locked
Probleme dans domaine 2003/2008 avec trois controleurs de domaine RRS feed

  • Discussion générale

  • Bonjour.

    J'ai un domaine avec 3 controleurs de domaine :

    AD1= W2003R2

    AD2= W2003R2

    AD3=W20088R2

    Il y a un mois j'ai installé AD3 et migré la foret pour qu'elle soit compatible avec Windows 2008R2. Les 5 roles FSMO sont sur AD3 à présent.

    Cependant j'ai remarqué que les PC utilisent AD2 pour se loguer au lieu de AD3. Ce mois ci je dois supprimé AD2 et j'ai peur que rien ne fonctionne apres sa suppression. Pourtant comme configuration réseau ils ont tous AD3 en dns principal.

    Voici les messages d'erreur que j'ai :

    Sur AD3 :

    C:\Users\administrateur.domaine>nltest /sc_query:domaine.local
    I_NetLogonControl a échoué : Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    Sur AD2 :

    C:\Documents and Settings\Administrateur.domaine>nltest /sc_query:domaine.local
    Flags: 30 HAS_IP  HAS_TIMESERV
    Trusted DC Name \\AD3.domaine.local
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    The command completed successfully

    Sur un client standard avec AD3 comme DNS principal :

    C:\Users\administrateur.domaine>nltest /sc_query:domaine.local
    Indicateurs : 30 HAS_IP  HAS_TIMESERV
    Nom du contrôleur de domaine approuvé \\AD2.local
    Statut de la connexion du contrôleur de domaine approuvé Status = 0 0x0 NERR_Suc
    cess
    La commande a été correctement exécutée

    Est-ce que quelqu'un a déjà eu ce problème ? Que pensez-vous de ces erreurs ?

    lundi 7 janvier 2013 09:55

Toutes les réponses

  • Bonjour,

    Déjà, il y a un problème au niveau de AD3, jetez un coup d'œil sur ce thread pour résoudre cette erreur. http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/f0508b08-6d53-498a-b3d3-3146d820ed3a/

    D'après mes connaissances, ce problèmes est du à la réplication KCC. Essayez de forcer la réplication entre les différents DC et de réexcuter cette commande.

    Avant d'enlever votre contrleur AD2, vous effectue les tâches suivantes:

    1- Tout les DC doivent etre des catalogues globales

    2- DNS présent dans AD1 et AD3, en plus ca doit etre integré à Active Directory

    3- Pointez les clients sur les serveurs DNS sur AD1 et AD3

    4- Déplacer les FSMO sur AD1 et AD3

    5- rétrograder AD2

    Bonne chance


    Best Regards Don't forget to mark it as answer if it helps

    lundi 7 janvier 2013 10:04
    Auteur de réponse
  • Il y a un mois j'ai installé AD3 et migré la foret pour qu'elle soit compatible avec Windows 2008R2. Les 5 roles FSMO sont sur AD3 à présent.

    http://pbarth67.free.fr/?q=node/16

    Cependant j'ai remarqué que les PC utilisent AD2 pour se loguer au lieu de AD3.

    Les postes clients utilisent les dns en fonction de leur config.Avec les requètes DNS ils vont localiser les services AD et vont intérroger un DC parmis l'ensemble de DC, donc AD2 peut très bien recevoir des requètes AD, il n'y a rien de choquant

    Quand on met en place un nouveau serveur on surveille avec dcdiag (état du DC), repadmin( replication entre DC), observateur d'événement pour s'assurer que tout est OK avant de passer à la suite.


    http://pbarth67.free.fr/?q=node/16

    Ce mois ci je dois supprimé AD2 et j'ai peur que rien ne fonctionne apres sa suppression. Pourtant comme configuration réseau ils ont tous AD3 en dns principal.

    Avant de supprimer le DC2 fait un dcdiag sur tout tes DC, vérifie la topologie de réplication dans site et service (vérifie aussi qu'il n'y a pas de trace d'un ancien serveur qui n'existe plus fréquent comme problème et on s'en rend compte souvent plus tard lors d'un ajout de nouveau DC), vérifie la réplication AD avec repadmin, vérifie la réplication de sysvol (erreur dans réplication de fichier de sysvol)

    fait un net share sur tout tes DC et vérifié la présence des partages sysvol et netlogon.

    Mais je ne ferai pas de rétrogration du DC2, avant d'avoir fait un état des lieu de l'AD.

    Vérifie aussi les DNS (ou sont stocké les zones) ,rôle Catalogue global comme expliqué par 

    avec nslookup vérifie la résolution de nom depuis tes serveurs, et vérifie que les enregistrements A existes bien dans les zones DNS des serveurs.


    lundi 7 janvier 2013 10:39
  • Merci pour votre réponse.

    J'ai vérifier la topologie de réplication à l'aide de la commande :

    "repadmin /showreps"

    Pas de probleme sur les 3 DC.

    Avec quelle commande forcez-vous la réplication ?

    lundi 7 janvier 2013 10:54
  • la même commande mais des commutateurs différents, vous avez le descriptif de repadmin ici : http://technet.microsoft.com/fr-fr/library/cc770963(v=ws.10).aspx

    repadmin /replicate ou repadmin /syncall

    lundi 7 janvier 2013 11:04
  • J'ai bien fait à nouveau mes réplications depuis tous les serveurs. A la fin j'ai bien eu la réplication s'est terminées sans erreurs.  Mais le message d'erreur reste sur AD3.

    Vous dites que d'apres vos connasisances cette erreur est du à KCC, comment le diagnostiquer ?

    lundi 7 janvier 2013 11:13
  • 1/ vérifie la topologie de réplication dans site et service

    Pas de problème la topologie est OK. par contre ,Effectivement un ancien serveur existe nommé sauvegarde. Il n'est visible que dans "Sites et services Active Directory". Par contre il ne fait aucune réplication, il est juste présent dans cette console.

    2/ vérifie la réplication AD

    lorsque je fais "repadmin /syncall" ou répliquer en graphique pas de message d'erreurs.

    3/ vérifie la réplication sysvol

    Comment vérifier la réplication de sysvol si ce n'est en vérifiant que le répertoire est bien présent sur les DC.

    4/ vérifie via netshare la présence de sysvol et netlogon

    J'obtiens ceci :

    SYSVOL       C:\Windows\SYSVOL\sysvol        Partage de serveur d'accès

    NETLOGON     C:\Windows\SYSVOL\sysvol\domaine.local\SCRIPTS
                                                                            Partage de serveur d'accès

    5/Vérifie aussi les DNS (ou sont stocké les zones)

    Sur AD3 = à partir de Active Directory et du registre

    Sur AD2 = à partir de Active Directory et du registre ATTENTION la case "lier les zones secondaires" est coché. Pas sur AD3

    Sur AD1 = à partir de Active Directory et du registre ATTENTION la case "lier les zones secondaires" est coché. Pas sur AD3

    6/Role de catalogue global

    AD3 = catalogue Global

    AD2 = DC

    AD1 = catalogue Global

    7/ Nslookup

    A ce niveau j'ai un comportement bizare. Lorsque je fait nslookup sur AD1 et AD3, je tape juste le nom du serveur et c'est OK.

    Par contre sur AD2, je dois taper nomserveur.domaine.local. Exemple :

    Sur AD3 :

    > AD1
    Serveur :   localhost
    Address:  ::1

    Nom :    ad1.local
    Address:  192.168.1.51

    Puis sur AD2 :

    > ad1
    Serveur :  AD3.domaine.local
    Address:  192.168.1.153

    *** AD3.domaine.local ne parvient pas à trouver ad1: Non-existent domain
    > ad1.domaine.local
    Serveur :  ad3.domaine.local
    Address:  192.168.1.153

    Nom :    ad1.domaine.local
    Address:  192.168.1.151

    8/ Enregistrement

    Les enregistrement A de chaque DC existent bien dans tous les serveurs DNS

    lundi 7 janvier 2013 11:41
  • 1 - 

    Si le serveur n'existe plus tu peux faire un clic droit et supprimer dans la console site et service

    3 - 

    Tu peux créer un fichier bidon sur chaque dc dans le dossier netlogon et vérifier qu'il apparaît sur les autres au bout de quelques instants,

    Sinon tu as l'observateur d’évènement  dans le journal service de réplication de fichier

    7-

    Sur AD2 tu n'as sans doute pas de sufixe dns dans la conf réseau tu dois mettre le nom complet .

    Tous les serveurs sont dans le même lan ?

    DCDIAG ?

    lundi 7 janvier 2013 13:18
  • Oui tous les serveurs sont dans le mem LAN.

    J'ai testé de copié des ficheirs dans netlogon depuis tous ls serveur. Il sont bien répliqués instantanément sur les autres serveurs.

    Notez que j'ai retapé ma commande "nltest /sc_query:domaine.local" et maintenant j'ai l'erreur sur tous les DC. Bizarre alors que je ,'ai rien modifié.

    Dans le DCdiag à partir de ad2 j'ai cette erreur :

      TEST: Basic (Basc)
                       Microsoft Windows Server 2008 R2 Datacenter  (Service Pack level: 1.0) is supported
                      NETLOGON service is running
                      kdc service is running
                      DNSCACHE service is running
                      DNS service is running
                      DC is a DNS server
                      Network adapters information:
                      The A record for this DC was found
                      The SOA record for the Active Directory zone was found
                      Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)
                      [Error details: 5 (Type: Win32 - Description: AccŠs refus‚.)]
                   Total query time:0 min. 0 sec.. Total RPC connection time:0 min. 0 sec.

    Pour Bruce JDC

    "Vous dites que d'apres vos connasisances cette erreur est du à KCC, comment le diagnostiquer ?"

         

    lundi 7 janvier 2013 13:48
  • Tu peux lancer le test suivant ? Effectue un contrôle un peu plus poussé sur la résolution DNS sur tous les DC :

    Dcdiag /test:DNS /e  

    Tu peux aussi mettre / F: Logfile si tu  veux avoir le résultat dans un fichier.

    lundi 7 janvier 2013 15:27
  • Sur AD3 (mon nouveau DC en 2008 R2) je n'ai pas d'erreur quand je lance la commande : Dcdiag /test:DNS /e

    Par contre sur AD1 et AD2 j'ai la meme erreur :

                   TEST: Basic (Basc)
                      Warning: no DNS RPC connectivity (error or non Microsoft DNS s
    erver is running)

             Summary of DNS test results:

                                                Auth Basc Forw Del  Dyn  RReg Ext
                   ________________________________________________________________
                Domain: domaine.local
                   AD3                  PASS WARN n/a  n/a  n/a  n/a  n/a

             ......................... domaine.local passed test DNS


    lundi 7 janvier 2013 17:11
  • Ca ressemble bien a une erreur DNS.

    Les DC sont-ils virtuels ?

    Ont-ils plusieurs cartes réseaux ?

    Y-a t il du teaming ?

    Pour le reste je ne pense pas qu'il y aura un problème en rétrogradant AD2, si les DNS sont bien basculé sur AD1 et AD3.

    Attention a d'éventuel équipement ou application qui ferait des requêtes ldap sur un DC précis, comme un copieur multifonction qui fait du scan to mail par exemple.

    lundi 7 janvier 2013 18:04
  • AD1 et AD2 (w2003 r2) sont physiques. AD3 (w2008 R2) est virtuel. Les deux physiques n'ont qu'une carte réseau et AD3 et une carte réseau virtuel.

    Vous dites "Pour le reste je ne pense pas qu'il y aura un problème en rétrogradant AD2, si les DNS sont bien basculé sur AD1 et AD3." Comment vérifier ceci ?

    Vous dites "Attention a d'éventuel équipement ou application qui ferait des requêtes ldap sur un DC précis, comme un copieur multifonction qui fait du scan to mail par exemple."

    Effectivement je crois qu'il y a plusieurs copieurs multifonctions. Il faut changer leur paramétrages réseau ? Quels problemes avez vous rencontré avec ce type d'imprimante ?

    Merci pour votre aide.

    mardi 8 janvier 2013 06:15
  • C'est pas directement un problème si le copieur a sa propre liste d'adresse, par contre par exemple avec un serveur exchange si vous configurer m la partie ldap du copieur pour qu'il charge la liste des adresses mails des destinataires depuis un serveur AD et qu'il est configuré avec comme serveur de référence le DC qui va être supprimé, la il ne retrouvera plus la liste de destinataire.

    Pour le reste il est dans tout les cas préférable s'il a des DNS de configuré de les remettre à jour avec des serveurs qui ne vont pas être supprimés.

    Pour les postes idem poyur les DNS. Si c'est des postes à ip fixe, soit mise à jour manuelle, soit faire un script.

    Pour les postes via dhcp mettre à jour les options DHCP et attendre la moitié de la durée du bail avant de supprimer l'ancien DC.


    Migration AD

    mardi 8 janvier 2013 10:01
  • mercredi 9 janvier 2013 15:31
  • Bonsoir.

    Je n'ai pas d'Exchange pas de risque avec les copieurs si je comprends bien.

    Quand vous dites : "Pour le reste il est dans tout les cas préférable s'il a des DNS de configuré de les remettre à jour avec des serveurs qui ne vont pas être supprimés."

    Qu'entendez-vous par remettre à jour ?

    Pour les postes, ils ont tous en DNS les deux derniers DC qui ne seront pas supprimés donc OK.

    mercredi 9 janvier 2013 17:18
  • Un copieur en réseau a ( comme un ordi) une adresse ip, un masque, une passerelle et des dns (pas toujours utile, dés fois il ne sont pas renseigné). Si je change mon DC qui est DNS et que je supprime l'ancien il est préférable de remettre à jour les serveurs dns, comme tout autre équipement réseau. Il n'est pas très propre d'avoir des équipements qui font référence à des choses qui n'existe plus, tout comme n'importe quels autres  postes.

    C'est aussi le cas avec un routeur qui fait du VPN avec authentification radius sur un AD. Il faut remettre à jour les infos avec les nouveaux serveurs qui existent, plutôt que de laisser des paramètres qui pointent sur des serveurs qui n'existent plus.

    J'ai donné l'exemple d'exchange mais peut importe la solution , soit le copieur a une liste d'email en locale (donc pas de pb), soit il interroge un annuaire (AD par exemple). S'il interroge un serveur qui n'existe plus ... 

    mercredi 9 janvier 2013 17:55