locked
Contoleur de domaine principal RRS feed

  • Question

  • Bonjour;

    Merci de m'indiquer comment faire une réinstallation d'un contrôleur de domaine principal, sachant que je possède un serveur secondaire, qui fonctionne actuellement.

    Je travaille avec 2008 Server R2.

    Merci.

    lundi 11 août 2014 14:38

Réponses

  • L'absence ponctuelle d'un rôle FSMO n'est pas un drame, il est possible de forcer le transfert par après. De toute façon certain rôle comme le rôle d'attribution de nom de domaine ne sert pas dans ce cas de figure car en générale si on veut créer un nouveau domaine on règle d'abord le problème et on le fait sur un AD propre.

    Il n'existe pas de Contrôleur de domaine principale et secondaire, il y a juste un DNS primaire et secondaire sur les postes.

    Pour votre DC le premier point et de savoir s'il héberge autre chose que AD et DNS, s'il y a une application tierce l'opération ne sera pas pareil.

    Si vous n'avez rien d'autre il faut connaître l'état actuel du DC. L'opération la plus propre consiste à nettoyer les méta données et à reconstruire le serveur. Pour nettoyer les méta données dans windows 2008 il suffit de supprimer "NTDS settings " du serveur HS dans la console site et service ou de supprimer le serveur dans la console utilisateur et ordinateur AD. Un message d'avertissement vous indiquera que le serveur sera retrogradé. L'ancien serveur HS ne doit plus communiquer sur le réseau.

    Le 2 ème DC et l'ensemble des autres postes devront utilisés comme DNS primaire celui du 2ème DC en attendant la reconstruction.

    Vous pouvez transférer les roles FSMO sur l'autre serveur (en graphique ou ligne de commande).

    http://pbarth.fr/node/79

    Vous installer proprement le nouveau serveur, vous l'intégrer au domaine, vous ajouter le rôle AD DS et vous lancer le Dcpromo.

    http://pbarth.fr/node/43

    http://pbarth.fr/node/76

    Ensuite vous pouvez  reconfigurer la partie client DNS pour utilisez les 2 serveurs.

    Autre méthode en restaurant le serveur il vous faut une sauvegarde de l'état du système récente, vous restaurer l'état du système et la réplication AD lui permettra de récupérer le delta avec l'autre serveur.

    Sinon il est parfois possible de dépanner l'AD. Dans tous les cas vérifier systématiquement l'état de vos dc avec Dcdiag et la réplication avec repadmin /showrepl.

    Si tu veux plus d'aide sur la méthode fait  un dcdiag sur les 2 et explique la cause de la réinstall.
    lundi 11 août 2014 16:43
  • Lorsqu'on ne peut migrer le rôle FSMO on prend le rôle de force, c'est pareil, un avertissement signale que l'ancien serveur ne doit plus être remis sur le réseau, de mémoire.

    Sur 2012 il ya en Powershell

    Move-ADDirectoryServerOperationMasterRole -Identity “Target-DC” -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator

    Il n'y a pas de DC primaire et secondaire.

    Comme expliqué ci dessus on purge l'ancien serveur AD dans sites et services ou dans utilisateurs et ordinateurs et on le réinstalle entièrement. Sur 2003 il fallait utiliser ntdsutil metadata cleanup.

    mardi 12 août 2014 09:06
  • Bonjour,

    il est fortement conseiller de réinstaller le contrôleur de domaine défectueux avec un nouveau nom.

    Si cela n'est pas envisageable, il faut s'assurer d'avoir bien nettoyé toutes les traces du serveur défecteux (dans la gestion des sites, notamment), avant d'intégrer dans le domaine une machine de même nom et de la promouvoir.

    Comme l'indique Philippe, la notion de Primaire/Secondaire n'existe plus depuis Windows 2000. Il reste des DCs qui ont certains rôles Master ou Pas.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 14 août 2014 12:19

Toutes les réponses


  • Bonjour,

    Dans un environnement de domaine Windows Server 2008, les contrôleurs de domaine contiennent une réplique de la base de données Active Directory.

    Ce système de réplication est dit multimaitre car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la même base de données Active Directory.

    Donc depuis windows 2000, Dans un domaine, il existe 5 rôles FSMO. Ces rôles n'existaient pas sous Windows NT4 car les domaines NT4 disposaient d'une structure de mise à jour hiérarchique.

    Ces 5 rôles sont nécessaires au bon fonctionnement de vos domaines/forêts. Chacun de ces rôles ne peut être hébergé que par des contrôleurs de domaine et non par des serveurs membres.

    Donc pour réinstaller ton DC, il faudra commencer par transférer les rôles FSMO sur un autre DC, faire les réplications nécessaires, ensuite je te conseil cet article, qui explique comment rétrograder un DC Windows afin de le supprimer, ensuite tu installe ton serveur et tu le réintègre à ton domaine et tu peux ensuite le promouvoir entant que DC.

     

    A+


    L'information n'a de valeur que si elle est partagée!! AK.

    lundi 11 août 2014 15:32
  • L'absence ponctuelle d'un rôle FSMO n'est pas un drame, il est possible de forcer le transfert par après. De toute façon certain rôle comme le rôle d'attribution de nom de domaine ne sert pas dans ce cas de figure car en générale si on veut créer un nouveau domaine on règle d'abord le problème et on le fait sur un AD propre.

    Il n'existe pas de Contrôleur de domaine principale et secondaire, il y a juste un DNS primaire et secondaire sur les postes.

    Pour votre DC le premier point et de savoir s'il héberge autre chose que AD et DNS, s'il y a une application tierce l'opération ne sera pas pareil.

    Si vous n'avez rien d'autre il faut connaître l'état actuel du DC. L'opération la plus propre consiste à nettoyer les méta données et à reconstruire le serveur. Pour nettoyer les méta données dans windows 2008 il suffit de supprimer "NTDS settings " du serveur HS dans la console site et service ou de supprimer le serveur dans la console utilisateur et ordinateur AD. Un message d'avertissement vous indiquera que le serveur sera retrogradé. L'ancien serveur HS ne doit plus communiquer sur le réseau.

    Le 2 ème DC et l'ensemble des autres postes devront utilisés comme DNS primaire celui du 2ème DC en attendant la reconstruction.

    Vous pouvez transférer les roles FSMO sur l'autre serveur (en graphique ou ligne de commande).

    http://pbarth.fr/node/79

    Vous installer proprement le nouveau serveur, vous l'intégrer au domaine, vous ajouter le rôle AD DS et vous lancer le Dcpromo.

    http://pbarth.fr/node/43

    http://pbarth.fr/node/76

    Ensuite vous pouvez  reconfigurer la partie client DNS pour utilisez les 2 serveurs.

    Autre méthode en restaurant le serveur il vous faut une sauvegarde de l'état du système récente, vous restaurer l'état du système et la réplication AD lui permettra de récupérer le delta avec l'autre serveur.

    Sinon il est parfois possible de dépanner l'AD. Dans tous les cas vérifier systématiquement l'état de vos dc avec Dcdiag et la réplication avec repadmin /showrepl.

    Si tu veux plus d'aide sur la méthode fait  un dcdiag sur les 2 et explique la cause de la réinstall.
    lundi 11 août 2014 16:43
  • Bonjour,

    Je vous remercie pour vos réponses qui sont claires, pour le transfert des rôle FSMO, j'ai réalisé déjà deux opérations de migrations depuis 2003 à 2008 server, la méthode je pense est la même, mais ce que je veut est une méthode plus rapide, sans passer par la modification de l'ordre des serveurs, dans le cas par exemple d'une défaillance d'un serveur (un matériel défectueux, carte mère par exemple, des disque systèmes, ... etc), donc dans ce cas là, en ne peut pas migrer les rôle fsmo, comment peut-en alors de réinstaller le contrôleur primaire sachant qu'en dispose d'un contrôleur secondaire, s'il y a possibilité bien-sure.

    Cordialement.

    mardi 12 août 2014 07:17
  • Lorsqu'on ne peut migrer le rôle FSMO on prend le rôle de force, c'est pareil, un avertissement signale que l'ancien serveur ne doit plus être remis sur le réseau, de mémoire.

    Sur 2012 il ya en Powershell

    Move-ADDirectoryServerOperationMasterRole -Identity “Target-DC” -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator

    Il n'y a pas de DC primaire et secondaire.

    Comme expliqué ci dessus on purge l'ancien serveur AD dans sites et services ou dans utilisateurs et ordinateurs et on le réinstalle entièrement. Sur 2003 il fallait utiliser ntdsutil metadata cleanup.

    mardi 12 août 2014 09:06
  • Bonjour,

    il est fortement conseiller de réinstaller le contrôleur de domaine défectueux avec un nouveau nom.

    Si cela n'est pas envisageable, il faut s'assurer d'avoir bien nettoyé toutes les traces du serveur défecteux (dans la gestion des sites, notamment), avant d'intégrer dans le domaine une machine de même nom et de la promouvoir.

    Comme l'indique Philippe, la notion de Primaire/Secondaire n'existe plus depuis Windows 2000. Il reste des DCs qui ont certains rôles Master ou Pas.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(80 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 14 août 2014 12:19