suffit pas de migrer les FSMO pour restaurer un DC.
En plus ton image "un peu vieille"...le log mentionne 2 239 677 minutes, soit un peu plus de deux ans je pense
Ce que tu pourrais essayer :
Il faut que tu restaures le DC crashé sur un réseau isolé, le dépromote/sorte du domaine/renomme, nettoie l'AD actuel à la mimine avec /metadata cleanup (et éventuellement un seize des FSMO) puis réintègre l'ancien DC à l'AD en tant que serveur membre. Puis remonter un autre DC pour la redondance.
Le problème est qu'on ne connaît pas en détail ton infra et son état de santé, donc je ne peux pas te garantir que cela est adapté et va solutionner ton incident.
Marsh Posté le 13-08-2012 à 14:32:35
Diesel93 a écrit : Bonjour, |
Proposition ,en supposant que le contrôleur restant soit vraiment op avec tous les rôles et services:
Rétrograder et le sortir du domaine hors réseau le serveur restauré
Nettoyer les traces/ générer un nouveau sid pour pas avoir de surprises
Nettoyer l'AD
Ensuite réintégrer le serveur le promouvoir et migrer les rôles
?
Marsh Posté le 13-08-2012 à 14:32:46
doublon malencontreux
Marsh Posté le 13-08-2012 à 15:58:32
Est-ce que vous pensez que si je fais DCpromo et qu'ensuite je le sort du domaine puis je le réinsère juste en tant que serveur standard sa pourrait fonctionner ? (en laissant le second comme AD primaire)
Ou est ce qu’il faut absolument le nettoyer et changer de SID (si oui quelle est la méthode je ne l’ai jamais fait)
Merci d'avance
Marsh Posté le 13-08-2012 à 16:41:33
Tu es sur que le ghost était bien un ghost du serveur AD correspondant ?
Tu peux restaurer un DC proprement depuis une image , uniquement si tu as une sauvegarde de l'état du système pour remettre AD correctement avec les procédures qui vont bien et qui existe sur technet.
Mais 2 ans c'est un record.
Si tu n'as pas de ntbackup rescent la faut reconstruire le DC.
Mais attention si ce n'est pas le ghost d'origine de ce serveur la tu vas avoir un doublon de SID, et la c'est la merde.
Sinon si l'image provient du bon serveur et qu'il n'a pas le même SID que l'autre DC (logiquementp) ou qu'une autre machine de ton réseau tu devrais pourvoir :
mettre hors ligne le DC hs
faire dcpromo et supprimer AD
nettoyer l'AD sur l'autre DC ainsi DNS (pas oublier SOA), replication ....
puis remettre le serveur HS en ligne, puis membre du domaine puis DC promo pour remettre l'AD sur le serveur restauré.
Mais cela ne marche que si tu sais nettoyer corectement un AD, et tu as l'air d'avoir du mal avec la notion de primaire secondaire qui n'existe plus depuis AD, la notion de GC et rôles FSMO.
Pas simple.
Marsh Posté le 13-08-2012 à 17:33:41
Oui normalement le Serveur à le même SID vu que c'est un ghost (acronis similaire a ghost) de celui qui tournait. (Celui qui tournait n'est plus sur le réseau et est éteint) le deuxième qui a les rôles FSMO lui tourne est n'a pas le même SID
Apparemment la méthode que tout le monde me donne et de faire un DCPROMO et de le sortir du domaine ensuite de le nettoyer pour le remettre dedans.
Mais comment faire pour le Nettoyer avez-vous un tuto ?
Quelles sont les commandes ?
est ce que ce qui est dit ici suffit :
http://www.labo-microsoft.org/arti [...] ateriel/5/
Marsh Posté le 13-08-2012 à 18:11:10
Tu as cette KB de M$ : http://support.microsoft.com/kb/216498/fr
Tu peux recouper avec un des nombreux articles sur le sujet : http://www.alexwinner.com/articles [...] eanup.html
Marsh Posté le 13-08-2012 à 18:41:57
Mais arrête de te baser sur des scénarios de migration, tu es dans le cadre d'une restauration là, c'est totalement différent
Si tu ne connais rien à l'AD le mieux est d'engager un presta pour le faire, ou au minimum de te renseigner avant.
Suis les procédures données par Shongail, mais encore une fois il n'est pas garanti que tu cela solutionnes ton problème, surtout si tes données applicatives ont deux ans d'âge
Marsh Posté le 13-08-2012 à 19:08:13
Le mieux est surement de contacter le support microsoft pour ce genre de choses. Parce que là c'est un accident de prod, que l'AD c'est critique et que tu sais pas ce que tu fais, tu connais ni AD, ni DNS
Marsh Posté le 14-08-2012 à 07:56:42
Comme tu parles de tuto je te donne ce lieu
http://unifiedit.wordpress.com/200 [...] y-ad-2008/
Mais attention pas trop vite, ce qui m'interresse c'est la première phrase :
"L’exécution de cette procédure est très dépendante de l’infrastructure Active Directory en place", nous ne pouvons te donner aucun tuto dont on soit sur qu'il soit adapté à TON CAS.
tu trouve aussi des éléments sur technet :
http://technet.microsoft.com/en-us [...] S.10).aspx
Le lien de Shongail est un élément il faut aussi s'occuper de la purge des dns,pour cela c'est pratique de connaître ce que doit contenir les dns pour Active directory, il faut connaitre les outils dcdiag etc ...
A noter que lorsque tu rétrograde le DC HS fais le hors ligne !
Lorsque tu nettoye le DC restant soit sur de ce que tu fais, ne suis pas un tuto sans réfléchir, tu n'as aucune certitude que l'état de départ correspond a ton cas de figure.
Enfin si tu n'as jamais fait de restau AD dans une maquette, fait toi aider.
Marsh Posté le 14-08-2012 à 09:32:43
Si ca interesse ci joint une petite doc pour la prépa d'une restau AD
http://www.microsoft.com/en-us/dow [...] x?id=16506
Marsh Posté le 14-08-2012 à 10:30:52
Bonjour,
Il est vrai que je ne connais pas beaucoup les AD mais j'ai des « petites » notions. Ensuite pour le prestataire ce n’est pas possible ils ne le feront pas je dois me débrouiller seul sinon je ne serais pas venu demandé « au secours » ici .
Pour ce qui est des données vous n’inquiétez pas en fait l'image du serveur est vielle mais il n'a quasiment pas bougé car les vraies données (variables avec le temps sont sur un SAN relié en fibre optique à ce serveur) donc en restaurant l'image tous les processus se sont bien lancé et les données sont bien à jour.
Par contre j’ai surement été trop vite voici ce que j’ai fait :
J’ai déconnecté du réseau l’ex serveur AD et j’ai voulu faire un « dcpromo » mais il n’a pas voulu
Alors j’ai fait un « dcpromo /forceremoval »
Ensuite sur l’AD qui est resté sur le réseau j’ai fait un metadata cleanup pour supprimer l’autre.
Par contre c’est là où j’ai été trop vite, juste après, j’ai sorti est rerentré dans le domaine l’ex AD en tant que serveur standard (après plusieurs redémarrage bien sûr).
Ca a bien fonctionné « \\nomduserveur » est de nouveau accessible et les programmes se lancent bien mais le souci c’est qu’il ne voit pas le domaine pourtant il est dedans.
Exemple, si je veux partager un dossier et que je veux choisir les utilisateurs j’ai pas accès aux utilisateurs du domaine mais aux utilisateurs locaux.
Bon pour l’instant ça ne pose pas de problèmes est tout à l’aire d’être ok (niveau prod) mais ça ne me plaît pas ce n’est pas propre (même si je sais que d’après vos commentaires ce n’est pas propre depuis le début, mais là c’est pire).
Marsh Posté le 14-08-2012 à 10:45:01
Diesel93 a écrit : Bonjour, |
Tu es aller trop vite au force removal, impossible de t'aider la dessus, vu que tu ne donne aucun élément sur l'erreur du dcpromo.
après metadata cleanup sur le serveur OK, as tu fais tout les contrôles dcdiag entre autre, as tu controler le contenu de tes zones DNS, as tu vérifier dans user et ordinateur que l'ancien serveur n'est plus dans utilisateurs et ordinateurs.
Cela ne marche que si tu es certain que ton nettoyage est propre.
Ton exemples de partages laissent indiquer que le serveur récupéré n'est pas proprement remis dans le domaine,
En commencant par le conf réseau de ce serveur, qu'elle est son serveur dns primaire ?
Marsh Posté le 14-08-2012 à 11:02:56
J'ai fait un forceremoval car l'erreur était que le serveur ne pouvait pas contacter le contrôleur de domaine et aussi qu'il n’était pas sur le domaine donc impossible d'aller plus loin (même chose câble réseau branché). Donc j'ai débranché le RJ45 et j'ai fait un forceremoval.
Apres le metadata cleanup le serveur n'était plus dans les ordinateurs du domaine ni nul part ailleurs, par contre je n'ai pas vérifié dans les entrées DNS.
Je n'ai pas non plus fait de DCdiag je peux regarder maintenant.
En ce qui concerne le DNS configuré maintenant c'est celui du nouveau DC
Marsh Posté le 14-08-2012 à 14:09:56
oui pour le dcdiag, ca serait pas mal de savoir si le premier DC n'est pas dans la merde, et d'avoir quelques choses de propre avant de remettre le 2ème.
tu as aussi dnslint que tu peux récupérer et qui permet de vérifier l'état des zones dns.
Marsh Posté le 15-08-2012 à 22:15:46
Voila la KB qui va bien: http://support.microsoft.com/kb/875495/en-us
Lit bien tout
Marsh Posté le 16-08-2012 à 07:03:08
fun_key a écrit : Voila la KB qui va bien: http://support.microsoft.com/kb/875495/en-us |
il a déjà rétrograder l'ancien DC ! dcpromo /forceremoval.
Marsh Posté le 13-08-2012 à 11:53:53
Bonjour,
Apres un crash de serveur AD (impossible de le redémarrer)
Nous avons migré l'Active directory secondaire en principal grâce à ce tuto:
http://www.labo-microsoft.org/arti [...] ateriel/3/
Nous avons restauré l'AD primaire à partir d'une image Ghost (un peu ancienne)
et avant de le remettre sur le réseau nous lui avons dit que ce n’était plus lui le catalogue global (dans sites et services active directory)
Mais depuis son redémarrage dans le réseau il n'est plus reconnu comme contrôleur de de domaine j'ai des messages d'erreurs disant qu'il n'arrive pas à répliquer les données depuis l'AD secondaire car le nom du serveur renseigné dans le DNS n'existe pas or il existe
Comment faire pour le remettre dans le domaine et lui refaire récupérer les infos de l'AD secondaire ?
Voici le type de message du journal:
Message édité par Diesel93 le 13-08-2012 à 12:10:00