none
Problème synchro AD, DNS, réplication. RRS feed

  • Question

  • Bonjour,

    j'ai un gros soucis de réplication AD.
    j'ai 3 sites avec windows 2012r2, chacun contrôleur de domaine.

    DC1 avec les 5 rôles fsmo, DC2 et DC3. La réplication AD était ok avant le souci.

    Suite à un souci, j'ai dû restaurer une image virtuelle du DC2.
    DC2 est passé en rollback.

    J'ai restauré une image système avant le rollback. La réplication n'a pas eu lieu.
    Après plusieurs mauvaise manips, comme supprimer DC2 dans la liste site active directory, je suis reparti sur une récupération de l'image virtuelle de DC1.

    Aujourd'hui,
    DC1 : 
    Je ne peux pas ouvrir la console DNS. accès refusé. a l'erreur 4000.
    je ne peux pas joindre une station de travail du site de DC1. ni même si je met son DNS sur DC2 ou DC3.

    DC2 et DC3 tourne chacun.

    je me demande s'il est possible de faire ceci :

    - je coupe du réseau les 3 serveurs
    - Puis :
    DC1 : restauration de l'état du système à une date avant le rollback de DC2. avec autorité.
    DC2 et DC3 : restauration de l'état du système à cette même date, même heure. sans autorité.

    je rebranche au réseau DC1 
    quand DC1 est rebooté, je démarre DC2, câble réseau branché.
    idem ensuite pour DC3.

    ou suivre cette kb sur DC1 pour l'erreur 4000 :
    https://support.microsoft.com/en-us/kb/2751452
    puis démote / repromote DC2 et DC3.

    ou d'autres pistes.

    Merci pour vos retours.

    PS : j'ai préparé une liste de commande dicdiag, mais je ne peux pas encore mettre de liens car mon compte n'est pas vérifié.

    mercredi 3 février 2016 10:03

Réponses

  • J'ai mal  suivi, ton message précédent tu l'as dans le gestionnaire de serveur car tu as ajouté d'autres serveurs à géré pour qu'ils soient visible et ils n'arrivent pas à se connecter ?

    Si oui il faut que tu fasse winrm quickconfig sur le serveur destination pour autoriser le management à distance et donc le gestionnaire du serveur de DC3.

    dcdiag ne donne plus d'erreurs et repadmin est OK partout ?

    Tu as ajouté les outils du service de fichier pour faire un rapport pour la réplication sysvol avec dfs-r ?

    mercredi 10 février 2016 18:08
    Modérateur
  • Si tu as encore un DC qui fonctionne le plus propre c'est de supprimer les autres ,  denettoyer l'AD : http://pbarth.fr/node/94 de refaire tes VM  et l'installation AD Domain Services

    Si tu restaure l'état du système il faut savoir que les utilisateurs ajoutés après le backup n'existeront plus mais des droits peuvent exister avec leur SID. Les comptes d'ordinateurs qui ont changé de mot de passe après le backup (tous les 30 jours) devront être remise propêment, c'est pas forcément simple.

    http://pbarth.fr/node/53

    mercredi 3 février 2016 10:15
    Modérateur
  • L'avantage de ne pas cumuler les rôles ...

    Si tu rattaches les disque de données il seront reconnus, par contre il faudra refaire les partages ou les exporter et les importer 

    https://support.microsoft.com/fr-fr/kb/125996

    SYSTEM\CurrentControlSet\Services\LanmanServer\Shares


    vendredi 5 février 2016 10:00
    Modérateur

Toutes les réponses

  • Egalement,
    sur DC2
    - DC1 : Echec de l'actualisation avec l'erreur suivante. le serveur RPC n'est plus disponible.
    - Je ne peux pas ouvrir la console "utilisateur  et ordinateur active directory".


    mercredi 3 février 2016 10:07
  • Si tu as encore un DC qui fonctionne le plus propre c'est de supprimer les autres ,  denettoyer l'AD : http://pbarth.fr/node/94 de refaire tes VM  et l'installation AD Domain Services

    Si tu restaure l'état du système il faut savoir que les utilisateurs ajoutés après le backup n'existeront plus mais des droits peuvent exister avec leur SID. Les comptes d'ordinateurs qui ont changé de mot de passe après le backup (tous les 30 jours) devront être remise propêment, c'est pas forcément simple.

    http://pbarth.fr/node/53

    mercredi 3 février 2016 10:15
    Modérateur
  • Je pense que le DC3 est le plus complet.

    Pas de problèmes d'ajout d'utilisateurs ou d'ordinateurs si je restaure l'état du système pour moi car je n'en ai pas ajouté.
    je n'ai pas de Exchange ou SQL non plus sur ces serveurs. Ma messagerie Exchange est sur office365.

    C'est pour ça que peut-être, je peut tenter de restaurer l'état du système en premier sur mes DC, daté avant le rollback (10 jours).

    Qu'en penses-tu ?

    Et si ça ne suffit pas, après ces opérations, dé-promotion et promotion de DC2 et DC3 (DC1 a les 5 rôles FSMO).


    mercredi 3 février 2016 10:57
  • En générale on ne restaure pas mais on reconstruit, plus propre et garantit que les différentes réplicats de l'annuaire sont bien identiques.

    Dans la pratique il est fréquent d'avoir une autre application sur le DC qui oblige à restaurer ... Lors d'une restauration de l'état du système le DC restauré avertie les autres de son état et se resynchronize. La limite dans l'absolue c'est le tombstonelifetime ... mais bon c'est pas recommandé de prendre des backups de plusieurs semaines en arrière.

    Perso si je n'ai pas d'autres rôle je reconstruis ... 

    mercredi 3 février 2016 11:02
    Modérateur
  • Bonjour

    A mon avis vous corrigé les erreurs sur le DC1 ( il a les 5 rôles)

    ajouté un nouveau DC ( DC4)

    Assuré le bon fonctionnement DC1 avec DC4

    Partagé les rôles entre DC1 et DC4

    Supprimer DC2 et DC 3

    Nettoyer la base AD en utilisant un script de nettoyage ( il existe ce script dans la galerie pour forcer un dépromenoir)

    Comme ça vous partez une config clean

    Cordialement

    mercredi 3 février 2016 11:43
  • Il ne faut pas installer de nouveau DC avant d'avoir résolu le problème. Les paramètres de réplications doivent être répliqué également entre les 2 DC. L'ajout d'un DC ne se passe pas correctement dans un AD avec des problèmes de DC isolé au niveau de la réplication car il attend que les informations aient atteint tous les DC
    mercredi 3 février 2016 12:20
    Modérateur
  • Ok, je comprend qu'en gardant un DC propre, avec une reconstruction des 2 autres, la réplication AD repart sur des bases propres.

    Je suis loin d'avoir la connaissance et l'expérience des personnes de ce forum, désolé de reposer la question mais, je me demande si en faisant une restauration de l'état du système au même jour, même heure pour chaque DC, avec authorité pour DC1, ça ne fonctionnerait pas ?

    et au pire en suivant, un dé-promote et re-promote des DC2 et DC3 si le 1 est ok.

    Egalement, est-ce que la sauvegarde état du système inclus les paramètres DNS ?

    Merci Philippe pour les liens et Makram pour l'idée.
    Pour le script de nettoyage j'avais déjà vu celui-ci :
    https://gallery.technet.microsoft.com/scriptcenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3

    Prévu pour 2008, est-il compatible avec 2012r2 ?

    mercredi 3 février 2016 13:41
  • Sur les versions récentes quand tu supprime le compte du contrôleur de domaine dans utilisateur et ordinateurs il te mets un avertissement et nettoie l'AD.

    Sur les versions plus anciennes il faut passer par metadata cleanup

    mercredi 3 février 2016 16:38
    Modérateur
  • Bonjour

    Pour résoudre les problèmes de réplication et synchronisation vous pouvez utiliser AD Replication status tool qui donne une idée sur les erreurs de réplication.

    Lien : https://www.microsoft.com/en-us/download/details.aspx?id=30005

    Cordialement

    mercredi 3 février 2016 18:00
  • Bonjour,

    ok, pas besoin de faire un metadata cleanup sur 2012.

    Merci pour le lien Makram mais, le logiciel expire à la fin janvier maintenant.
    Microsoft remplace l'outils par OMS.
    Cependant, on peut quand même l'exécuter en modifiant l'heure.

    Est-ce que la sauvegarde état du système de Windows 2012 inclut les paramètres DNS ?

    jeudi 4 février 2016 07:56
  • Tu parles des paramètres client DNS ou des zones DNS et paramètres serveur.

    Bon dans les 2 cas c'est oui ... le nom de la machine également .

    jeudi 4 février 2016 08:04
    Modérateur
  • Oui, je pensais à toutes les zones DNS du serveur DNS.
    Merci pour la réponse.

    Sinon, que penses-tu de l'idée de la restauration de l'état système au même jour, à la même heure, pour chaque DC ?
    En les rallument un par un. Puis dé-promote / re-promote des DC2 et DC3 si DC1 est ok et pas de réplication ?
    J'aurai une sauvegarde complète (actuelle) de chacun avant au cas où.

    Un risque en particulier, quelque chose à faire attention ?

    jeudi 4 février 2016 08:28
  • Si tu veux absolument restaurer restaure juste les DC HS et laisse les rattraper le retard ...

    Si tu restaure tout voir la réponse ci dessus :

    Si tu restaure l'état du système de tous les DC il faut savoir que les utilisateurs ajoutés après le backup n'existeront plus mais des droits peuvent exister avec leur SID. Les comptes d'ordinateurs qui ont changé de mot de passe après le backup (tous les 30 jours) devront être remise proprement, c'est pas forcément simple.

    Voir le détail d'une restauration complète c'est pas léger: 

    http://pbarth.fr/node/56

    Quand tout restaurer : http://pbarth.fr/node/54


    jeudi 4 février 2016 09:19
    Modérateur
  • J'avais bien vu ta réponse Philippe ;-)

    Je me permettai de reprendre ma question car ensuite, j'avais précisé que je n'ai rajouté aucun utilisateur, aucune nouvelle station ni changement de mot de passe d'un utilisateur depuis le backup, et je n'ai pas eu de réponse :-)

    Mon parc est de 10 postes environs par site. Forêt mono-domaine.

    Le backup en vu est du 24 janvier. L'idée était de reprendre le même pour tout le monde.
    Il y  aurait peut être quelques ordinateurs à refaire la relation d'approbation si leur mot de passe est expiré ?

    Je ne connaissais pas les 30 jours de mot de passe pour les ordinateurs.


    "Si tu veux absolument restaurer restaure juste les DC HS et laisse les rattraper le retard ..."

    Si j'ai bien compris, la bonne solution serait donc :
    - je restaure DC1 (qui a tous les rôles FSMO).
    - je dé-promote, re-promote DC2.
    - je regarde la réplication entre DC1 et DC2
    - je répète la manip pour DC3.

    Mais si je comprend bien, je peux rencontrer le même problème de l'expiration de 30 jours des mots de passe ordinateur ?

    Actuellement, pas de réplication de l'AD.
    S'il y a eu des nouveaux mot de passe ordinateurs sur un site depuis le backup, il me faudra refaire leur l'approbation ?

    Si au moment de promouvoir DC2 ou DC3, j'ai un message qu'il connait déjà un contrôleur de domaine portant ce nom là, est-ce que je peux changer le nom de machine de DC2 ?

    Merci pour tes liens très complets, de ton site.
    jeudi 4 février 2016 09:56
  • - je restaure DC1 (qui a tous les rôles FSMO).

    -  je dé-promote, re-promote DC2.
    - je regarde la réplication entre DC1 et DC2
    - je répète la manip pour DC3.

    je suis pas sur que la dépromotion de  DC2 se passe  bien dans ta situation de toute façon au moment de la restauration de DC1 et après la suppression de DC2 , DC1 va essayer de ce synchroniser sur DC3 qui est apparemmentun DC fonctionnel

    j'étais plutôt sur :

    Option 1 : tu gardes DC3 et tu restaures DC1 et DC2

    option 2 : tu supprimes DC1, DC2,  tu nettoie l'AD, tu force la prise de rôle FSMO sur DC3, tu refais 2 nouveau DC1 et DC2. (recommandé)



    jeudi 4 février 2016 17:51
    Modérateur
  • ok.

    Avec l'option 1, je me demande :
    Si je restaure DC1 et DC2, pas besoin de forcer la prise de rôle FSMO sur DC3 ?

    option 2 :
    par supprimer DC1 et DC2, je pense que tu parles de refaire le serveur de A à Z.
    Si je peux éviter pour ne pas à recopier les fichiers des utilisateurs (mais facile tout de même avec robocopy) ?
    Même si c'est mieux de préférence, est-ce que la dé-promotion re-promotion suffirait, ou également supprimer / remettre le rôle Active Directory ?
    (obligatoire de toute façon pour DC1 vu qu'il a les rôles FSMO actuellement).

    Est-ce que je peux changer les noms de machines de DC1 et DC2 avant de les remettre contrôleur, pour être tranquille si jamais on me dit que ce nom de serveur existe déjà si le nettoyage de l'AD ?
    vendredi 5 février 2016 07:27
  • Je pense suivre l'option 2, en refaisant DC1 et DC2.

    Les données des utilisateurs sont sur un 2e disque dur (virtuel), pour DC1 et DC2.
    Je peux rebrancher le disque dur des données utilisateurs.
    Ca sera plus simple et plus rapide qu'une recopie.

    Sur DC3, j'ai l'erreur "DC1 : échec de l'actualisation avec l'erreur suivante : le serveur RPC n'est pas disponible".
    et en suivant, échec de la récupération des métadonnées.

    Pas d'incidence pour refaire les serveurs, car il aura les rôle FMSO ?
    Question bête mais je préfère te le demander.

    Je vais préparer les nouveau DC1 et DC2, je ferai la maintenance ce week-end.

    vendredi 5 février 2016 08:59
  • L'avantage de ne pas cumuler les rôles ...

    Si tu rattaches les disque de données il seront reconnus, par contre il faudra refaire les partages ou les exporter et les importer 

    https://support.microsoft.com/fr-fr/kb/125996

    SYSTEM\CurrentControlSet\Services\LanmanServer\Shares


    vendredi 5 février 2016 10:00
    Modérateur
  • Merci pour le lien des partages. Je n'ai pas pensé à ça. ça me fera gagner du temps.

    Même si la bonne solution est le nettoyage des metadonnées + dns de DC1 / DC2 sur DC3,
    si au moment où je joins le domaine pour les nouveaux DC1 et DC2, avec le même nom de machine qu'auparavant, j'ai le message que ce nom de machine existe déja, que je n'arrive pas à bien nettoyer l'AD et les DNS, est-ce que changer les noms des machines peut avoir une incidence ?

    mis à part les partage UNC avec le nom du serveur pour les postes clients.

    A propos des imprimantes.

    DC1 et DC2 ont des imprimantes partagées déployées par GPO.

    Je dois faire un export / import des imprimantes je suppose ?
    La règle GPO sera gardée ?

    vendredi 5 février 2016 10:20
  • si au moment où je joins le domaine pour les nouveaux DC1 et DC2, avec le même nom de machine qu'auparavant, j'ai le message que ce nom de machine existe déja, que je n'arrive pas à bien nettoyer l'AD et les DNS, est-ce que changer les noms des machines peut avoir une incidence ?

    Si tu n'arrive pas à nettoyer l'AD tu risques d'avoir des erreurs lors l'ajout d'un DC car la topologie de réplication doit être cohérente avant que le nouveau serveur s'annonce comme DC. Si tu as un erreur sur le nom c'est que l'AD n'est pas nettoyé. Si l'assitant graphique ne marche pas il faudra utiliser metadata cleanup.

    Vérifie que d'avoir un backup récent de DC3 ...

    vendredi 5 février 2016 13:11
    Modérateur
  • ok, il me faut absolument garder les même noms je suppose ?

    vendredi 5 février 2016 13:15
  • non pas obligé en dehors de tes liens et raccourci.

    vendredi 5 février 2016 13:18
    Modérateur
  • Bonjour

    Un script pour nettoyer le metadata

    lien : https://gallery.technet.microsoft.com/scriptcenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3

    après ce script a supprimer DC1 et DC2 dans site et active directory

    Vérifier le DNS par la suite

    Cordialement

    vendredi 5 février 2016 13:27
  • je te remercie beaucoup pour tes conseils.

    Je prépare depuis ce matin les nouveaux DC.
    Je ferais les différentes opérations ce week-end, non sans relire tes différents liens pour l'attribution des rôles FMSO et le nettoyage de l'AD.

    Sinon j'ai bien un backup chaque jour de DC3.

    Je ferai un retour la semaine prochaine.

    Par préparer, c'est : install des MAJ windows, imprimantes, partages dossiers...
    Je ne les joins pas encore au domaine, ils attendront demain ;-)

    vendredi 5 février 2016 13:33
  • Bonjour Makram,

    merci à nouveau pour le lien. je pense faire le nettoyage manuel.

    Sinon, prévu pour 2008, le script fonctionne t'il sur Win 2012r2 ?

    vendredi 5 février 2016 15:03
  • Bonjour

    Dans l'article le script ne s'applique pas sur Windows 2012, Mais je viens de lancer le script pas de problème sur 2012, il faut que j'ajoute un autre DC en 2012 sur ma plate forme de test pour tester

    Si non un article technet comment faire un clean metadata manuel

    https://technet.microsoft.com/fr-fr/library/cc816907%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Cordialement

    vendredi 5 février 2016 15:32
  • ok, merci pour le lien.

    Existe t'il une commande pour vérifier que l'AD et le serveur DNS sur DC3 est bien ok ?
    Car dcdiag rapporte les erreurs de synchro, normal, mais je me demandais s'il y avait une commande pour être sur que mon AD et paramètres DNS sur DC3 son ok et non altérés.

    Merci.

    Pour test, sur le site de DC3, j'ai ajouté un utilisateur de DC1 et DC2, rejoins à nouveau le domaine. Ca a fonctionné. 



    vendredi 5 février 2016 15:52
  • Perso je n'utiliserai pas de script car :

    - sur les versions récentes supprimer le compte du DC suffit

    - avec un script il faut faire l'effort de comprendre son principe et son contexte. Un script utilisé dans un mauvais contexte peut être plus un problème qu'une solution

    - en ligne de commande c'est quelques commandes ntdsutil tu peux suivre une après l'autre les étapes et tu trouveras facilement de l'aide sur une erreur

    Si le nettoyage a réussi il ne devrait plus y avoir "ntdssetings" pour le contrôleur de domaine en question dans sites et services AD.

    Effectivement il faut supprimer manuellement les noms des DC dans sites et services AD et ceux même en les rétrogradant normalement.

    repadmin /showrepl vérifie la réplication 

    dcdiag vérifie le contrôleur de domaine, attention des erreurs d'événements sont détecté sur les 24 dernières heures, dcdiag peut faire ressortir les erreurs même si tout est rentré dans l'ordre(la date et heure de l'événement est indliqué).Si tu te connecte en TS avec des redirection d'imprimante tu peux avoir également des erreurs sans intérêt lié à l'absence dupilote sur le DC, dans tous les cas il faut vérifier toutes les étapes du dcdiag.

     il est recommandé de vérifié l'état  après24h également.

    Pour repadmin il vérifie la réplication de l'annaire. J'utilise des scripts journalier pour vérifier qu'aucun de mes DCs n'a de problème. 

    vendredi 5 février 2016 16:37
    Modérateur
  • PEtit oubli sur l'ancien DC tu as laissé les chemins par défaut pour l'AD et sysvol ?

    vendredi 5 février 2016 16:47
    Modérateur
  • Bonjour

    Dcdiag : lien utile : https://technet.microsoft.com/fr-fr/library/cc731968%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    DCDIAG /TEST:DNS pour valider un bon état DNS ;

    DCDIAG /CheckSecurityError pour détecter les configurations de sécurité qui peuvent provoquer l'échec de la réplication Active Directory..

    Pour le metadata vous pouvez utilisez NTDSUTIL pour le nettoyage.

    Bien cordialement

    vendredi 5 février 2016 16:53
  • Philippe,
    pour ta question, tu parles à l'installation de Win2012 et l'AD DS ?
    oui : c'est bien les chemin par défaut.

    Je vais suive la méthode manuelle de ton site pour nettoyer l'AD de DC1 et DC2 avant leur nouvelle promotion.

    Merci pour les commandes Makram, je les testerai.

    Bon ben... aller... c'est parti !

    samedi 6 février 2016 09:31
  • Si tu utilises HyperV attention aux VM de génération 1 qui utilises des disques IDE par défaut :

    http://pbarth.fr/node/103

    samedi 6 février 2016 09:46
    Modérateur
  • J'utilise proxmox, c'est du KVM / QEMU.
    J'en suis satisfait et suffisant pour mon parc,
    mais merci pour le conseil, au cas où. J'avais vu cette remarque sur ton site.

    samedi 6 février 2016 09:50
  • Je suis a la nouvelle promotion de DC1.

    L'assitant d'installation du rôles AD m'affiche :
    "Il est impossible de créer une délégation pour ce serveur DNS car la zone parente faisant autorité est introuvable ou elle n’exécute pas le serveur DNS Windows"

    Sur DC3, la zone de recherche inversée est vide.
    Comme j'ai 3 plans d'adressage IP, me faut-il faire 3 zones inversées différentes ?
    (j'ai migré les 5 rôles FMSO).

    samedi 6 février 2016 13:05
  • Si tu as un domaine mondomaine.local l'avertissement te dit qu'il ne peut créer une délégation de zone dans la zone .local pour le domaine mondomaine. Eh oui la zone n'existe pas. Si tu fais un domaine enfant tu n'as pas d'avertissement car la zone parente existe.

    Donc ce n'est pas un problème.

    Voir

    http://pbarth.fr/node/76

    Pour les zones inversés il faut une zone pour chaque sous réseau, néanmoins ce n'est pas obligatoire pour Active Directory, tu peux le gérer par après.

    samedi 6 février 2016 13:16
    Modérateur
  • ok, je pensais qu'il manquait un enregistrement, vu que ce n'était pas le serveur où j'ai créé le domaine et le dns au départ.

    Je me rappelai plus d'avoir eu ce message aux précédentes promotions.

    samedi 6 février 2016 13:43
  • Pas de soucis pour DC1. J'ai changé son nom au passage. Il ne me convenait pas car différent de la typologie des autres.
    En revanche "le compte existe déjà" pour le DC2. Je souhaite garder le nom.
    Arrff... j'ai parcourus tout le DNS, supprimé toutes les occurences de son nom,

    dans Contrôleur de Domaine de l'Active Directory : supprimé.
    ntdsutils : la procédure de nettoyage metadonnées, rien.
    nslookup : rien avec son nom.

    Existe t'il une commande pour savoir où le trouver ?

    Le fameux script le ne trouve pas ;-)

    Mise à jour :
    Après un bon moment, l'ajout au domaine a réussi.
    Il y a t'il un temps avant que ce soit vraiment nettoyé ? Un genre de cache ?

    samedi 6 février 2016 14:15
  • En revanche "le compte existe déjà" pour le DC2. Je souhaite garder le nom.

    Ah quel niveau tu as eu le message ?

    Tu as regardé dans sites et services que l'ancien DC n'apparait plus ?

    samedi 6 février 2016 15:47
    Modérateur
  • Le message apparaissait après validation du compte admin / mot de passe pour joindre le domaine.

    Oui, je l'avais bien supprimé dans sites et services et confirmer la suppression.
    Idem depuis l'active directory,
    et toutes les dossiers du serveurs dns où je voyais son nom (y compris l'endroit où il faut cliquer 2 fois pour modifier une liste).

    Entre mes messages, j'ai continué à cherché, pris l'adsedit.msc en lisant la procédure d'alexwinner : il n'y avait rien non plus.
    Puis je suis passé à la suite de la config de l'autre DC.
    J'ai retenté et... voila, c'est passé sans avoir trouvé d'autres enregistrements.

    Sinon à part ça, tout s'est bien passé.
    J'ai également exporté / importé la config DHCP, les partages avec ton lien. Impec.

    Par contre, je viens de remarquer ceci.
    Dans la console "site et services", pour le site du DC2 (que je n'ai pas changé le nom), en développant j'ai :

    nom du site du DC2, servers, le serveur DC2 et en dessous NTDS site settings.
    Idem sur le serveur DC1.

    En revanche, sur le DC3, NTDS site settings n'apparaît pas. Si je clique sur le nom du site du DC2, il apparaît en haut à droite, mais pas en dessous du serveur DC2, comme les autres sites.

    Pas de problèmes pour ça ?

    DC1 appraît correctement partout.

    samedi 6 février 2016 16:54
  • Je suis pas sur d'avoir bien compris. Mais dans sites et services chaque DC doit avoir un "sous dossier" ntdssettings, c'est entre autre cette partie qui est nettoyé lors du metadata cleanup. Mais attention au moment de la promotion tu ne vois pas forcement de suite la même chose sur les DC il faut un peu de temps pour la synchronisation.

    repadmin /showrepl ?

    Sinon tu as Active Directorry replication status tool qui est très détaillé sur la synchro AD

     
    samedi 6 février 2016 17:06
    Modérateur
  • Voila, le sous dossier ntdssettings du DC2 apparaît correctement en ouvrant la console site et services sur DC1 et DC2, mais n'apparaît pas dans celle de DC3.

    Pour test, j'ai ajouté un utilisateur sur chaque site.
    Sur DC2, j'ai l'erreur suite quand je clique sur Terminer de l'assistant :

    "Windows ne peut pas créer l’objet test-utilisateur car : 
    Le service d’annuaire n’a pas pu allouer un identificateur relatif."

    repadmin /showrepl :
    sur DC1 : a réussi en indiquant DC2 et DC3.

    sur DC2 : a réussi en indiquant DC1 uniquement. il n'affiche pas DC3.

    sur DC3 : a réussi en indiquant DC1 uniquement. il n'affiche pas DC2.

    samedi 6 février 2016 17:14
  • Donc les paramètres de réplications n'ont pas encore atteint tout le monde. Sur du multi site il faut de la patience. La réplication intersite par défaut c'est tout les 180 minutes.

    tu peux utiliser repadmin /syncall pour essayer d’accélérer.

    Le paramètre est la : 

    samedi 6 février 2016 17:23
    Modérateur
  • Bonjour

    Un complément d'information  sur la réponse de Philippe repadmin /syncall

    https://technet.microsoft.com/fr-fr/library/cc816915%28v=ws.10%29.aspx

    Cordialement

    samedi 6 février 2016 17:31
  • J'ai fait la commande partout :
    "Synchronisation totale effectuée sans erreur."

    Cependant, les utilisateurs créés sur chaque site n'apparaissent pas sur "utilisateurs et ordinateur AD" des autres serveurs.

    Avec le message "Windows ne peut pas créer l’objet test-utilisateur car : 
    Le service d’annuaire n’a pas pu allouer un identificateur relatif."

    Est il possible de créer manuellement ntdssettings dans le sous-dossier de DC2 ?
    DC1 s'est affiché sans problème desuiste. 
    J'ai quand même l'impression que mes erreurs viennent de ça, sans parler du "compte existant déjà" alors qu'il était bien effacé.

    Changer de nom aurait marché certainement, mais j'aimerai bien trouver comment régler ça, histoire de comprendre mieux comment ça fonctionne.

    Bon, je vais laisser comme ça pour le moment. Les sessions s'ouvrent bien, les dossiers partagés aussi.
    J'ai envie de profiter de mon samedi soir ;-)
    Et ça laissera le temps de répliquer si besoin.

    Merci pour ton aide un samedi :-)
    J'ai hâte de voir la suite pour corriger cette réplication.

    Je regarderai ton lien plus tard, merci aussi Makram.

    samedi 6 février 2016 17:44
  • pour l'instant la synchro s'est faites pour tous les liens existants mais tous les liens ne sont pas encore en place.  Avec 180 minutes il faut de la patience ou relancer plusieurs fois avec quelques minutes d'écart.

    Si tu fais un net share tu as déja les volumes sysvol et netlogon sur tous les DC ?

    Surveille aussi l'observateur d'événement.

    samedi 6 février 2016 18:04
    Modérateur
  • Je viens de regarder :
    le sous dossier de DC2 sur le DC3 est ok.
    ok, je ne pensais pas qu'il fallait autant de temps, malgré les 180 minutes.

    net share sur tous les DC, j'ai bien les SYSLOG et NETLOGON.

    Il me reste cette erreur, quand je créais un utilisateur sur DC2 :

    Sur DC2, j'ai l'erreur suivante quand je clique sur Terminer de l'assistant, pour ajouter un utilisateur :

    "Windows ne peut pas créer l’objet test-utilisateur car : 
    Le service d’annuaire n’a pas pu allouer un identificateur relatif."
    je regarderai l'observateur d'évênements demain ;-)

    Et les zones de recherches inversées à créer.

    samedi 6 février 2016 22:39
  • Bonsoir

    Autant de temps n'est pas choquant.

    Concernant l'erreur de création d'un objet sur le DC2, veuillez trouver ce KB :

    https://support.microsoft.com/fr-fr/kb/822053

    Cordialement

    samedi 6 février 2016 23:30
  • Je m'étonnai du temps car le ntdssettings du DC1 est apparu rapidement sur DC3.
    Donc ok, c'est bien normal.

    J'ai résolu le souci de Windows qui ne peut pas créer l'objet.
    J'ai vérifié que DC3 avait bien les 5 rôles pour DC1 puis j'ai vu l'erreur 4015 pour le DNS sur DC3.
    (désolé, je ne peux pas mettre de lien pour la kb)

    J'ai alors redémarré le serveur DC3 et voila. Je peux ajouter des objets depuis DC1 :-)

    Merci quand même pour le lien Makram ;-)

    J'ai d'autres erreurs dans l'observateur d'évênements. Je regarderai la semaine prochaine.
    Bon dimanche à tous 2 ;-)

    dimanche 7 février 2016 10:09
  • Voila, le sous dossier ntdssettings du DC2 apparaît correctement en ouvrant la console site et services sur DC1 et DC2, mais n'apparaît pas dans celle de DC3.

    Je suppose que lors de l'assistant de configuration AD tu n'as pas sélectionner le DC source. Pour DC1 tu as du le faire en premier et il ne pouvait choisir que DC3 comme source. Pour DC2 il a dans doute choisi DC1 comme source. Si tu compte 2 cycles pour que la réplication converge avec 3 DC cela peut faire plus de 9heures avec une réplication tous les 3h ...

    Imagine une société avec 40 DC sur 30 sites ....

    Chaque DC obtient après sa promotion une plage de SID(500Sid) qu'il peut utiliser. Lorsqu'elle est épuisé il en redemande une nouvelle. Tous les DC disposent des informations sur les plages mais seul un le gère. Les info du pool sont dans l'AD et avec ton soucis de réplication il n'était peu être plus synchronisé. Mais bon 500Sid ca n'expire pas en un jour sur une petite infra en général... Si on crée 10 utilisateurs dans le mois c'est pas mal . L'absence temporaire du maitre RID ne pose pas de problème sauf si un DC a utiliser tout les sid. En cas de crash du n'importe quel autre DC doit pouvoir reprendre le rôle, mais l'ancien DC ne doit plus être remis en ligne.

    En cas de restauration d'un ancien backup il est recommandé de modifier ce pool. voir http://pbarth.fr/node/69.

    Bon c'est juste pour expliquer le principe.

    Si le problème n'est pas résolue fait un netdom query fsmo sur tous les DCs et vérifie que tu as bien les bonnes infos.

    Regarde le journal du DC maitre RID (normalement DC3), reboot DC2 et regarde le journal.

    Refait systématiquement des dcdiag jusqu'à ce que tu n'as pas eu d'erreur pendant 24H. Vérifie également la réplication avec repadmin.

    dimanche 7 février 2016 10:19
    Modérateur
  • "Je suppose que lors de l'assistant de configuration AD tu n'as pas sélectionner le DC source. "
    tout à fait. J'ai laissé l'option par défaut pour les 2 DC.

    Merci pour les explications sur le pool SID.

    Je ne sais pas si tu as vu mes réponses, mais ntdssettings de DC2 apparaît bien dans DC3 et je peux créer des utilisateurs depuis DC2, après un redémarrage de DC3 (erreur 4015 sur DC3).
    J'ai d'autres erreurs à corriger.
    Par exemple, DC3 va chercher l'ancien nom de DC1.
    Je regarderai mieux lundi et indiquerai ces erreurs ici. Bon dimanche.
    dimanche 7 février 2016 10:32
  • Voici plus en détail l'erreur, sur DC3 :
    "DC1 (ancien nom) : échec de l'actualisation de la configuration avec l'erreur suivante : Echec de la récupération des métadonnées à partir du serveur, en raison de l'erreur suivante : WinRM ne peut pas traiter la demande. L'erreur suivante s'est produite lors de l'utilisation de l'authentification Kerberos : impossible de trouver l'ordinateur DC1.domaine.local. Vérifiez que l'ordinateur existe sur le réseau..."

    Visible depuis le gestionnaire de serveur.
    Je ne trouve rien dans l'observateur d’événements.

    DC1 était dans le site nommé "default-first-site-name".
    J'ai profité de la maintenance pour supprimer ce site, son contenu, et mettre le nom de la ville. Comme les autres noms.
    Le nom de DC1 n'apparaît plus dans DNS.
    J'ai recherché avec ntdsutil : lister les serveurs parmis les sites. Rien.

    lundi 8 février 2016 14:17
  • Bonjour

    Vous avez supprimer default first name qui contient DC1 ,

    nslookup DC1 donne quoi comme résultat ?

    Cordialement

    lundi 8 février 2016 14:59
  • Bonjour Makram,

    J'ai ce message :
    "localhost ne parvient pas à trouver DC1.domaine.local : Non-existent domain"

    en faisant nslookup dc1 ou nslookup dc1.domaine.local, même message.

    Aïe... peut-être que default-first-site-namene doit jamais être supprimé ou renommé. 

    lundi 8 février 2016 15:08
  • bonjour

    Vous pouvez renommer default-first-site, mais le faite de le supprimer avec le contenu, c a d vous avez supprimer NTDS Settings.

    " prochainement Vous pouvez créer des sites et par la suite vous déplacer les serveurs"

    Il faut passer un DCDIAG

    Cordialement

    lundi 8 février 2016 15:35
  • Tu as un problème de résolution de nom. 

    Comment tu as configuré tes DC au niveaux du DNS primaire ? lui même ou DC3 ?

    Regarde dans la zone DNS si tu as un enregistrement A qui pointe sur la bonne IP.

    Il est possible de renommer default-first-site mais attention dans les DNS il y a des enregistrements spécifiques au site.

    S'il te manque des enregistrement du DC fait :

    ipconfig /registerdns :sur DC 1 crée l'enregistrement A

    Voir comment sont créé les enregistrements DNS : http://pbarth.fr/node/35 (dans l'exemple je supprime la zone DNS juste pour montrer comment son créer les enregistrements ne fait pas pareil)... ;-)

    redémarre le service netlogon sur DC1: créé les différents enregistrement de service (kerberos, ldap).

    fait nslookup dc1.domaine.local il doit trouver la bonne IP.

    dcdiag et repadmin fonctionne ?

    lundi 8 février 2016 17:12
    Modérateur
  • ok, donc on peut le faire.
    Je me rappelle avoir supprimé le default-first-site et confirmé la suppression de son contenu, où il y avait l'ancien nom de DC1.

    le dcdiag sur DC2 : réussi partout.
    sur DC1 et DC3 : réussi partout sauf DFSREvent.

    "Démarrage du test : DFSREvent
    Erreurs ou avertissements détectés au cours des dernières 24 heures après le partage de SYSVOL. Des problèmes liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes de Stratégie de groupe."

    J'ai l'erreur 5014 sur DC1 et DC3, entre les 2 serveurs.

    Egalement la 4015. Je viens de redémarrer le service DNS. 

    lundi 8 février 2016 17:17
  • Donc tu l'as supprimer avant de refaire le DC1 ?

    nslookup est OK ?

    tu peux installer dans les fonctionnalités les outils de gestion DFS afin de pouvoir faire un rapport et vérifier.

    J'avoue que je n'arrive plus à suivre l'ordre des messages ...
    lundi 8 février 2016 17:42
    Modérateur
  • Je tapais ma dernière réponse que tu m'avais déja répondu ;-)
    Je pense que tu as peut-être confondu DC1 et l'ancien nom de DC1.

    Je vais appeler l'ancien nom de DC1, DC1-OLD pour le topic.

    "Comment tu as configuré tes DC au niveaux du DNS primaire ? lui même ou DC3 ?"
    Chaque DC a son adresse IP en DNS primaire. Aucun en secondaire.

    "Regarde dans la zone DNS si tu as un enregistrement A qui pointe sur la bonne IP"
    J'ai bien un enregistrement A qui pointe vers la bonne IP, dans la zone DNS du domaine.
    Je n'ai pas l'ancien nom de DC1.

    J'ai tout mes enregistrements DNS.

    Au cas où, je vais récapituler mes problèmes restants, avec un début de solution grâce a l'outil DFS, et quelques commandes.

    - Les DCs répliquent bien.
    - dcdiag :
    le dcdiag sur DC2 : réussi partout.
    sur DC1 et DC3 : réussi partout sauf DFSREvent.

    "Démarrage du test : DFSREvent
    Erreurs ou avertissements détectés au cours des dernières 24 heures après le partage de SYSVOL. Des problèmes liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes de Stratégie de groupe."

    à part ça, les serveurs répliquent bien.

    - repadmin /showrepl : ok partout.
    - nslookup
    nslookup dc1 ou nslookup dc1.domaine.local répond correctement.
    nslookup dc1-old ou nslookup dc1-old.domaine.local ne trouve pas la machine.

    Problème :
    sur DC3 (Visible depuis le gestionnaire de serveur) :
    "DC1-OLD : échec de l'actualisation de la configuration avec l'erreur suivante : Echec de la récupération des métadonnées à partir du serveur, en raison de l'erreur suivante : WinRM ne peut pas traiter la demande. L'erreur suivante s'est produite lors de l'utilisation de l'authentification Kerberos : impossible de trouver l'ordinateur DC1.domaine.local. Vérifiez que l'ordinateur existe sur le réseau..."

    Visible depuis le gestionnaire de serveur.
    Je ne trouve rien dans l'observateur d’événements.

    * Outils de gestion DFS.
    Dans réplication, Domain System Volume : j'ai 4 éléments dont 1 désactivé.
    En regardant ses détails, j'ai cette machine :
    "CN=WIN-JFTP749SR45,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=domaine,DC=local"

    * Modification ADSI :
    En suivant le chemin, j'ai trouvé la machine WIN-JFTP749SR45.
    Je pense qu'il s'agit bien de DC1-OLD car sa date de création colle avec DC1-OLD.

    Je peux supprimer sans risque ? Un moyen de sauvegarder ?

    Je ne connaissais pas l'outil DFS. Pratique pour ça.


    mardi 9 février 2016 09:35
  • Comment tu as configuré tes DC au niveaux du DNS primaire ? lui même ou DC3 ?"
    Chaque DC a son adresse IP en DNS primaire. Aucun en secondaire.

    Mets une IP en secondaire c'est important ! Sur un site avec plusieurs DC il était même recommandé de croisé les DNS voir Best Practive Analyser installé par défaut sur 2012.

    Avant de supprimer un truc du DFS crée dans le dossier netlogon un fichier testDC1.txt sur chacun de tes serveurs et vérifie qu'ils apparaissent sur les autres DCs.

    mardi 9 février 2016 10:52
    Modérateur
  • "Mets une IP en secondaire c'est important !"
    OK, je ne savais pas. Je ferai ça. Merci.

    Merci pour l'info sur le best analyse. ca fait parti des outils à utiliser...

    Le test :
    j'ai créé un fichier DCx sur chaque DC respectif. DC1, DC2 et D3, dans le partage netlogon dans l'après-midi.
    Ils apparaissent bien sur les partages des autres DCs maintenant. Les 3 fichiers.
    Je peux supprimer la machine qui semble superflue du coup ?


    mardi 9 février 2016 17:06
  • Le nom me parait bizarre comme si un autre DC avec un nom générique créé par Windows à l'installation avait été promu puis supprimé. Mais bon si tous les autres noms apparaissent et synchronise bien cela ne devrait pas poser problème.

    Sinon la méthode de sauvegarde c'est de faire un backup l'état du système.

    il y a un exemple de script powershell avec résultat par mail ici http://pbarth.fr/node/49

    mardi 9 février 2016 19:03
    Modérateur
  • "Le nom me parait bizarre comme si un autre DC avec un nom générique créé par Windows à l'installation avait été promu puis supprimé"

    J'ai supprimé l'élément. cependant, j'ai toujours le message .

    sur DC3 (Visible depuis le gestionnaire de serveur) :
    "DC1-OLD : échec de l'actualisation de la configuration avec l'erreur suivante : Echec de la récupération des métadonnées à partir du serveur, en raison de l'erreur suivante : WinRM ne peut pas traiter la demande. L'erreur suivante s'est produite lors de l'utilisation de l'authentification Kerberos : impossible de trouver l'ordinateur DC1.domaine.local. Vérifiez que l'ordinateur existe sur le réseau..."

    Il connait son nom.
    Dans DFS, Réplication domain system volume, DC1-OLD n'apparaît pas. j'ai uniquement les 3 DC qui fonctionnent bien.
    mercredi 10 février 2016 16:30
  • J'ai mal  suivi, ton message précédent tu l'as dans le gestionnaire de serveur car tu as ajouté d'autres serveurs à géré pour qu'ils soient visible et ils n'arrivent pas à se connecter ?

    Si oui il faut que tu fasse winrm quickconfig sur le serveur destination pour autoriser le management à distance et donc le gestionnaire du serveur de DC3.

    dcdiag ne donne plus d'erreurs et repadmin est OK partout ?

    Tu as ajouté les outils du service de fichier pour faire un rapport pour la réplication sysvol avec dfs-r ?

    mercredi 10 février 2016 18:08
    Modérateur
  • Dans le gestionnaire de serveur, je n'ai pas ajouté d'autres serveurs.
    Il n'y a que le local.

    L'erreur est uniquement dans le gestionnaire de serveur du DC3. Pas ailleur.

    * tests de commandes :
    - repadmin /showrepl : ok partout.
    - dcdiag : ok sur DC2.
    avec cette erreur sur DC1 et DC3, le reste ok.

    "     Démarrage du test : DFSREvent
            Erreurs ou avertissements détectés au cours des dernières 24 heures après le partage de SYSVOL. Des problèmes
            liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes de Stratégie de groupe."

    - outil de gestion DFS :
    Rapport de diagnostic, rapport d'intégrité : ok sur les 3.
    Test de propagation : ok entre DC1 et DC3.

    - Observateur d'évênement :

    DC1 : 
    - Directory services : rien
    - DNS : id 4015, plusieurs fois.
    - DFRS : id 5014, erreur 1726. arrêt de la communication avec DC3.

    DC2 :
    - Directory services : rien
    - DNS : rien
    - DFSR : rien 

    DC3 :
    - Directory services : rien
    - DNS : rien
    - DFRS : id 5014, erreur 1726. arrêt de la communication avec DC1.

    l'id 5014 est peut être la connexion entre les 2 sites de ce que j'ai compris.
    la 4015, je ne sais pas.

    En résumé :
    faut que je voie la connexion entre les 2 sites de DC1 et DC3,
    4015 : ? 
    DC3, uniquemement DC3, affiche, depuis le gestionnaire de serveur, qu'il ne peut pas récupérer des métadonnées à partir du serveur DC1-OLD (ancien DC1, supprimé pour refaire le serveur).
    (le message complet est un dessus).
    jeudi 11 février 2016 10:59
  • Tu as déjà essayé de tester la fiabilité des com entre les sites dans la journées ? Tu as peut -être des ralentissement ponctuel qui génère des erreurs dans les logs. dcdiag reprend les événements sur 24h .

    L'erreur est uniquement dans le gestionnaire de serveur du DC3. Pas ailleur.

     Tu peux mettre une copie d'écran ?Tu vois les autres serveurs sur DC3 ? si oui les serveurs ajoutés dans le gestionnaire de serveur de DC2 doivent être configuré pour le management à distance

    jeudi 11 février 2016 18:32
    Modérateur
  • Oui, il me faut vérifier les connexions entre les sites de DC2 et DC3.

    Tu as raison, une image vaut mieux qu'un long discours :

    Dans cette console je n'ai pas ajouté les 2 autres serveurs.
    Pour t'aider à suivre, car ce ne doit pas être évident entre tous les sujets auxquels tu dois répondre, petit rappel :
    - j'ai refais les serveurs DC1 et DC2, car mon AD sur DC3 était OK.
    - j'ai changé le nom de DC1 quand j'ai refais le win2012 sur le site concerné.
    - J'appelle DC1-OLD l'ancien nom de DC1.

    Attention, c'est bien l'ancien nom de DC1, DC1-OLD, que DC3 demande,
    alors que DC1-OLD n'appairaît plus dans l'outils de gestion du système de fichiers distribués DFRS.



    vendredi 12 février 2016 14:08
  • Dans tous les serveurs le serveur qui n'existe plus apparaît ?

    samedi 13 février 2016 08:44
    Modérateur
  • non, uniquement DC3.
    lundi 15 février 2016 15:02
  • je répond à moi-même :
    le serveur figurait dans la liste de "tous les serveurs" du gestionnaire serveur.
    Supprimé et hop, ça devrait aller mieux !

    Désolé de ne pas avoir percuté ça plus tôt.

    En tout cas, avec ce message, j'ai appris l'outils DFS-R et vu qu'il y avait l'ancien serveur sous son ancien nom "distingued name" puis j'ai pu le nettoyer.

    Merci, merci beaucoup Philippe pour ton assistance qui m'a enlevé une bonne épine du pied.
    Dans cette histoire, j'ai mieux compris certains mécanismes de réplications qui sont pourtant, la base de l'AD.
    Je m'étais mal pris au départ, maintenant je saurai comment faire si ça recommence.

    Une dernière question.
    Je me le demandais déjà, vu mon infra, passer peut-être 2 DCs en RODC :
    j'ai un site raccordé à la fibre, les autres en adsl. environ 10 utilisateurs par site.
    ça doit être mieux pour la bande passante.

    mardi 16 février 2016 14:14
  • L'intérêt du RODC est surtout si tu ne peux pas garantir la sécurité physique de tes serveurs distants. En effet sur le RODC tu va définir les mots de passes qui vont être répliqué et éviter que le mot de passe des comptes admin du domaine ne soit attaqués. Un RODC ne peut pas être utilisé pour reconstruire des serveurs HS. Il est recommandé d'avoir au moins 2 DC classique avec la sauvegarde de l'état du système.

    Un dernier conseil surveille régulièrement la réplication de l’annuaire ...

    mardi 16 février 2016 18:52
    Modérateur
  • Oui, il y a la sécurité aussi.

    Merci encore, bonne journée.

    mercredi 17 février 2016 08:42