Remove From My Forums

[2012R2][Niveau fonctionnel 2008R2] Suppression d'un RODC

Discussion générale
0

Connectez-vous pour voter
Bonjour,

J'ai commencé à transférer le FSMO de mon DC vers son successeur (virtuel) VMDC.

Malheureusement, j'avais un RODC qui répliquait le DC.

Lorsque j'ai transféré le rôle, le RODC ne s'est pas mis à jour pour pointer sur VMDC.

Question :

Je veux supprimer mon ancien RODC qui ne sert plus à rien pour le moment (pendant cette phase de transition).

Lorsque je suis dans le Centre d'Administration Active Directory, l'option supprimer un des contrôleurs de domaine est désactivée quelque soit le serveur sur lequel je suis.

Lorsque je suis dans Sites et services Active Directory je peux supprimer un serveur mais j'ai peur de faire une bêtise.

Lorsque je suis dans Sites et services Active Directory je développe la branche correspondante à mon RODC.

Quelle est la meilleure chose à faire pour remettre mon AD en état sachant que je n'ai fait que transférer le FSMO ?

D'avance merci pour votre aide,

Laurent
- Type modifié Emile Supiot jeudi 3 décembre 2015 08:48 pas de solution définitive
mardi 24 novembre 2015 22:14

Réponse

|

Citation

Toutes les réponses

0

Connectez-vous pour voter
Bonjour Laurent,

Pour ma part, je trouve que les explications ne sont pas très claires.

Quand tu dit, tu transfert le FSMO, tu parles des 5 rôles, ou certains seulement ?

Dans ton infra, tu as donc (même si c'est résumé) 3 serveurs AD : DC, VMDC et RODC ?

Tes serveurs sont ils tous en 2012R2 (la manière de promo/depromo n'est pas la même pour 2008 et 2012) ?

Quand tu dit que le RODC ne s'est pas mis à jour pour pointer sur VMDC, je ne comprends pas ce que tu veux dire, dans la mesure ou dans un domaine AD, tous les DC répliquent entre eux. Comment sais tu que ça ne "met pas à jour pour pointer sur VMSC" ?

Merci d'apporter plus de précisions.

Cordialement,

Chris.
- Modifié Christophe SIMON mardi 24 novembre 2015 22:30
mardi 24 novembre 2015 22:29

Réponse

|

Citation
0

Connectez-vous pour voter

Si tu migres un DC, il faut que ton RODC pointe vers le nouveau DNS au niveau de sa configuration DNS.

Si il pointe toujours vers l'ancien, tu ne pourras plus avoir de réplication.

mardi 24 novembre 2015 23:13

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour,

Peut-être que ces articles pourront t'aider:

Suppression propre, avec les outils: https://technet.microsoft.com/sv-se/library/cc835490(v=ws.10).aspx
Soit en supprimant les objet et en utilisant metadatacleanup: https://technet.microsoft.com/fr-fr/library/cc816907(v=ws.10).aspx

Cordialement,

Yannick VILSANS
mercredi 25 novembre 2015 08:09

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour à tous,

J'ai pu régler une partie de mon problème, mon AD fonctionne à nouveau lorsque j'éteint mon RODC.

Je pense que les soucis proviennent du DNS puisque lorsque j'éteint le RODC et que je fais un ipconfig /registerdns depuis une machine cliente ça fonctionne.

Je vais essayer de supprimer le RODC ce soir.

Merci pour tout,

Laurent
jeudi 26 novembre 2015 13:49

Réponse

|

Citation
0

Connectez-vous pour voter

Salut,

Je teste la première méthode et j'ai un doute :

dcpromo /RetainDCMetadata:yes

Ca doit être exécuté depuis le RODC ou depuis le DC ?

Merci

samedi 28 novembre 2015 10:08

Réponse

|

Citation
0

Connectez-vous pour voter

Bon j'ai trouvé... Mais il botte en touche en m'envoyant vers le Gestionnaire de serveurs dans lequel je n'ai pas retrouvé la fonctionnalité.

Finalement, je tente une autre approche qui consiste à réparer mon RODC.

(J'ai changé les références)

C:\Windows\system32>repadmin /showrepl 2012R2RODC
Premier-Site-par-defaut\2012R2RODC
Options DSA : IS_GC
Options de site : (none)
GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
ID de l'invocation DSA : 00000000-0000-0000-0000-0000-000000000000

=== INSTANCES VOISINES ENTRANTES ==================================

DC=innovacall,DC=home
Premier-Site-par-defaut\2012R2DC via RPC
GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
La dernière tentative, le 2015-11-28 11:59:31, a échoué, résultat 8614 (
0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.
4052 échecs consécutifs.
Dernière réussite le 2014-07-18 23:39:07.

CN=Configuration,DC=innovacall,DC=home
Premier-Site-par-defaut\2012R2DC via RPC
GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
La dernière tentative, le 2015-11-28 11:46:54, a échoué, résultat 8614 (
0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.
512 échecs consécutifs.
Dernière réussite le 2014-07-18 22:59:51.

CN=Schema,CN=Configuration,DC=innovacall,DC=home
Premier-Site-par-defaut\2012R2DC via RPC
GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
La dernière tentative, le 2015-11-28 11:46:55, a échoué, résultat 8614 (
0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.
600 échecs consécutifs.
Dernière réussite le 2014-07-18 22:59:51.

DC=DomainDnsZones,DC=innovacall,DC=home
Premier-Site-par-defaut\2012R2DC via RPC
GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
La dernière tentative, le 2015-11-28 11:46:55, a échoué, résultat 8614 (
0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.
508 échecs consécutifs.
Dernière réussite le 2014-07-18 22:59:51.

DC=ForestDnsZones,DC=innovacall,DC=home
Premier-Site-par-defaut\2012R2DC via RPC
GUID de l'objet DSA : 00000000-0000-0000-0000-0000-000000000000
La dernière tentative, le 2015-11-28 11:46:55, a échoué, résultat 8614 (
0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.
933 échecs consécutifs.
Dernière réussite le 2014-07-18 23:45:11.

Source : Premier-Site-par-defaut\2012R2DC
******* 4049 Échecs consécutifs depuis 2014-07-18 23:45:11
Dernière erreur : 8614 (0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.

Le souci est que le 2012R2RODC est virtuel et je ne l'activais que de temps en temps jusqu'au jour où je me suis aperçu qu'il empêchait mon réseau de fonctionner.

Donc maintenant je cherche à resynchroniser.

Si vous avez des conseils, n'hésitez pas.

D'avance merci

Laurent

samedi 28 novembre 2015 11:15

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour,

Pour l'explication est la compréhension du problème c'est par ici :

http://www.alexwinner.com/articles/divers/59-tslad.html

Pour faire court, tu as eu des modifications d'objets AD sur ta prod alors que la liaison avec ton RODC a été coupé pendant longtemps. Maintenant que la liaison est revenue, le RODC et le DC ont des objects différents en plus et en moins, et la réplication ne parvient pas a se faire à cause de ca.

Pour t'aider maintenant :

https://technet.microsoft.com/fr-fr/library/cc949136%28v=ws.10%29.aspx

https://support.microsoft.com/fr-fr/kb/2020053

Tiens nous informé stp

samedi 28 novembre 2015 16:47

Réponse

|

Citation
0

Connectez-vous pour voter

J'ai du mal à exécuter les commandes.

Je n'arrive pas à trouver le Guid de mon serveur.

Cette erreur me laisse perplexe et me fait perdre une partie de la confiance que j'avais dans AD.

En plus, je ne comprends pas qu'il n'y ait pas simplement une commande du style AD /RepairAll qu'on pourrait exécuter depuis le DC.

Bien que mon réseau aille de mieux en mieux depuis que j'ai nettoyé tout les DNS à la main je reste coincé sur cette erreur et ca commence à me courir sur le harico

samedi 28 novembre 2015 21:03

Réponse

|

Citation
0

Connectez-vous pour voter

repadmin /showrepl FQDNduDC

exemple : repadmin /showrepl mondc.domaine.com

tu vas avoir quelque chose du style

Default-First-Site-Name\DC1
Options DSA : IS_GC
Options de site : (none)
GUID de l'objet DSA : 0d719604-f1ad-4bf0-9f44-3f53e6da30f1
ID de l'invocation DSA : c95437a0-195b-4373-af61-540d939ee460

Et la la ligne GUID nous intéresse.

C'es tiré d'un DC 2012R2 dans mon labo donc ca fonctionne très bien.

Il n'y a pas de commande magique. L'ad est un mécanisme très très complexe, et malheureusement rarement simple à "dépanner" ou réparer. Je suis loin d'être expert la dedans, mais j'aime apprendre des problème AD :)

Essaye donc la manip et tiens nous au courant pls ensuite :)

Mais le remoovelingeringobject arrive dans ton cas: )

samedi 28 novembre 2015 23:28

Réponse

|

Citation
0

Connectez-vous pour voter

Source : Premier-Site-par-defaut\2012R2DC
******* 4049 Échecs consécutifs depuis 2014-07-18 23:45:11
Dernière erreur : 8614 (0x21a6):
Le service d'annuaire ne peut pas répliquer ce serveur car la durée
de vie de désactivation depuis la dernière réplication de ce serveur a été dépas
sée.

=> 2014/07 !!! => ton DC est mort, supprime le et refais le si tu en as l'utilité ! Si tu essaye de forcer la synchronisation, certains éléments comme les éléments supprimés depuis la dernière synchro ne pourront être synchronisé, ton AD risque d'être incohérent .

Le souci est que le 2012R2RODC est virtuel et je ne l'activais que de temps en temps jusqu'au jour où je me suis aperçu qu'il empêchait mon réseau de fonctionner.

=> ne laisse pas un DC éteint pendant une durée prolongé. S'il est resté trop longtemps éteint tu le supprime et tu le refais si tu en as besoin ...

dimanche 29 novembre 2015 08:17

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Salut,

Je m'en doutais ce qui me ramène à ma demande initiale, comment supprimer complètement et proprement un RODC...

Je m'y met de ce pas...

Bon Dimanche

L

dimanche 29 novembre 2015 10:25

Réponse

|

Citation
0

Connectez-vous pour voter

Salut,

Bon j'ai trouvé mon bonheur, une vidéo super bien expliquée.

https://www.youtube.com/watch?v=7GCX50dAZkg

A priori, j'ai proprement supprimé mon RODC.

Maintenant, j'aimerais savoir comment je peux sécuriser mon catalogue global. Je dois créer un nouvel RODC ou ai-je une autre option ?

Merci

dimanche 29 novembre 2015 11:58

Réponse

|

Citation
0

Connectez-vous pour voter
C'est à dire sécuriser le catalogue global ? Quel lien avec la création d'un nouveau DC ?

Combien de DC au total ? combien sont GC ? combien de site ?

Tu doit garantir que la réplication des DC fonctionnent voir dcdiag et repadmin /showrepl.

Avant de rajouter un DC, tu dois avoir un AD en bonne santé sinon c'est la misère ...

Si tu refais un DC réinstall l'OS n'utilise pas celui d'un DC que tu as supprimé. vérifie que le DC est supprimé dans "site et services AD" et surtout qu'il n'a plus de NTDSSettings ...
- Modifié Philippe BarthMVP, Moderator dimanche 29 novembre 2015 12:56
dimanche 29 novembre 2015 12:53

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Salut,

J'ai supprimé le RODC, j'ai également supprimé toutes les références à cette machine dans le DNS.

Au passage, mon réseau est beaucoup plus rapide.

Voici le résultat du dcdiag (j'ai changé les noms et les guids)

Warning

Error
Diagnostic du serveur d'annuaire

Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
Serveur associé : 2012R2DC
* Forêt AD identifiée.
Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

Test du serveur : Premier-Site-par-defaut\2012R2DC
Démarrage du test : Connectivity
......................... Le test Connectivity
de 2012R2DC a réussi

Exécution des tests principaux

Test du serveur : Premier-Site-par-defaut\2012R2DC
Démarrage du test : Advertising
......................... Le test Advertising
de 2012R2DC a réussi
Démarrage du test : FrsEvent
Erreurs ou avertissements détectés au cours des dernières 24 heures
après le partage de SYSVOL. Des problèmes liés à l'échec de la
réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
groupe.
......................... Le test FrsEvent
de 2012R2DC a échoué
Démarrage du test : DFSREvent
......................... Le test DFSREvent
de 2012R2DC a réussi
Démarrage du test : SysVolCheck
......................... Le test SysVolCheck
de 2012R2DC a réussi
Démarrage du test : KccEvent
Un événement d'avertissement s'est produit. ID de l'événement :
0x8000051C
Temps généré : 11/29/2015 13:59:20
Chaîne d'événement :
Le vérificateur de cohérence des données a détecté que les tentative
s successives de réplication avec le service d'annuaire suivant ont échoué.
......................... Le test KccEvent
de 2012R2DC a réussi
Démarrage du test : KnowsOfRoleHolders
......................... Le test KnowsOfRoleHolders
de 2012R2DC a réussi
Démarrage du test : MachineAccount
......................... Le test MachineAccount
de 2012R2DC a réussi
Démarrage du test : NCSecDesc
......................... Le test NCSecDesc
de 2012R2DC a réussi
Démarrage du test : NetLogons
......................... Le test NetLogons
de 2012R2DC a réussi
Démarrage du test : ObjectsReplicated
......................... Le test ObjectsReplicated
de 2012R2DC a réussi
Démarrage du test : Replications
[Replications Check,2012R2DC] Une tentative de réplication récente a
échoué :
De DEV_DC vers 2012R2DC
Contexte de nommage : DC=ForestDnsZones,DC=mybusiness,DC=home
La réplication a généré une erreur (1256) :
Le système distant n'est pas disponible. Pour obtenir des informatio
ns à propos du dépannage réseau, consulter l'Aide Windows.

L'échec s'est produit à 2015-11-29 13:54:31.
La dernière réussite s'est produite à 2015-06-30 10:57:52.
3556 échecs se sont produits depuis la dernière réussite.
[DEV_DC] DsBindWithSpnEx() a échoué avec l'erreur 1722,
Le serveur RPC n'est pas disponible..
[Replications Check,2012R2DC] Une tentative de réplication récente a
échoué :
De DEV_DC vers 2012R2DC
Contexte de nommage :
CN=Schema,CN=Configuration,DC=mybusiness,DC=home
La réplication a généré une erreur (8524) :
Échec de l'opération DSA en raison d'une défaillance de la recherche
DNS.

L'échec s'est produit à 2015-11-29 13:54:54.
La dernière réussite s'est produite à 2015-06-30 10:57:52.
3556 échecs se sont produits depuis la dernière réussite.
Le nom DNS basé sur le GUID
00000000-0000-0000-0000-0000-000000000000._msdcs.mybusiness.home
n'est pas inscrit sur un ou plusieurs serveurs DNS.
[Replications Check,2012R2DC] Une tentative de réplication récente a
échoué :
De DEV_DC vers 2012R2DC
Contexte de nommage : CN=Configuration,DC=mybusiness,DC=home
La réplication a généré une erreur (8524) :
Échec de l'opération DSA en raison d'une défaillance de la recherche
DNS.

L'échec s'est produit à 2015-11-29 13:54:31.
La dernière réussite s'est produite à 2015-06-30 10:57:52.
3556 échecs se sont produits depuis la dernière réussite.
Le nom DNS basé sur le GUID
00000000-0000-0000-0000-0000-000000000000._msdcs.mybusiness.home
n'est pas inscrit sur un ou plusieurs serveurs DNS.
[Replications Check,2012R2DC] Une tentative de réplication récente a
échoué :
De DEV_DC vers 2012R2DC
Contexte de nommage : DC=dev,DC=mybusiness,DC=home
La réplication a généré une erreur (1256) :
Le système distant n'est pas disponible. Pour obtenir des informatio
ns à propos du dépannage réseau, consulter l'Aide Windows.

L'échec s'est produit à 2015-11-29 13:54:31.
La dernière réussite s'est produite à 2015-06-30 11:39:04.
3556 échecs se sont produits depuis la dernière réussite.
......................... Le test Replications
de 2012R2DC a échoué
Démarrage du test : RidManager
......................... Le test RidManager
de 2012R2DC a réussi
Démarrage du test : Services
......................... Le test Services
de 2012R2DC a réussi
Démarrage du test : SystemLog
Un événement d'avertissement s'est produit. ID de l'événement :
0x00001796
Temps généré : 11/29/2015 13:24:30
Chaîne d'événement :
Microsoft Windows Server a détecté que l'authentification NTLM est a
ctuellement utilisée entre les clients et ce serveur. Cet événement se produit u
ne fois par démarrage du serveur lorsqu'un client utilise NTLM avec ce serveur p
our la première fois.
Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
Temps généré : 11/29/2015 13:54:26
Chaîne d'événement :
DCOM n'a pas pu communiquer avec l'ordinateur 2008R2DC.mybusiness.ho
me à l'aide des protocoles configurés ; demande du PID 120c (C:\Windows\syst
em32\taskhost.exe).
Un événement d'avertissement s'est produit. ID de l'événement :
0x00000024
Temps généré : 11/29/2015 13:55:08
Chaîne d'événement :
Le service de temps n'a pas été synchronisé avec l'heure du système
pendant 86400 secondes, car aucun des fournisseurs de service de temps n'a fourn
i d'horodatage utilisable. Le service de temps ne mettra pas à jour l'heure du s
ystème local avant de s'être synchronisé avec une source de temps. Si le système
local est configuré en tant que serveur de temps pour les clients, il arrêtera
de s'annoncer comme source de temps aux clients. Le service de temps continuera
d'essayer et de synchroniser l'heure avec ses sources de temps. Vérifiez la prés
ence d'autres événements W32time dans le journal des événements du système pour
plus de détails. Exécutez "w32tm /resync" pour forcer une synchronisation d'heu
re instantanée.
......................... Le test SystemLog
de 2012R2DC a échoué
Démarrage du test : VerifyReferences
......................... Le test VerifyReferences
de 2012R2DC a réussi

Exécution de tests de partitions sur ForestDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de ForestDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de ForestDnsZones a réussi

Exécution de tests de partitions sur DomainDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de DomainDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de DomainDnsZones a réussi

Exécution de tests de partitions sur Schema
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Schema a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Schema a réussi

Exécution de tests de partitions sur Configuration
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Configuration a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Configuration a réussi

Exécution de tests de partitions sur mybusiness
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de mybusiness a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de mybusiness a réussi

Exécution de tests d'entreprise sur mybusiness.home
Démarrage du test : LocatorCheck
......................... Le test LocatorCheck
de mybusiness.home a réussi
Démarrage du test : Intersite
......................... Le test Intersite
de mybusiness.home a réussi

dimanche 29 novembre 2015 13:24

Réponse

|

Citation
0

Connectez-vous pour voter
De DEV_DC vers 2012R2DC

La dernière réussite s'est produite à 2015-06-30 10:57:52.

dev_dc c'est le RODC ? apparemment non ?

...

Combien de DC au total ? combien sont GC ? combien de site ?

Pour chaque DC quel est son DNS primaire et secondaire ?
- Modifié Philippe BarthMVP, Moderator dimanche 29 novembre 2015 13:40
dimanche 29 novembre 2015 13:37

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Re,

En fait, DEV_DC était le contrôleur de domaine d'une forêt enfant que j'avais créée.

Cette forêt était initialement prévue pour le développement.

J'ai abandonné ce projet lorsque je me suis aperçu que si j'installais Exchange server, ça modifierait mon active directory de façon irrémédiable (y compris la forêt parente). C'est pourquoi j'ai opté pour une stratégie légèrement différente à savoir créer une autre forêt indépendante liée à la première par une relation d'approbation.

Lorsque j'ai voulu retirer la forêt enfant, je me suis aperçu qu'on ne pouvait pas le faire. Du coup, j'ai supprimé tout ce que j'ai pu mais il semble qu'il reste une référence.

Il y a une finalité à tout ça. Je veux créer une usine de dev virtualisée quasi plug'n'play. En gros, tu arrives avec un ESXI déjà tout prêt. Tu crées juste une relation d'approbation avec la forêt du client et, après avoir défini les différents paramètres tu peux utiliser des machines du domaine de dev depuis le domaine bureautique en étant administrateur du domaine de dev (ce qui n'est jamais possible dans les grandes entreprises).

Au final, je veux avoir de quoi développer sur tous les produits MS (y compris Exchange, CRM et Navision) ainsi que sur des devices apple et android avec une seule machine physique.

Bien à toi,

Laurent

dimanche 29 novembre 2015 14:57

Réponse

|

Citation
0

Connectez-vous pour voter

Maintenant j'ai

DC2012R2 et VMDC qui sont Catalogue global.

Au final, je veux que VMDC remplace complètement DC2012R2 qui est un serveur Physique et que je veux dé-commissionner.

Encore merci pour votre aide...

Cordialement,

Laurent

dimanche 29 novembre 2015 15:15

Réponse

|

Citation
0

Connectez-vous pour voter
Je suppose que tu parles de domaine enfant.

Une forêt Active Directory est un ensemble cohérent de domaine partageant des éléments commun. Tous les contrôleurs de domaine d'une forêt qu'ils partagent la même partition de schéma et configuration. La partition d'annuaire est partagé entre les contrôleurs de domaines du même domaine. Lors de la suppression d'un domaine il faut rétrograder normalement les DC du domaine en question et sur le DERNIER dc il faut cocher la case dernier dc du domaine, pour nettoyer la forêt.

Je suppose que tu n'as pas gardé le DC du domaine enfant, de toute façon il est fort probable qu'il ne soit pas viable.

Il faut nettoyer l'AD du domaine enfant voir : https://support.microsoft.com/en-us/kb/230306

En espérant que c'est bien le domaine enfant qui a été supprimé et non le domaine racine ...

Effectivement lorsque tu veux installer exchange cela modifie le schéma qui est UNIQUE pour l'ensemble de la forêt .

Sur tes 2 DC tu as bien les partages sysvol et netlogon si tu fais un net share ?
- Modifié Philippe BarthMVP, Moderator dimanche 29 novembre 2015 15:38
dimanche 29 novembre 2015 15:37

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Suite aux autres questions que tu as posé, peux tu répondre au questions ? car ce n'est pas clair ...

Combien de DC au total ? combien sont GC ? combien de site ?

Pour chaque DC quel est son DNS primaire et secondaire ?

dimanche 29 novembre 2015 16:46

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Domaine MyBusiness.Home

DC2012R2 = DC 2012 R2 Physique niveau fonctionnel 2008 R2, Catalogue Global

VMDC = DC 2012 R2 virtuel niveau fonctionnel 2008 R2, il n'a pas encore son rôle DNS activé, Catalogue Global

Domaine enfant DEV (obsolète mais il reste quelques entrées)

Domaine DEVELOPMENT.Home

DC2012R2_DEV = DC 2012 R2 Physique niveau fonctionnel 2008 R2, Catalogue Global

dimanche 29 novembre 2015 18:07

Réponse

|

Citation
0

Connectez-vous pour voter
OK, il y a un domaine enfant "dev" qui n'est plus utilisé et qui n'a plus de DC et il ne faut pas le confondre avec le domaine DEVelopement.home.

Dans ce cas il faut nettoyer le domaine dev obsolète avec le lien ci dessus, s'il n'y a plus de domaine.=> Removing Orphaned Domains from Active Directory : ATTENTION A SELECTIONNER LE BON DOMAINE (DEV) ... Le mieux est d'avoir une sauvegarde récente de l'état du système d'un des DC de homebusiness.

Vérifier que les 2 DC du du domaine homebusiness réplique et vérifier les erreurs dans dcdiag (24 h après il ne devrait plus y avoir d'erreur vu que dcdiag donne les erreurs présent dans l'observateur d'événement).

Pour être sur que la réplication est bonne il faut que les 2 2012r2 (physique et virtuel) utilise le même DNS primaire. Ensuite tu ajoute le rôle DNS sur le 2 ème DC.

Pour le domaine developpement tu as crée une approbation avec le domaine homebusiness ?
- Modifié Philippe BarthMVP, Moderator dimanche 29 novembre 2015 18:48
dimanche 29 novembre 2015 18:46

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter
Tu as pu avancer et supprimer le domaine dev orphelin ?
- Modifié Philippe BarthMVP, Moderator lundi 30 novembre 2015 09:22
lundi 30 novembre 2015 09:22

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Bonjour,

Je n'ai pas encore terminé.

Cordialement,

Laurent

lundi 30 novembre 2015 09:45

Réponse

|

Citation
0

Connectez-vous pour voter

Bon, j'ai suivi la procédure mais ça se termine mal :

C:\Windows\system32>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: dc2012r2.innovacall.home
Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
server connections: connect to dc2012r2.innovacall.home
Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
server connections: connect server to dc2012r2.innovacall.home
Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
server connections: connect to server dc2012r2.innovacall.home
Liaison à dc2012r2.innovacall.home...
Connecté à dc2012r2.innovacall.home en utilisant les informations d'identificati
on d'un
utilisateur connecté localement.
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
2 domaine(s) trouvé(s)
0 - DC=innovacall,DC=home
1 - DC=dev,DC=innovacall,DC=home
select operation target: 1
Erreur lors de l'analyse d'une entrée - Syntaxe non valide.
select operation target: select domain 1
Aucun site actuellement
Domaine - DC=dev,DC=innovacall,DC=home
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: quit
metadata cleanup: remove selected domain
DsRemoveDsDomainW erreur 0x2162(Le domaine requis n'a pas pu être supprimé parce
que des contrôleurs de domaine sont encore des hôtes dans ce domaine.)
metadata cleanup:

comment faire pour que les contrôleurs de domaine ne soient plus des hotes du domaine lorsque le DC n'existe plus ?

Merci

Cordialement,

Laurent

lundi 30 novembre 2015 11:09

Réponse

|

Citation
0

Connectez-vous pour voter
L'ancien serveur existe encore dans sites et services active directory ...

Si oui il y a encore des NTDSSettings ?
- Modifié Philippe BarthMVP, Moderator lundi 30 novembre 2015 20:07
lundi 30 novembre 2015 16:28

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Salut,

Non, j'ai regardé ce matin, pas trouvé. Je vais vérifier si je n'avais pas créé une machine de dev ou deux ce soir.

Merci

Laurent

lundi 30 novembre 2015 16:52

Réponse

|

Citation
0

Connectez-vous pour voter

As tu pu progresser ?

J'ai mis en ligne un petit tuto pour expliquer le nettoyage du domaine qui n'a plus de DC suite aà ton message d'erreur :

http://pbarth.fr/node/157

Il devrait t'aider à résoudre l'erreur :

DsRemoveDsDomainW erreur 0x2162(Le domaine requis n'a pas pu être supprimé parce
que des contrôleurs de domaine sont encore des hôtes dans ce domaine.)

samedi 5 décembre 2015 10:23

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Salut,

J'ai subit une intervention chirurgicale en urgence, pour le moment, je suis toujours à l’hôpital.

Donc, non

Cordialement

samedi 5 décembre 2015 10:45

Réponse

|

Citation
0

Connectez-vous pour voter

Je te souhaite un bon rétablissement !

samedi 5 décembre 2015 11:42

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Hello me revoilà...

Je reprends le bébé...

Je viens d'installer le ADCS car je suivais cet excellent tuto pour mettre en place un VPN :

http://www.tech2tech.fr/windows-server-2012-installer-un-serveur-vpn/

Malheureusement, vers le milieu de la page on trouve :

-----------------------------

On cherche à créer une stratégie au niveau de l’ordinateur, afin de déployer le certificat de sécurité.

On va déplier : Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégie de clé publique

Clic droit sur Paramètres de demande automatique de certificat.

-----------------------------

J'ai lancé le gpedit.msc et je n'ai pas trouvé Paramètre de demande automatique de certificat. Ca a du être déplacé ailleurs dans 2012R2 et je ne sais pas où.

Ca vous parle ?

Merci

samedi 19 décembre 2015 16:14

Réponse

|

Citation
0

Connectez-vous pour voter
Ce paramètre se fait sur un controleur de domaine hein ^^

Et c'est toujours existant si ^^

C'est une GPO qui permet de distribuer le certificat root et l'inscription automatique des certificats
- Modifié matteu31400 samedi 19 décembre 2015 16:58
samedi 19 décembre 2015 16:58

Réponse

|

Citation
0

Connectez-vous pour voter
As tu pu résoudre ton problème de domaine enfant AD ?
Dé préférence si tu change de sujet refait un nouveau post.
- Modifié Philippe BarthMVP, Moderator samedi 19 décembre 2015 17:07
samedi 19 décembre 2015 17:03

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Salut

En fait toute la discussion tourne autour de la mise en place de deux forêts en relation d'approbation entièrement virtualisées (pour les serveurs).

Avant j'avais un VPN branché sur mon ancien serveur 2003 std, maintenant ce serveur ne sert plus que de passerelle de secours et le VPN est assuré par la passerelle. L'autorité de certification est dans le DC. Donc, avant de faire disparaître le DC je veux qu'il soit parfaitement configuré.

Lorsque ça sera le cas, je transférerai les roles du DC sur le DC virtuel.

Donc, l'ADCS doit être configuré pour que je puisse installer le VPN sur ma passerelle.

Au final, il faudra que le VPN connecté à mon domaine MyBusiness puisse me permettre de contacter les machines dans le domaine development (par exemple en ouvrant un bureau à distance).

Maintenant si tu veux qu'on refasse une discussion au propre, ça ne me dérange pas.

samedi 19 décembre 2015 19:55

Réponse

|

Citation
0

Connectez-vous pour voter

As tu pu résoudre ton problème de domaine enfant AD ?
Dé préférence si tu change de sujet refait un nouveau post.

Concernant le domaine enfant que je n'arrivais pas à supprimer, j'ai viré les entrées dns et toutes les références que j'ai pu trouver.

Maintenant je n'en trouve plus trace. J'ai mon DC qui a l'air de bien fonctionner et j'ai le GC qui est bien à la fois sur le DC et sur le DC virtuel.

Concernant le DC de la forêt de dev, je trouve l'erreur suivante dans le tableau de bord de mon domaine MyBusiness :
Cet ordinateur n’a pas pu configurer une session sécurisée avec un contrôleur de domaine dans le domaine DEVELOPMENT pour la raison suivante :
Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session.
Cela peut entraîner des problèmes d’authentification. Vérifiez que cet ordinateur est connecté au réseau. Si le problème persiste, contactez votre administrateur de domaine.

INFORMATIONS SUPPLÉMENTAIRES
Si cet ordinateur est un contrôleur de domaine pour le domaine spécifié, il installe la session sécurisée sur l’émulateur de contrôleur de domaine principal dans le domaine spécifié. Sinon, cet ordinateur installe la session sécurisée sur n’importe quel contrôleur de domaine du domaine spécifié.

En tous les cas, les relations d'approbation étaient bien plus simple à l'époque de NT 4 ;)

Merci encore pour ton aide.

samedi 19 décembre 2015 20:07

Réponse

|

Citation
0

Connectez-vous pour voter

Salut,

J'ai finalement pu accéder à l'éditeur de stratégie de groupe et créer la demande automatique de certificat de type ordinateur.

Ensuite, dans le tuto il y a ça :

------------------------------------------------

Sélectionnez Nouveau, puis Demande automatique de certificat.

Choisissez le modèle Ordinateur puis terminez la procédure.

Il reste maintenant à créer une OU dédiée aux clients utilisant le VPN.

Je ne détaillerais pas ici la création de cette OU, ni le processus de rattachement d’un GPO à une OU. Je mettrais ici le lien d’un article abordant cette notion, que je rédigerais plus tard!

Rattachez le GPO à cette OU.

------------------------------------------------

Je ne comprends pas ce qu'est une OU ?

Une idée ?

Merci

dimanche 20 décembre 2015 10:27

Réponse

|

Citation
0

Connectez-vous pour voter

OU = Unité d'organisation.=> un peu comme un dossier pour classer les utilisateurs ...

dimanche 20 décembre 2015 10:30

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Concernant le domaine enfant que je n'arrivais pas à supprimer, j'ai viré les entrées dns et toutes les références que j'ai pu trouver.

Maintenant je n'en trouve plus trace. J'ai mon DC qui a l'air de bien fonctionner et j'ai le GC qui est bien à la fois sur le DC et sur le DC virtuel.

Le nettoyage des DNS ne régléra en rien ton problème de domaine enfant ou tun n'as plus de DC. Il n'y a pas d'autre solution que le nettoyage de l'AD.

voir http://pbarth.fr/node/157

dimanche 20 décembre 2015 10:33

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Merci, je crois que j'aurais galéré longtemps avant de trouver ça...

dimanche 20 décembre 2015 11:10

Réponse

|

Citation
0

Connectez-vous pour voter

Salut,

Effectivement lorsque je suis dans l'explorateur d'annuaire je le vois toujours. Je vais essayer de suivre ta procédure.

Je commence à penser que la stratégie à deux forêts indépendantes n'est pas forcément la meilleure pour atteindre mon objectif. J'aurais peut être dû créer un domaine racine (avec l'autorité de certificats) et deux domaines enfants. Pour mémoire, la raison pour laquelle j'ai voulu créer un domaine indépendant c'était pour pouvoir installer exchange server sans que ça ne modifie l'organisation de mon domaine mybusiness.

Merci

dimanche 20 décembre 2015 11:14

Réponse

|

Citation
0

Connectez-vous pour voter

Voilà la procédure que j'ai utilisé pour relié ma GPO à mon OU.

https://technet.microsoft.com/en-us/library/dd378798(v=ws.10).aspx

Et ça a fonctionné !

dimanche 20 décembre 2015 11:39

Réponse

|

Citation
0

Connectez-vous pour voter

Salut,

J'ai suivi ta procedure pour la suppression du domaine enfant :
C:\Windows\system32>Ntdsutil
Ntdsutil: Metadata cleanup
metadata cleanup: connections
server connections: Connect to server DC.MyBusiness.home
Liaison à DC.MyBusiness.home...
DsBindWithSpnExW erreur 0x6ba(Le serveur RPC n'est pas disponible.)
server connections:

Comme tu le vois, j'obtiens mon erreur préférée : Le serveur RPC n'est pas disponible (l'erreur super paralante qu'on se traîne depuis la genèse de Windows Server (ou presque)

Je ne sais pas trop quoi faire, j'essaye un redémarrage serveur.

dimanche 20 décembre 2015 12:44

Réponse

|

Citation
0

Connectez-vous pour voter
dc.mybusiness.home c'est le nom du contrôleur de domaine du domaine racine qui existe encore ? car dans les messages ci dessus il ne porte pas le même nom le serveur.

Cela peut aussi venir si tu as nettoyer trop d'enregistrement DNS de type srv ... Dans ce cas le redémarrage du service netlogon devrait corriger le problème... ou le redémarrage du serveur.
- Modifié Philippe BarthMVP, Moderator dimanche 20 décembre 2015 12:55
dimanche 20 décembre 2015 12:51

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

DC.MyBusiness.Home est bien le DC (physique) de mon domaine racine qui contient le domaine DEV à supprimer.

Le contrôleur de domaine du domaine dev.mybusiness.home s'applait dev_dc, c'est celui là qui n'existe plus.

dimanche 20 décembre 2015 14:31

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour,

Voici un schéma de ma cible.

L'objectif est de pouvoir développer des middlewares pour les principales applications Microsoft ainsi que pour les mobiles. Je dois également ajouter un mac et un linux mais je ne les ai pas mis sur le schéma.

lundi 21 décembre 2015 09:58

Réponse

|

Citation
0

Connectez-vous pour voter

Salut,

J'ai trouvé mon erreur et j'ai pu suivre ton tuto jusqu'au bout mais là, j'ai fait une big bêtise.

J'ai supprimé le mauvais serveur car leurs noms étaient trop proches (et je suis dyslexique) [No comment]

Je suis toujours dans l'utilitaire, il y a moyen d'annuler la dernière commande ?

Merci

lundi 21 décembre 2015 21:06

Réponse

|

Citation
0

Connectez-vous pour voter

Heureusement, c'était mon contrôleur de domaine virtuel (la machine qui va remplacer mon contrôleur de domaine physique si j'arrive à atteindre mon objectif).

lundi 21 décembre 2015 21:14

Réponse

|

Citation
0

Connectez-vous pour voter
Bon, j'ai pu aller au bout de la procédure, supprimer le serveur et le sous domaine orphelin.

Je te remercie pour ce tuto très clair.

Ca me servira de leçon, il faut être super attentif, sur les noms. Je pense que ça vaut le coup d'aller vérifier à chaque étape.

Maintenant je dois:

réparer le serveur sur lequel j'ai appliqué la commande Remove selected server (c'est une VM, je peux la détruire et la recréer si ça permet d'être plus propre).
finaliser la gestion de mon certificat pour les accès VPN.
Mettre en place l'accès VPN par VMGateway et par Failovergateway
virtualiser mon contrôleur de domaine et rétrograder la machine physique
Faire en sorte que la relation d'approbation entre les deux domaines permette d'inscrire les administrateurs du domaine mybusiness comme administrateur du domaine development.

Je me demande si on continue ici ou si on crée des nouveaux sujets.
lundi 21 décembre 2015 21:32

Réponse

|

Citation