none
[2012R2][Niveau fonctionnel 2008R2] Suppression d'un RODC RRS feed

  • Discussion générale

  • Bonjour,

    J'ai commencé à transférer le FSMO de mon DC vers son successeur (virtuel) VMDC.

    Malheureusement, j'avais un RODC qui répliquait le DC.

    Lorsque j'ai transféré le rôle, le RODC ne s'est pas mis à jour pour pointer sur VMDC.

    Question :

    Je veux supprimer mon ancien RODC qui ne sert plus à rien pour le moment (pendant cette phase de transition).

    Lorsque je suis dans le Centre d'Administration Active Directory, l'option supprimer un des contrôleurs de domaine est désactivée quelque soit le serveur sur lequel je suis.

    Lorsque je suis dans Sites et services Active Directory je peux supprimer un serveur mais j'ai peur de faire une bêtise.

    Lorsque je suis dans Sites et services Active Directory je développe la branche correspondante à mon RODC.

    Quelle est la meilleure chose à faire pour remettre mon AD en état sachant que je n'ai fait que transférer le FSMO ?

    D'avance merci pour votre aide,

    Laurent

    • Type modifié Emile Supiot jeudi 3 décembre 2015 08:48 pas de solution définitive
    mardi 24 novembre 2015 22:14

Toutes les réponses

  • Bonjour Laurent,

    Pour ma part, je trouve que les explications ne sont pas très claires.

    Quand tu dit, tu transfert le FSMO, tu parles des 5 rôles, ou certains seulement ?

    Dans ton infra, tu as donc (même si c'est résumé) 3 serveurs AD : DC, VMDC et RODC ?

    Tes serveurs sont ils tous en 2012R2 (la manière de promo/depromo n'est pas la même pour 2008 et 2012) ?

    Quand tu dit que le RODC ne s'est pas mis à jour pour pointer sur VMDC, je ne comprends pas ce que tu veux dire, dans la mesure ou dans un domaine AD, tous les DC répliquent entre eux. Comment sais tu que ça ne "met pas à jour pour pointer sur VMSC" ?

    Merci d'apporter plus de précisions.

    Cordialement,

    Chris.


    mardi 24 novembre 2015 22:29
  • Si tu migres un DC, il faut que ton RODC pointe vers le nouveau DNS au niveau de sa configuration DNS.

    Si il pointe toujours vers l'ancien, tu ne pourras plus avoir de réplication.

    mardi 24 novembre 2015 23:13
  • Bonjour,

    Peut-être que ces articles pourront t'aider:

    Cordialement,

    Yannick VILSANS

    mercredi 25 novembre 2015 08:09
  • Bonjour à tous,

    J'ai pu régler une partie de mon problème, mon AD fonctionne à nouveau lorsque j'éteint mon RODC.

    Je pense que les soucis proviennent du DNS puisque lorsque j'éteint le RODC et que je fais un ipconfig /registerdns depuis une machine cliente ça fonctionne.

    Je vais essayer de supprimer le RODC ce soir.

    Merci pour tout,

    Laurent

    jeudi 26 novembre 2015 13:49
  • Salut,

    Je teste la première méthode et j'ai un doute :

    dcpromo /RetainDCMetadata:yes

    Ca doit être exécuté depuis le RODC ou depuis le DC ?

    Merci

    samedi 28 novembre 2015 10:08
  • Bon j'ai trouvé... Mais il botte en touche en m'envoyant vers le Gestionnaire de serveurs dans lequel je n'ai pas retrouvé la fonctionnalité.

    Finalement, je tente une autre approche qui consiste à réparer mon RODC.

    (J'ai changé les références)

    C:\Windows\system32>repadmin /showrepl 2012R2RODC
    Premier-Site-par-defaut\2012R2RODC
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
    ID de l'invocation DSA : 00000000-0000-0000-0000-0000-000000000000

    === INSTANCES VOISINES ENTRANTES ==================================

    DC=innovacall,DC=home
        Premier-Site-par-defaut\2012R2DC via RPC
            GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
            La dernière tentative, le 2015-11-28 11:59:31, a échoué, résultat 8614 (
    0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.
            4052 échecs consécutifs.
            Dernière réussite le 2014-07-18 23:39:07.

    CN=Configuration,DC=innovacall,DC=home
        Premier-Site-par-defaut\2012R2DC via RPC
            GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
            La dernière tentative, le 2015-11-28 11:46:54, a échoué, résultat 8614 (
    0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.
            512 échecs consécutifs.
            Dernière réussite le 2014-07-18 22:59:51.

    CN=Schema,CN=Configuration,DC=innovacall,DC=home
        Premier-Site-par-defaut\2012R2DC via RPC
            GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
            La dernière tentative, le 2015-11-28 11:46:55, a échoué, résultat 8614 (
    0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.
            600 échecs consécutifs.
            Dernière réussite le 2014-07-18 22:59:51.

    DC=DomainDnsZones,DC=innovacall,DC=home
        Premier-Site-par-defaut\2012R2DC via RPC
            GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
            La dernière tentative, le 2015-11-28 11:46:55, a échoué, résultat 8614 (
    0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.
            508 échecs consécutifs.
            Dernière réussite le 2014-07-18 22:59:51.

    DC=ForestDnsZones,DC=innovacall,DC=home
        Premier-Site-par-defaut\2012R2DC via RPC
            GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
            La dernière tentative, le 2015-11-28 11:46:55, a échoué, résultat 8614 (
    0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.
            933 échecs consécutifs.
            Dernière réussite le 2014-07-18 23:45:11.

    Source : Premier-Site-par-defaut\2012R2DC
    ******* 4049 Échecs consécutifs depuis 2014-07-18 23:45:11
    Dernière erreur : 8614 (0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.

    Le souci est que le 2012R2RODC est virtuel et je ne l'activais que de temps en temps jusqu'au jour où je me suis aperçu qu'il empêchait mon réseau de fonctionner.

    Donc maintenant je cherche à resynchroniser.

    Si vous avez des conseils, n'hésitez pas.

    D'avance merci

    Laurent

    samedi 28 novembre 2015 11:15
  • Bonjour,

    Pour l'explication est la compréhension du problème c'est par ici :

    http://www.alexwinner.com/articles/divers/59-tslad.html

    Pour faire court, tu as eu des modifications d'objets AD sur ta prod alors que la liaison avec ton RODC a été coupé pendant longtemps. Maintenant que la liaison est revenue, le RODC et le DC ont des objects différents en plus et en moins, et la réplication ne parvient pas a se faire à cause de ca.

    Pour t'aider maintenant :

    https://technet.microsoft.com/fr-fr/library/cc949136%28v=ws.10%29.aspx

    https://support.microsoft.com/fr-fr/kb/2020053

    Tiens nous informé stp

    samedi 28 novembre 2015 16:47
  • J'ai du mal à exécuter les commandes.

    Je n'arrive pas à trouver le Guid de mon serveur.

    Cette erreur me laisse perplexe et me fait perdre une partie de la confiance que j'avais dans AD.

    En plus, je ne comprends pas qu'il n'y ait pas simplement une commande du style AD /RepairAll qu'on pourrait exécuter depuis le DC.

    Bien que mon réseau aille de mieux en mieux depuis que j'ai nettoyé tout les DNS à la main je reste coincé sur cette erreur et ca commence à me courir sur le harico

    samedi 28 novembre 2015 21:03
  • repadmin /showrepl FQDNduDC

    exemple : repadmin /showrepl mondc.domaine.com

    tu vas avoir quelque chose du style

    Default-First-Site-Name\DC1
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : 0d719604-f1ad-4bf0-9f44-3f53e6da30f1
    ID de l'invocation DSA : c95437a0-195b-4373-af61-540d939ee460

    Et la la ligne GUID nous intéresse.

    C'es tiré d'un DC 2012R2 dans mon labo donc ca fonctionne très bien.

    Il n'y a pas de commande magique. L'ad est un mécanisme très très complexe, et malheureusement rarement simple à "dépanner" ou réparer. Je suis loin d'être expert la dedans, mais j'aime apprendre des problème AD :)

    Essaye donc la manip et tiens nous au courant pls ensuite :)

    Mais le remoovelingeringobject arrive dans ton cas: )

    samedi 28 novembre 2015 23:28
  • Source : Premier-Site-par-defaut\2012R2DC
    ******* 4049 Échecs consécutifs depuis 2014-07-18 23:45:11
    Dernière erreur : 8614 (0x21a6):
                Le service d'annuaire ne peut pas répliquer ce serveur car la durée
    de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
    sée.

    => 2014/07 !!! => ton DC est mort, supprime le et refais le si tu en as l'utilité ! Si tu essaye de forcer la synchronisation, certains éléments comme les éléments supprimés depuis la dernière synchro ne pourront être synchronisé, ton AD risque d'être incohérent .

     Le souci est que le 2012R2RODC est virtuel et je ne l'activais que de temps en temps jusqu'au jour où je me suis aperçu qu'il empêchait mon réseau de fonctionner.

    => ne laisse pas un DC éteint  pendant une durée prolongé. S'il est resté trop longtemps éteint tu le supprime et tu le refais si tu en as besoin ...

    dimanche 29 novembre 2015 08:17
    Modérateur
  • Salut,

    Je m'en doutais ce qui me ramène à ma demande initiale, comment supprimer complètement et proprement un RODC...

    Je m'y met de ce pas...

    Bon Dimanche

    L

    dimanche 29 novembre 2015 10:25
  • Salut,

    Bon j'ai trouvé mon bonheur, une vidéo super bien expliquée.

    https://www.youtube.com/watch?v=7GCX50dAZkg

    A priori, j'ai proprement supprimé mon RODC.

    Maintenant, j'aimerais savoir comment je peux sécuriser mon catalogue global. Je dois créer un nouvel RODC ou ai-je une autre option ?

    Merci

    dimanche 29 novembre 2015 11:58
  • C'est à dire sécuriser le catalogue global ? Quel lien avec la création d'un nouveau DC ?

    Combien de DC au total ? combien sont GC ? combien de site ?

    Tu doit garantir que la réplication des DC fonctionnent voir dcdiag et repadmin /showrepl.

    Avant de rajouter un DC, tu dois avoir un AD en bonne santé sinon c'est la misère ...

    Si tu refais un DC réinstall l'OS n'utilise pas celui d'un DC que tu as supprimé. vérifie que le DC est supprimé dans "site et services AD" et surtout qu'il n'a plus de NTDSSettings ...


    dimanche 29 novembre 2015 12:53
    Modérateur
  • Salut,

    J'ai supprimé le RODC, j'ai également supprimé toutes les références à cette machine dans le DNS.

    Au passage, mon réseau est beaucoup plus rapide.

    Voici le résultat du dcdiag (j'ai changé les noms et les guids)

    Warning

    Error

    Diagnostic du serveur d'annuaire

    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : 2012R2DC
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.

    Exécution des tests initiaux nécessaires

       Test du serveur : Premier-Site-par-defaut\2012R2DC
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de 2012R2DC a réussi

    Exécution des tests principaux

       Test du serveur : Premier-Site-par-defaut\2012R2DC
          Démarrage du test : Advertising
             ......................... Le test Advertising
              de 2012R2DC a réussi
          Démarrage du test : FrsEvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe.
             ......................... Le test FrsEvent
              de 2012R2DC a échoué
          Démarrage du test : DFSREvent
             ......................... Le test DFSREvent
              de 2012R2DC a réussi
          Démarrage du test : SysVolCheck
             ......................... Le test SysVolCheck
              de 2012R2DC a réussi
          Démarrage du test : KccEvent
             Un événement d'avertissement s'est produit. ID de l'événement :
             0x8000051C
                Temps généré : 11/29/2015   13:59:20
                Chaîne d'événement :
                Le vérificateur de cohérence des données a détecté que les tentative
    s successives de réplication avec le service d'annuaire suivant ont échoué.
             ......................... Le test KccEvent
              de 2012R2DC a réussi
          Démarrage du test : KnowsOfRoleHolders
             ......................... Le test KnowsOfRoleHolders
              de 2012R2DC a réussi
          Démarrage du test : MachineAccount
             ......................... Le test MachineAccount
              de 2012R2DC a réussi
          Démarrage du test : NCSecDesc
             ......................... Le test NCSecDesc
              de 2012R2DC a réussi
          Démarrage du test : NetLogons
             ......................... Le test NetLogons
              de 2012R2DC a réussi
          Démarrage du test : ObjectsReplicated
             ......................... Le test ObjectsReplicated
              de 2012R2DC a réussi
          Démarrage du test : Replications
             [Replications Check,2012R2DC] Une tentative de réplication récente a
             échoué :
                De DEV_DC vers 2012R2DC
                Contexte de nommage : DC=ForestDnsZones,DC=mybusiness,DC=home
                La réplication a généré une erreur (1256) :
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.

                L'échec s'est produit à 2015-11-29 13:54:31.
                La dernière réussite s'est produite à 2015-06-30 10:57:52.
                3556 échecs se sont produits depuis la dernière réussite.
             [DEV_DC] DsBindWithSpnEx() a échoué avec l'erreur 1722,
             Le serveur RPC n'est pas disponible..
             [Replications Check,2012R2DC] Une tentative de réplication récente a
             échoué :
                De DEV_DC vers 2012R2DC
                Contexte de nommage :
                CN=Schema,CN=Configuration,DC=mybusiness,DC=home
                La réplication a généré une erreur (8524) :
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.

                L'échec s'est produit à 2015-11-29 13:54:54.
                La dernière réussite s'est produite à 2015-06-30 10:57:52.
                3556 échecs se sont produits depuis la dernière réussite.
                Le nom DNS basé sur le GUID
                00000000-0000-0000-0000-0000-000000000000._msdcs.mybusiness.home
                n'est pas inscrit sur un ou plusieurs serveurs DNS.
             [Replications Check,2012R2DC] Une tentative de réplication récente a
             échoué :
                De DEV_DC vers 2012R2DC
                Contexte de nommage : CN=Configuration,DC=mybusiness,DC=home
                La réplication a généré une erreur (8524) :
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.

                L'échec s'est produit à 2015-11-29 13:54:31.
                La dernière réussite s'est produite à 2015-06-30 10:57:52.
                3556 échecs se sont produits depuis la dernière réussite.
                Le nom DNS basé sur le GUID
                00000000-0000-0000-0000-0000-000000000000._msdcs.mybusiness.home
                n'est pas inscrit sur un ou plusieurs serveurs DNS.
             [Replications Check,2012R2DC] Une tentative de réplication récente a
             échoué :
                De DEV_DC vers 2012R2DC
                Contexte de nommage : DC=dev,DC=mybusiness,DC=home
                La réplication a généré une erreur (1256) :
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.

                L'échec s'est produit à 2015-11-29 13:54:31.
                La dernière réussite s'est produite à 2015-06-30 11:39:04.
                3556 échecs se sont produits depuis la dernière réussite.
             ......................... Le test Replications
              de 2012R2DC a échoué
          Démarrage du test : RidManager
             ......................... Le test RidManager
              de 2012R2DC a réussi
          Démarrage du test : Services
             ......................... Le test Services
              de 2012R2DC a réussi
          Démarrage du test : SystemLog
             Un événement d'avertissement s'est produit. ID de l'événement :
             0x00001796
                Temps généré : 11/29/2015   13:24:30
                Chaîne d'événement :
                Microsoft Windows Server a détecté que l'authentification NTLM est a
    ctuellement utilisée entre les clients et ce serveur. Cet événement se produit u
    ne fois par démarrage du serveur lorsqu'un client utilise NTLM avec ce serveur p
    our la première fois.
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 11/29/2015   13:54:26
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur 2008R2DC.mybusiness.ho
    me à l'aide des protocoles configurés ; demande du PID     120c (C:\Windows\syst
    em32\taskhost.exe).
             Un événement d'avertissement s'est produit. ID de l'événement :
             0x00000024
                Temps généré : 11/29/2015   13:55:08
                Chaîne d'événement :
                Le service de temps n'a pas été synchronisé avec l'heure du système
    pendant 86400 secondes, car aucun des fournisseurs de service de temps n'a fourn
    i d'horodatage utilisable. Le service de temps ne mettra pas à jour l'heure du s
    ystème local avant de s'être synchronisé avec une source de temps. Si le système
     local est configuré en tant que serveur de temps pour les clients, il arrêtera
    de s'annoncer comme source de temps aux clients. Le service de temps continuera
    d'essayer et de synchroniser l'heure avec ses sources de temps. Vérifiez la prés
    ence d'autres événements W32time dans le journal des événements du système  pour
     plus de détails. Exécutez "w32tm /resync" pour forcer une synchronisation d'heu
    re instantanée.
             ......................... Le test SystemLog
              de 2012R2DC a échoué
          Démarrage du test : VerifyReferences
             ......................... Le test VerifyReferences
              de 2012R2DC a réussi


       Exécution de tests de partitions sur ForestDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de ForestDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de ForestDnsZones a réussi

       Exécution de tests de partitions sur DomainDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de DomainDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de DomainDnsZones a réussi

       Exécution de tests de partitions sur Schema
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Schema a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Schema a réussi

       Exécution de tests de partitions sur Configuration
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Configuration a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Configuration a réussi

       Exécution de tests de partitions sur mybusiness
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de mybusiness a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de mybusiness a réussi

       Exécution de tests d'entreprise sur mybusiness.home
          Démarrage du test : LocatorCheck
             ......................... Le test LocatorCheck
              de mybusiness.home a réussi
          Démarrage du test : Intersite
             ......................... Le test Intersite
              de mybusiness.home a réussi

    dimanche 29 novembre 2015 13:24
  •  De DEV_DC vers 2012R2DC

    La dernière réussite s'est produite à 2015-06-30 10:57:52.

    dev_dc c'est le RODC ? apparemment non ?

    ...

    Combien de DC au total ? combien sont GC ? combien de site ?

    Pour chaque DC quel est son DNS primaire et secondaire ?



    dimanche 29 novembre 2015 13:37
    Modérateur
  • Re,

    En fait, DEV_DC était le contrôleur de domaine d'une forêt enfant que j'avais créée.

    Cette forêt était initialement prévue pour le développement.

    J'ai abandonné ce projet lorsque je me suis aperçu que si j'installais Exchange server, ça modifierait mon active directory de façon irrémédiable (y compris la forêt parente). C'est pourquoi j'ai opté pour une stratégie légèrement différente à savoir créer une autre forêt indépendante liée à la première par une relation d'approbation.

    Lorsque j'ai voulu retirer la forêt enfant, je me suis aperçu qu'on ne pouvait pas le faire. Du coup, j'ai supprimé tout ce que j'ai pu mais il semble qu'il reste une référence.

    Il y a une finalité à tout ça. Je veux créer une usine de dev virtualisée quasi plug'n'play. En gros, tu arrives avec un ESXI déjà tout prêt. Tu crées juste une relation d'approbation avec la forêt du client et, après avoir défini les différents paramètres tu peux utiliser des machines du domaine de dev depuis le domaine bureautique en étant administrateur du domaine de dev (ce qui n'est jamais possible dans les grandes entreprises).

    Au final, je veux avoir de quoi développer sur tous les produits MS (y compris Exchange, CRM et Navision) ainsi que sur des devices apple et android avec une seule machine physique.

    Bien à toi,

    Laurent

     

    dimanche 29 novembre 2015 14:57
  • Maintenant j'ai

    DC2012R2 et VMDC qui sont Catalogue global.

    Au final, je veux que VMDC remplace complètement DC2012R2 qui est un serveur Physique et que je veux dé-commissionner.

    Encore merci pour votre aide...

    Cordialement,

    Laurent

    dimanche 29 novembre 2015 15:15
  • Je suppose que tu parles de domaine enfant.

    Une forêt Active Directory est un ensemble cohérent de domaine partageant des éléments commun. Tous les contrôleurs de domaine d'une forêt qu'ils partagent la même partition de schéma et configuration. La partition d'annuaire est partagé entre les contrôleurs de domaines du même domaine. Lors de la suppression d'un domaine il faut rétrograder normalement les DC du domaine en question et sur le DERNIER dc il faut cocher la case dernier dc du domaine, pour nettoyer la forêt.

    Je suppose que tu n'as pas gardé le DC du domaine enfant, de toute façon il est fort probable qu'il ne soit pas viable.

    Il faut nettoyer l'AD du domaine enfant voir : https://support.microsoft.com/en-us/kb/230306

    En espérant que c'est bien le domaine enfant qui a été supprimé et non le domaine racine ...

     Effectivement lorsque tu veux installer exchange cela modifie le schéma qui est UNIQUE pour l'ensemble de la forêt .

    Sur tes 2 DC tu as bien les partages sysvol et netlogon si tu fais un net share ?

    dimanche 29 novembre 2015 15:37
    Modérateur
  • Suite aux autres questions que tu as posé, peux tu répondre au questions ? car ce n'est pas clair ...

    Combien de DC au total ? combien sont GC ? combien de site ?

    Pour chaque DC quel est son DNS primaire et secondaire ?

    dimanche 29 novembre 2015 16:46
    Modérateur
  • Domaine MyBusiness.Home

    DC2012R2 = DC 2012 R2 Physique niveau fonctionnel 2008 R2, Catalogue Global

    VMDC = DC 2012 R2 virtuel niveau fonctionnel 2008 R2, il n'a pas encore son rôle DNS activé, Catalogue Global

    Domaine enfant DEV (obsolète mais il reste quelques entrées)

    Domaine DEVELOPMENT.Home

    DC2012R2_DEV = DC 2012 R2 Physique niveau fonctionnel 2008 R2, Catalogue Global

    dimanche 29 novembre 2015 18:07
  • OK, il y a un domaine enfant "dev" qui n'est plus utilisé et qui n'a plus de DC et il ne faut pas le confondre avec le domaine DEVelopement.home.

    Dans ce cas il faut nettoyer le domaine dev obsolète avec le lien ci dessus, s'il n'y a plus de domaine.=> Removing Orphaned Domains from Active Directory : ATTENTION A SELECTIONNER LE BON DOMAINE (DEV) ...  Le mieux est d'avoir une sauvegarde récente de l'état du système d'un des DC de homebusiness.

    Vérifier que les 2 DC du du domaine homebusiness réplique et vérifier les erreurs dans dcdiag (24 h après il ne devrait plus y avoir d'erreur vu que dcdiag donne les erreurs présent dans l'observateur d'événement).

    Pour être sur que la réplication est bonne il faut que les 2 2012r2 (physique et virtuel) utilise le même DNS primaire. Ensuite tu ajoute le rôle DNS sur le 2 ème DC.

    Pour le domaine developpement tu as crée une approbation avec le domaine homebusiness ?

    dimanche 29 novembre 2015 18:46
    Modérateur
  • Tu as pu avancer et supprimer le domaine dev orphelin ?


    lundi 30 novembre 2015 09:22
    Modérateur
  • Bonjour,

    Je n'ai pas encore terminé.

    Cordialement,


    Laurent

    lundi 30 novembre 2015 09:45
  • Bon, j'ai suivi la procédure mais ça se termine mal :

    C:\Windows\system32>ntdsutil
    ntdsutil: metadata cleanup
    metadata cleanup: connections
    server connections: dc2012r2.innovacall.home
    Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
    server connections: connect to dc2012r2.innovacall.home
    Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
    server connections: connect server to dc2012r2.innovacall.home
    Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
    server connections: connect to server dc2012r2.innovacall.home
    Liaison à dc2012r2.innovacall.home...
    Connecté à dc2012r2.innovacall.home en utilisant les informations d'identificati
    on d'un
    utilisateur connecté localement.
    server connections: quit
    metadata cleanup: select operation target
    select operation target: list domains
    2 domaine(s) trouvé(s)
    0 - DC=innovacall,DC=home
    1 - DC=dev,DC=innovacall,DC=home
    select operation target: 1
    Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
    select operation target: select domain 1
    Aucun site actuellement
    Domaine - DC=dev,DC=innovacall,DC=home
    Aucun serveur actuellement
    Pas de contexte de nommage en cours
    select operation target: quit
    metadata cleanup: remove selected domain
    DsRemoveDsDomainW erreur 0x2162(Le domaine requis n'a pas pu être supprimé parce
     que des contrôleurs de domaine sont encore des hôtes dans ce domaine.)
    metadata cleanup:

    comment faire pour que les contrôleurs de domaine ne soient plus des hotes du domaine lorsque le DC n'existe plus ?

    Merci

    Cordialement,


    Laurent

    lundi 30 novembre 2015 11:09
  • L'ancien serveur existe encore dans sites et services active directory ...

    Si oui il y a encore des NTDSSettings ?



    lundi 30 novembre 2015 16:28
    Modérateur
  • Salut,

    Non, j'ai regardé ce matin, pas trouvé. Je vais vérifier si je n'avais pas créé une machine de dev ou deux ce soir.

    Merci

    Laurent

    lundi 30 novembre 2015 16:52
  • As tu pu progresser ?

    J'ai mis en ligne un petit tuto pour expliquer le nettoyage du domaine qui n'a plus de DC suite aà ton message d'erreur :

    http://pbarth.fr/node/157

    Il devrait t'aider à résoudre l'erreur :

    DsRemoveDsDomainW erreur 0x2162(Le domaine requis n'a pas pu être supprimé parce
     que des contrôleurs de domaine sont encore des hôtes dans ce domaine.)

    samedi 5 décembre 2015 10:23
    Modérateur
  • Salut,

    J'ai subit une intervention chirurgicale en urgence, pour le moment, je suis toujours à l’hôpital.

    Donc, non

    Cordialement

    samedi 5 décembre 2015 10:45
  • Je te souhaite un bon rétablissement !
    samedi 5 décembre 2015 11:42
    Modérateur
  • Hello me revoilà...

    Je reprends le bébé...

    Je viens d'installer le ADCS car je suivais cet excellent tuto pour mettre en place un VPN :

    http://www.tech2tech.fr/windows-server-2012-installer-un-serveur-vpn/

    Malheureusement, vers le milieu de la page on trouve :

    -----------------------------

    On cherche à créer une stratégie au niveau de l’ordinateur, afin de déployer le certificat de sécurité.

    On va déplier : Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégie de clé publique

    Clic droit sur Paramètres de demande automatique de certificat.

    -----------------------------

    J'ai lancé le gpedit.msc et je n'ai pas trouvé Paramètre de demande automatique de certificat. Ca a du être déplacé ailleurs dans 2012R2 et je ne sais pas où.

    Ca vous parle ?

    Merci

    samedi 19 décembre 2015 16:14
  • Ce paramètre se fait sur un controleur de domaine hein ^^

    Et c'est toujours existant si ^^

    C'est une GPO qui permet de distribuer le certificat root et l'inscription automatique des certificats


    samedi 19 décembre 2015 16:58
  • As tu pu résoudre ton problème de domaine enfant AD ?

    Dé préférence si tu change de sujet refait un nouveau post.
    samedi 19 décembre 2015 17:03
    Modérateur
  • Salut

    En fait toute la discussion tourne autour de la mise en place de deux forêts en relation d'approbation entièrement virtualisées (pour les serveurs).

    Avant j'avais un VPN branché sur mon ancien serveur 2003 std, maintenant ce serveur ne sert plus que de passerelle de secours et le VPN est assuré par la passerelle. L'autorité de certification est dans le DC. Donc, avant de faire disparaître le DC je veux qu'il soit parfaitement configuré.

    Lorsque ça sera le cas, je transférerai les roles du DC sur le DC virtuel.

    Donc, l'ADCS doit être configuré pour que je puisse installer le VPN sur ma passerelle.

    Au final, il faudra que le VPN connecté à mon domaine MyBusiness puisse me permettre de contacter les machines dans le domaine development (par exemple en ouvrant un bureau à distance).

    Maintenant si tu veux qu'on refasse une discussion au propre, ça ne me dérange pas.

    samedi 19 décembre 2015 19:55
  • As tu pu résoudre ton problème de domaine enfant AD ?

    Dé préférence si tu change de sujet refait un nouveau post.

    Concernant le domaine enfant que je n'arrivais pas à supprimer, j'ai viré les entrées dns et toutes les références que j'ai pu trouver.

    Maintenant je n'en trouve plus trace. J'ai mon DC qui a l'air de bien fonctionner et j'ai le GC qui est bien à la fois sur le DC et sur le DC virtuel.

    Concernant le DC de la forêt de dev, je trouve l'erreur suivante dans le tableau de bord de mon domaine MyBusiness :

    Cet ordinateur n’a pas pu configurer une session sécurisée avec un contrôleur de domaine dans le domaine DEVELOPMENT pour la raison suivante : 
    Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session. 
    Cela peut entraîner des problèmes d’authentification. Vérifiez que cet ordinateur est connecté au réseau. Si le problème persiste, contactez votre administrateur de domaine.  

    INFORMATIONS SUPPLÉMENTAIRES 
    Si cet ordinateur est un contrôleur de domaine pour le domaine spécifié, il installe la session sécurisée sur l’émulateur de contrôleur de domaine principal dans le domaine spécifié. Sinon, cet ordinateur installe la session sécurisée sur n’importe quel contrôleur de domaine du domaine spécifié.

    En tous les cas, les relations d'approbation étaient bien plus simple à l'époque de NT 4 ;)

    Merci encore pour ton aide.

    samedi 19 décembre 2015 20:07
  • Salut,

    J'ai finalement pu accéder à l'éditeur de stratégie de groupe et créer la demande automatique de certificat de type ordinateur.

    Ensuite, dans le tuto il y a ça :

    ------------------------------------------------

    Sélectionnez Nouveau, puis Demande automatique de certificat.

    Choisissez le modèle Ordinateur puis terminez la procédure.

    Il reste maintenant à créer une OU dédiée aux clients utilisant le VPN.

    Je ne détaillerais pas ici la création de cette OU, ni le processus de rattachement d’un GPO à une OU. Je mettrais ici le lien d’un article abordant cette notion, que je rédigerais plus tard!

    Rattachez le GPO à cette OU.

    ------------------------------------------------

    Je ne comprends pas ce qu'est une OU ?

    Une idée ?

    Merci

    dimanche 20 décembre 2015 10:27
  • OU = Unité d'organisation.=> un peu comme un dossier pour classer les utilisateurs ...

    dimanche 20 décembre 2015 10:30
    Modérateur
  • Concernant le domaine enfant que je n'arrivais pas à supprimer, j'ai viré les entrées dns et toutes les références que j'ai pu trouver.

    Maintenant je n'en trouve plus trace. J'ai mon DC qui a l'air de bien fonctionner et j'ai le GC qui est bien à la fois sur le DC et sur le DC virtuel.

    Le nettoyage des DNS ne régléra en rien ton problème de domaine enfant ou tun n'as plus de DC. Il n'y a pas d'autre solution que le nettoyage de l'AD.

    voir http://pbarth.fr/node/157

    dimanche 20 décembre 2015 10:33
    Modérateur
  • Merci, je crois que j'aurais galéré longtemps avant de trouver ça...
    dimanche 20 décembre 2015 11:10
  • Salut,

    Effectivement lorsque je suis dans l'explorateur d'annuaire je le vois toujours. Je vais essayer de suivre ta procédure.

    Je commence à penser que la stratégie à deux forêts indépendantes n'est pas forcément la meilleure pour atteindre mon objectif. J'aurais peut être dû créer un domaine racine (avec l'autorité de certificats) et deux domaines enfants. Pour mémoire, la raison pour laquelle j'ai voulu créer un domaine indépendant c'était pour pouvoir installer exchange server sans que ça ne modifie l'organisation de mon domaine mybusiness.

    Merci

    dimanche 20 décembre 2015 11:14
  • Voilà la procédure que j'ai utilisé pour relié ma GPO à mon OU.

    https://technet.microsoft.com/en-us/library/dd378798(v=ws.10).aspx

    Et ça a fonctionné !

    dimanche 20 décembre 2015 11:39
  • Salut,

    J'ai suivi ta procedure pour la suppression du domaine enfant :

    C:\Windows\system32>Ntdsutil
    Ntdsutil: Metadata cleanup
    metadata cleanup: connections
    server connections: Connect to server DC.MyBusiness.home
    Liaison à DC.MyBusiness.home...
    DsBindWithSpnExW erreur 0x6ba(Le serveur RPC n'est pas disponible.)
    server connections:

    Comme tu le vois, j'obtiens mon erreur préférée : Le serveur RPC n'est pas disponible (l'erreur super paralante qu'on se traîne depuis la genèse de Windows Server (ou presque)

    Je ne sais pas trop quoi faire, j'essaye un redémarrage serveur.

    dimanche 20 décembre 2015 12:44
  • dc.mybusiness.home c'est le nom du contrôleur de domaine du domaine racine qui existe encore ? car dans les messages ci dessus il ne porte pas le même nom le serveur.

    Cela peut aussi venir si tu as nettoyer trop d'enregistrement DNS de type srv ... Dans ce cas le redémarrage du service netlogon devrait corriger le problème... ou le redémarrage du serveur.


    dimanche 20 décembre 2015 12:51
    Modérateur
  • DC.MyBusiness.Home est bien le DC (physique) de mon domaine racine qui contient le domaine DEV à supprimer.

    Le contrôleur de domaine du domaine dev.mybusiness.home s'applait dev_dc, c'est celui là qui n'existe plus.

    dimanche 20 décembre 2015 14:31
  • Bonjour,

    Voici un schéma de ma cible.

    L'objectif est de pouvoir développer des middlewares pour les principales applications Microsoft ainsi que pour les mobiles. Je dois également ajouter un mac et un linux mais je ne les ai pas mis sur le schéma.

    SchémaCible

    lundi 21 décembre 2015 09:58
  • Salut,

    J'ai trouvé mon erreur et j'ai pu suivre ton tuto jusqu'au bout mais là, j'ai fait une big bêtise.

    J'ai supprimé le mauvais serveur car leurs noms étaient trop proches (et je suis dyslexique) [No comment]

    Je suis toujours dans l'utilitaire, il y a moyen d'annuler la dernière commande ?

    Merci

    lundi 21 décembre 2015 21:06
  • Heureusement, c'était mon contrôleur de domaine virtuel (la machine qui va remplacer mon contrôleur de domaine physique si j'arrive à atteindre mon objectif).


    lundi 21 décembre 2015 21:14
  • Bon, j'ai pu aller au bout de la procédure, supprimer le serveur et le sous domaine orphelin.

    Je te remercie pour ce tuto très clair.

    Ca me servira de leçon, il faut être super attentif, sur les noms. Je pense que ça vaut le coup d'aller vérifier à chaque étape.

    Maintenant je dois:

    • réparer le serveur sur lequel j'ai appliqué la commande Remove selected server (c'est une VM, je peux la détruire et la recréer si ça permet d'être plus propre).
    • finaliser la gestion de mon certificat pour les accès VPN.
    • Mettre en place l'accès VPN par VMGateway et par Failovergateway
    • virtualiser mon contrôleur de domaine et rétrograder la machine physique
    • Faire en sorte que la relation d'approbation entre les deux domaines permette d'inscrire les administrateurs du domaine mybusiness comme administrateur du domaine development.

    Je me demande si on continue ici ou si on crée des nouveaux sujets.


    lundi 21 décembre 2015 21:32