Problème contrôleur de domaine après restauration

Problème contrôleur de domaine après restauration - Management du SI - Systèmes & Réseaux Pro

Marsh Posté le 13-08-2012 à 11:53:53    

Bonjour,

 

Apres un crash de serveur AD (impossible de le redémarrer)

 

Nous avons migré l'Active directory secondaire en principal grâce à ce tuto:
http://www.labo-microsoft.org/arti [...] ateriel/3/

 

Nous avons restauré l'AD primaire à partir d'une image Ghost (un peu ancienne)
et avant de le remettre sur le réseau nous lui avons dit que ce n’était plus lui le catalogue global (dans sites et services active directory)

 

Mais depuis son redémarrage dans le réseau il n'est plus reconnu comme contrôleur de de domaine j'ai des messages d'erreurs disant qu'il n'arrive pas à répliquer les données depuis l'AD secondaire car le nom du serveur renseigné dans le DNS n'existe pas or il existe

 

Comment faire pour le remettre dans le domaine et lui refaire récupérer les infos de l'AD secondaire ?

 

Voici le type de message du journal:

 
Code :
  1. Active Directory n'a pas pu transposer en adresse IP le nom d'hôte DNS du contrôleur de domaine source suivant. Cette erreur empêche la réplication entre un ou plusieurs contrôleurs de domaine de la forêt des opérations d'ajout, de suppression et de modification effectuées dans Active Directory.  Tant que cette anomalie persiste, il existera des incohérences entre différents contrôleurs de domaine au niveau des groupes de sécurité, des stratégies de groupes, des utilisateurs et des ordinateurs et de leurs mots de passe, ce qui pourrait entraver l'authentification lors de la connexion ou l'accès aux ressources du réseau.
  2. Contrôleur de domaine source :
  3. ****
  4. Nom de l'hôte DNS introuvable :
  5. ********
  6. Remarque : par défaut, un maximum de dix échecs DNS sont consignés en journal pour chaque laps de douze heures, même s'il s'est produit plus de dix échecs. Pour les enregistrer tous, affectez la clé de Registre suivante de la valeur de 1 :


 

Code :
  1. Le Vérificateur de cohérence de connaissances a détecté que les tentatives successives de réplication avec le contrôleur de domaine suivant ont échoué invariablement.
  2. Tentatives :
  3. 178
  4. Contrôleur de domaine :
  5. CN=NTDS Settings,CN=*******,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=****,DC=****
  6. Période de temps (minutes) :
  7. 2239677
  8. L'objet Connexion pour ce contrôleur de domaine sera ignoré, et une nouvelle connexion temporaire sera établie afin d'assurer la continuation de la réplication. Lorsque la réplication avec ce contrôleur de domaine reprendra, la connexion temporaire sera supprimée.
  9. Données supplémentaires
  10. Valeur de l'erreur :
  11. 1256 Le système distant n'est pas disponible. Pour obtenir des informations à propos du dépannage réseau, consulter l'Aide Windows.
 
Code :
  1. Active Directory n'a pas pu établir une connexion avec le catalogue global.
  2. Données supplémentaires
  3. Valeur de l'erreur :
  4. 1355 Le domaine spécifié n'existe pas ou n'a pas pu être contacté.
  5. ID interne :
  6. 3200cf3
  7. Action utilisateur :
  8. Vérifiez qu'un catalogue global est disponible dans la forêt, et qu'il est accessible à partir de ce contrôleur de domaine.  Vous pouvez utiliser l'utilitaire nltest pour diagnostiquer ce problème.
  9. Pour plus d'informations, consultez le centre Aide et support à l'adresse

Message cité 1 fois
Message édité par Diesel93 le 13-08-2012 à 12:10:00
Reply

Marsh Posté le 13-08-2012 à 11:53:53   

Reply

Marsh Posté le 13-08-2012 à 12:15:17    

Normal, un DC ça se ghost pas sous peine de mettre en vrac son infra ...

Reply

Marsh Posté le 13-08-2012 à 12:22:33    

Accessoirement mieux vaut suivre les procédures de Microsoft plutôt que celles du premier site venu...

Reply

Marsh Posté le 13-08-2012 à 12:39:24    

Savez vous si je peux sortir mon DC sur domaine (DCPROMO) et le rentrer a nouveau comme secondaire puis le repasser en primaire ?

Reply

Marsh Posté le 13-08-2012 à 12:51:33    

Ben le tuto est bien.
Le problème, c'est d'avoir remis en service une image du DC crashé.
 
Mais votre AD focntionne, non ?
Votre autre DC héberge les FSMO désormais, non ?
 
Si oui alors tu réinstalles le DC crashé et tu le promeus en DC.

Reply

Marsh Posté le 13-08-2012 à 12:52:45    

et concernant les traces de l'ancien DC dans AD, il existe des articles sur comment nettoyer AD.

Reply

Marsh Posté le 13-08-2012 à 13:44:42    

Bonjour,
Le problème est que je ne peux pas réinstaller à neuf le DC car il y a des services et autres logiciels dessus que je ne pourrais pas réinstaller.
(En fait on m'as un peu appelé en renfort sur un site que je ne connais pas et dont personne ne s'occupe désormais)
C’est pour ça qu'il me fallait absolument une image de ce serveur AD.
Donc je dois absolument repartir de cette sauvegarde
J'ai effectué toutes les étapes de migration des FSMO indiquées sur le site à part pour les licences car elles étaient déjà hébergés sur l'AD secondaire,
Par contre bizarrement les comptes utilisateurs m'indiquent qu'ils se chargent en local comme si l'AD secondaire n'avait pas le catalogue. Ceci dit les profils étaient hébergés sur un disque de l'AD primaire mais celui-ci ne répond plus quand on l'appel par son nom à partir des autres serveurs (\\nomduserveur ne répond plus, or \\IPduserveur répond, c’est encore le problème de DNS je pense)

Reply

Marsh Posté le 13-08-2012 à 14:30:39    

Tu as pété ton AD en restaurant le Ghost, donc maintenant tu as un gros problème de plus.
 
Il n'y a pas de notions de primaire/secondaire donc ne te focalise pas là-dessus, et il ne suffit pas de migrer les FSMO pour restaurer un DC.
 
En plus ton image "un peu vieille"...le log mentionne 2 239 677 minutes, soit un peu plus de deux ans je pense  :D  
 
Ce que tu pourrais essayer :
Il faut que tu restaures le DC crashé sur un réseau isolé, le dépromote/sorte du domaine/renomme, nettoie l'AD actuel à la mimine avec /metadata cleanup (et éventuellement un seize des FSMO) puis réintègre l'ancien DC à  l'AD en tant que serveur membre. Puis remonter un autre DC pour la redondance.
Le problème est qu'on ne connaît pas en détail ton infra et son état de santé, donc je ne peux pas te garantir que cela est adapté et va solutionner ton incident.

Reply

Marsh Posté le 13-08-2012 à 14:32:35    

Diesel93 a écrit :

Bonjour,
 
Nous avons restauré l'AD primaire à partir d'une image Ghost (un peu ancienne)
et avant de le remettre sur le réseau nous lui avons dit que ce n’était plus lui le catalogue global (dans sites et services active directory)


 
Proposition ,en supposant que le contrôleur restant soit vraiment op avec tous les rôles et services:
Rétrograder et le sortir du domaine hors réseau le serveur restauré
Nettoyer les traces/ générer un nouveau sid pour pas avoir de surprises
Nettoyer l'AD
Ensuite réintégrer le serveur le promouvoir et migrer les rôles
 
?

Reply

Marsh Posté le 13-08-2012 à 14:32:46    

doublon malencontreux


Message édité par nebulios le 13-08-2012 à 14:33:07
Reply

Marsh Posté le 13-08-2012 à 14:32:46   

Reply

Marsh Posté le 13-08-2012 à 14:37:01    

:D

Reply

Marsh Posté le 13-08-2012 à 15:58:32    

Est-ce que vous pensez que si je fais DCpromo et qu'ensuite je le sort du domaine puis je le réinsère juste en tant que serveur standard sa pourrait fonctionner ? (en laissant le second comme AD primaire)
Ou est ce qu’il faut absolument le nettoyer et changer de SID (si oui quelle est la méthode je ne l’ai jamais fait)
Merci d'avance

Reply

Marsh Posté le 13-08-2012 à 16:41:33    

Tu es sur que le ghost était bien un ghost du serveur AD correspondant ?
 
Tu peux restaurer un DC proprement depuis une image , uniquement si tu as une sauvegarde de l'état du système pour remettre AD correctement avec les procédures qui vont bien et qui existe sur technet.
Mais 2 ans c'est un record.
 
Si tu n'as pas de ntbackup rescent la faut reconstruire le DC.
 
Mais attention si ce n'est pas le ghost d'origine de ce serveur la tu vas avoir un doublon de SID, et la c'est la merde.
Sinon si l'image provient du bon serveur et qu'il n'a pas le même SID que l'autre DC (logiquementp) ou qu'une autre machine de ton réseau tu devrais pourvoir :
mettre hors ligne le DC hs
faire dcpromo et supprimer AD
nettoyer l'AD sur l'autre DC ainsi  DNS (pas oublier SOA), replication ....  
puis remettre le serveur HS en ligne, puis membre du domaine puis DC promo pour remettre l'AD sur le serveur restauré.
 
Mais cela ne marche que si tu sais nettoyer corectement un AD, et tu as l'air d'avoir du mal avec la notion de primaire secondaire qui n'existe plus depuis AD, la notion de GC et rôles FSMO.
 
Pas simple.

Reply

Marsh Posté le 13-08-2012 à 17:33:41    

Oui normalement le Serveur à le même SID vu que c'est un ghost (acronis similaire a ghost) de celui qui tournait. (Celui qui tournait n'est plus sur le réseau et est éteint) le deuxième qui a les rôles FSMO lui tourne est n'a pas le même SID

 

Apparemment la méthode que tout le monde me donne et de faire un DCPROMO et de le sortir du domaine ensuite de le nettoyer pour le remettre dedans.
Mais comment faire pour le Nettoyer avez-vous un tuto ?
Quelles sont les commandes ?

 

est ce que ce qui est dit ici suffit :
http://www.labo-microsoft.org/arti [...] ateriel/5/


Message édité par Diesel93 le 13-08-2012 à 17:35:38
Reply

Marsh Posté le 13-08-2012 à 18:11:10    

Tu as cette KB de M$ : http://support.microsoft.com/kb/216498/fr
Tu peux recouper avec un des nombreux articles sur le sujet : http://www.alexwinner.com/articles [...] eanup.html

Reply

Marsh Posté le 13-08-2012 à 18:41:57    

Mais arrête de te baser sur des scénarios de migration, tu es dans le cadre d'une restauration là, c'est totalement différent :/
 
Si tu ne connais rien à l'AD le mieux est d'engager un presta pour le faire, ou au minimum de te renseigner avant.
 
Suis les procédures données par Shongail, mais encore une fois il n'est pas garanti que tu cela solutionnes ton problème, surtout si tes données applicatives ont deux ans d'âge :/

Reply

Marsh Posté le 13-08-2012 à 19:08:13    

Le mieux est surement de contacter le support microsoft pour ce genre de choses. Parce que là c'est un accident de prod, que l'AD c'est critique et que tu sais pas ce que tu fais, tu connais ni AD, ni DNS :/

Reply

Marsh Posté le 14-08-2012 à 07:56:42    

Comme tu parles de tuto je te donne ce lieu
http://unifiedit.wordpress.com/200 [...] y-ad-2008/
Mais attention pas trop vite, ce qui m'interresse c'est la première phrase :
"L’exécution de cette procédure est très dépendante de l’infrastructure Active Directory en place", nous ne pouvons te donner aucun tuto dont on soit sur qu'il soit adapté à TON CAS.
 
tu trouve aussi des éléments sur technet :
http://technet.microsoft.com/en-us [...] S.10).aspx
 
Le lien de Shongail est un élément il faut aussi s'occuper de la purge des dns,pour cela c'est pratique de connaître ce que doit contenir les dns pour Active directory, il faut connaitre les outils dcdiag etc ...  
 
A noter que lorsque tu rétrograde le DC HS fais le hors ligne !
Lorsque tu nettoye le DC restant soit sur de ce que tu fais, ne suis pas un tuto sans réfléchir, tu n'as aucune certitude que l'état de départ correspond a ton cas de figure.
 
Enfin si tu n'as jamais fait de restau AD dans une maquette, fait toi aider.


Message édité par phil255 le 16-08-2012 à 06:59:22
Reply

Marsh Posté le 14-08-2012 à 09:32:43    

Si ca interesse ci joint une petite doc pour la prépa d'une restau AD
 
http://www.microsoft.com/en-us/dow [...] x?id=16506

Reply

Marsh Posté le 14-08-2012 à 10:30:52    

Bonjour,
Il est vrai que je ne connais pas beaucoup les AD mais j'ai des « petites » notions. Ensuite pour le prestataire ce n’est pas possible ils ne le feront pas je dois me débrouiller seul :( sinon je ne serais pas venu demandé « au secours » ici :).
Pour ce qui est des données vous n’inquiétez pas en fait l'image du serveur est vielle mais il n'a quasiment pas bougé car les vraies données (variables avec le temps sont sur un SAN relié en fibre optique à ce serveur) donc en restaurant l'image tous les processus se sont bien lancé et les données sont bien à jour.
Par contre j’ai surement été trop vite voici ce que j’ai fait :
J’ai déconnecté du réseau l’ex serveur AD et j’ai voulu faire un « dcpromo » mais il n’a pas voulu
Alors j’ai fait un « dcpromo /forceremoval »
Ensuite sur l’AD qui est resté sur le réseau j’ai fait un metadata cleanup pour supprimer l’autre.
Par contre c’est là où j’ai été trop vite, juste après, j’ai sorti est rerentré dans le domaine l’ex AD en tant que serveur standard (après plusieurs redémarrage bien sûr).
Ca a bien fonctionné « \\nomduserveur » est de nouveau accessible et les programmes se lancent bien mais le souci c’est qu’il ne voit pas le domaine pourtant il est dedans.
Exemple, si je veux partager un dossier et que je veux choisir les utilisateurs j’ai pas accès aux utilisateurs du domaine mais aux utilisateurs locaux.
Bon pour l’instant ça ne pose pas de problèmes est tout à l’aire d’être ok (niveau prod) mais ça ne me plaît pas ce n’est pas propre (même si je sais que d’après vos commentaires ce n’est pas propre depuis le début, mais là c’est pire).

Message cité 1 fois
Message édité par Diesel93 le 14-08-2012 à 10:33:16
Reply

Marsh Posté le 14-08-2012 à 10:45:01    

Diesel93 a écrit :

Bonjour,
Il est vrai que je ne connais pas beaucoup les AD mais j'ai des « petites » notions. Ensuite pour le prestataire ce n’est pas possible ils ne le feront pas je dois me débrouiller seul :( sinon je ne serais pas venu demandé « au secours » ici :).
Pour ce qui est des données vous n’inquiétez pas en fait l'image du serveur est vielle mais il n'a quasiment pas bougé car les vraies données (variables avec le temps sont sur un SAN relié en fibre optique à ce serveur) donc en restaurant l'image tous les processus se sont bien lancé et les données sont bien à jour.
Par contre j’ai surement été trop vite voici ce que j’ai fait :
J’ai déconnecté du réseau l’ex serveur AD et j’ai voulu faire un « dcpromo » mais il n’a pas voulu
Alors j’ai fait un « dcpromo /forceremoval »
Ensuite sur l’AD qui est resté sur le réseau j’ai fait un metadata cleanup pour supprimer l’autre.
Par contre c’est là où j’ai été trop vite, juste après, j’ai sorti est rerentré dans le domaine l’ex AD en tant que serveur standard (après plusieurs redémarrage bien sûr).
Ca a bien fonctionné « \\nomduserveur » est de nouveau accessible et les programmes se lancent bien mais le souci c’est qu’il ne voit pas le domaine pourtant il est dedans.
Exemple, si je veux partager un dossier et que je veux choisir les utilisateurs j’ai pas accès aux utilisateurs du domaine mais aux utilisateurs locaux.
Bon pour l’instant ça ne pose pas de problèmes est tout à l’aire d’être ok (niveau prod) mais ça ne me plaît pas ce n’est pas propre (même si je sais que d’après vos commentaires ce n’est pas propre depuis le début, mais là c’est pire).


 
Tu es aller trop vite au force removal, impossible de t'aider la dessus, vu que tu ne donne aucun élément sur l'erreur du dcpromo.
 
après metadata cleanup sur le serveur OK, as tu fais tout les contrôles dcdiag entre autre, as tu controler le contenu de tes zones DNS, as tu vérifier dans user et ordinateur que l'ancien serveur n'est plus dans utilisateurs et ordinateurs.
 
Cela ne marche que si tu es certain que ton nettoyage est propre.
Ton exemples de partages laissent indiquer que le serveur récupéré n'est pas proprement remis dans le domaine,
 
En commencant par le conf réseau de ce serveur, qu'elle est son serveur dns primaire ?
 

Reply

Marsh Posté le 14-08-2012 à 11:02:56    

J'ai fait un forceremoval car l'erreur était que le serveur ne pouvait pas contacter le contrôleur de domaine et aussi qu'il n’était pas sur le domaine donc impossible d'aller plus loin (même chose câble réseau branché). Donc j'ai débranché le RJ45 et j'ai fait un forceremoval.

 

Apres le metadata cleanup le serveur n'était plus dans les ordinateurs du domaine ni nul part ailleurs, par contre je n'ai pas vérifié dans les entrées DNS.
Je n'ai pas non plus fait de DCdiag je peux regarder maintenant.
En ce qui concerne le DNS configuré maintenant c'est celui du nouveau DC


Message édité par Diesel93 le 14-08-2012 à 11:03:56
Reply

Marsh Posté le 14-08-2012 à 14:09:56    

oui pour le dcdiag, ca serait pas mal de savoir si le premier DC n'est pas dans la merde, et d'avoir quelques choses de propre avant de remettre le 2ème.
tu as aussi dnslint que tu peux récupérer et qui permet de vérifier l'état des zones dns.

Reply

Marsh Posté le 15-08-2012 à 22:15:46    

Voila la KB qui va bien: http://support.microsoft.com/kb/875495/en-us

 

Lit bien tout

Message cité 1 fois
Message édité par fun_key le 15-08-2012 à 22:19:21
Reply

Marsh Posté le 16-08-2012 à 07:03:08    


il a déjà rétrograder l'ancien DC ! dcpromo /forceremoval.
 
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed