locked
Problème DCPROMO 2008 - 2012 RRS feed

  • Question

  • Bonjour,

    Je rencontre souvent un soucis lors de cette migration, je n'arrive pas à retirer mon serveur 2008 du domaine (avec DCPROMO) de type "aucun autre serveur de domaine est joignable" donc impossible à retirer et si je décide d'éteindre ou de coupé du réseau mon ancien serveur 2008 du domaine principal, mon nouveau serveur 2012 (censé être serveur primaire) ne répond plus de rien c'est à dire perte du domaine, impossibilité de gérer les utilisateurs et les dns étant donné qu'il ne joint plus le serveur 2008 principal. Alors que le nouveau serveur 2012 a bien récupéré les rôles FSMO et le reste...

    Une idée ?

    PS: je n'ai jamais eu de soucis avec la migration 2003 -> 2012 même si le DCPROMO ne fonctionnait pas et que je coupait mon serveur 2003, le serveur 2012 restait indépendant et fonctionnel en tant que serveur AD.

    Merci.
    samedi 23 septembre 2017 21:06

Réponses

  • L'IPV6 est désactivé sur les 2 serveurs, après migration je passe les DNS

    C'est une mauvaise pratique qui n'est absolument pas recommandée.

    du 2008 avec primaire : IP du serveur 2012 et secondaire : 8.8.8.8

    On ne mets pas les DNS secondaire sur des DNS genre Google mais dans les redirecteurs DNS. Voir : http://pbarth.fr/node/24

    J'exécute bien repadmin / showrepl j'ai un retour positif

    Repadmin vérifie la réplication de l'annuaire (objet LDAP) ce qui ne comprend pas la réplication  des dossiers de Sysvol. Le retour positif ne garantit en rien que la topology est optimisé, elle dit juste les liens qui existe pour chaque partition de l'annuaire et la réplication des obets de la partitions est OK.

    En revanche pour DCDIAG j'ai souvent une erreur lié au SYSVOL que je n'arrive pas à réparer pourtant net share me dit que tout va bien.

    Dcdiag est l'outil par défaut pour diagnostiquer l'état d'un DC. Si Sysvol n'est pas OK alors le nouveau serveur promu ne s'annonce pas comme DC. Les erreurs sont visibles dans l'observateur d'événement et dans DcDiag. Dans une miration réussi Dcdiag ne montre pas d'erreur. La majorité des erreurs que j'ai rencontré, sont liées à des mauvaises configuration DNS.

    Et le serveur 2012 il a quoi comme DNS primaire et secondaire ?

    Le mieux serait de mettre comme DNS primaire l'ancien serveur qui est opérationnelle, cela leur permettra de voir la même choses.

    Ensuite il faut résoudre le problème Sysvol, en général on réinitialise la réplication, mais il y a 2 métodes selon que le système utilise l'ancien NTFRS ou DFS-R Voir :

    http://pbarth.fr/node/135 et http://pbarth.fr/node/75.

    Après si vous pouviez détailler les erreurs de Dcdiag ...

    dimanche 24 septembre 2017 16:55
  • Je vais vérifier si je suis bien en 2008 R2 SP2.

    Merci.

    le Windows server 2008 R2 SP2 n'existe pas , il y a que SP1.

    Comme l'a expliqué Philippe , il faut corrigé les problème de réplication sysvol avant de promouvoir ou rétrograder un autre DC proprement. Dans la plupart des cas on réinitialise la réplication pour corriger ce genre de situation.

    Il est possible de migrer un DC sous Windows 2003 vers Windows 2012 R2 ou Windows 2016, il faut juste s'assurer que vous n'avez pas encore un DC 2000 et que le niveau fonctionnel est 2003 ou plus :

    Déployer le premier contrôleur de domaine sous Windows 2016


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    lundi 25 septembre 2017 12:27
    Auteur de réponse

Toutes les réponses

  • Quel est la conf IP ? DNS primaire ( attention à ::1 dans ipv6 qui perturbe souvent la première réplication)? 

    Le 2012 est bien catalogue global ?

    Avez-vous fait un DCdiag ?  sur vos contrôleurs de domaines. DCDiag est l'outil de base pour vérifier l'état d'un DC. Il est impératif de vérifier l'état avant et après l'ajout de nouveaux DCs

    net share sur les DC ? les  partages sysvol et netlogon existent ?

    repadmin / showrepl ? Les DC repliquent bien les modifications sur l'annuaires ? 

    http://pbarth.fr/node/218

    et

    http://pbarth.fr/node/237


    dimanche 24 septembre 2017 05:25
  • Bonjour et merci pour la réponse rapide.

    L'IPV6 est désactivé sur les 2 serveurs, après migration je passe les DNS du 2008 avec primaire : IP du serveur 2012 et secondaire : 8.8.8.8

    Le 2012 est bien catalogue global. Il a tout les roles FSMO.

    J'exécute bien repadmin / showrepl j'ai un retour positif

    En revanche pour DCDIAG j'ai souvent une erreur lié au SYSVOL que je n'arrive pas à réparer pourtant net share me dit que tout va bien.

    Ce que je ne comprends pas c'est lors d'une migration 2003  > 2012 même avec des erreurs et l'impossibilité de faire un DCPROMO, il me suffit de couper le serveur 2003 du réseau (ou de l'arrêter) puis de nettoyer les sites et domaines sur le 2012 (grace au tuto de PBARTH et ntdsutil http://pbarth.fr/node/94 entre autre ;) ), l'AD reste intacte, et une fois le nettoyage effectué mon dcdiag est propre.

    Merci.


    • Modifié Chacha44 dimanche 24 septembre 2017 11:51
    dimanche 24 septembre 2017 10:09
  • et secondaire : 8.8.8.8

    On ne met pas Google comme IP de résolution DNS. Dans l'idéal, vous avez un serveur DNS isolé quo requête le web et un dédié à l'annuaire. Dans une version plus courante (hélas), c'est le redirecteur inconditionnel de votre AD qui pointera vers le WEB (utilisez au moins OpenDNS de Cisco comme relais).

    puis de nettoyer les sites et domaines sur le 2012 

    Une bonne migration ne requiert pas ce type de nettoyage, le protocole que vous utilisez n'est pas recommandé (du tout). 

    dimanche 24 septembre 2017 16:35
  • Note : j'ai oublié de le dire mais la méthode de migration est : 2003 vers 2008 R2 puis 2008 R2 vers 2012/R2/2016.

    Lien utile : https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers-to-windows-server-2012-r2-and-windows-server-2012

    dimanche 24 septembre 2017 16:38
  • Bonsoir,

    Pourquoi il ne faudrait pas mettre le DNS de google en secondaire ?

    Et pourquoi ce protocole n'est pas recommandé ? Il peut arriver qu'un serveur AD lache et cette méthode est utile et ne gène en rien le fonctionnement du domaine.. si ?


    • Modifié Chacha44 dimanche 24 septembre 2017 16:55
    dimanche 24 septembre 2017 16:52
  • L'IPV6 est désactivé sur les 2 serveurs, après migration je passe les DNS

    C'est une mauvaise pratique qui n'est absolument pas recommandée.

    du 2008 avec primaire : IP du serveur 2012 et secondaire : 8.8.8.8

    On ne mets pas les DNS secondaire sur des DNS genre Google mais dans les redirecteurs DNS. Voir : http://pbarth.fr/node/24

    J'exécute bien repadmin / showrepl j'ai un retour positif

    Repadmin vérifie la réplication de l'annuaire (objet LDAP) ce qui ne comprend pas la réplication  des dossiers de Sysvol. Le retour positif ne garantit en rien que la topology est optimisé, elle dit juste les liens qui existe pour chaque partition de l'annuaire et la réplication des obets de la partitions est OK.

    En revanche pour DCDIAG j'ai souvent une erreur lié au SYSVOL que je n'arrive pas à réparer pourtant net share me dit que tout va bien.

    Dcdiag est l'outil par défaut pour diagnostiquer l'état d'un DC. Si Sysvol n'est pas OK alors le nouveau serveur promu ne s'annonce pas comme DC. Les erreurs sont visibles dans l'observateur d'événement et dans DcDiag. Dans une miration réussi Dcdiag ne montre pas d'erreur. La majorité des erreurs que j'ai rencontré, sont liées à des mauvaises configuration DNS.

    Et le serveur 2012 il a quoi comme DNS primaire et secondaire ?

    Le mieux serait de mettre comme DNS primaire l'ancien serveur qui est opérationnelle, cela leur permettra de voir la même choses.

    Ensuite il faut résoudre le problème Sysvol, en général on réinitialise la réplication, mais il y a 2 métodes selon que le système utilise l'ancien NTFRS ou DFS-R Voir :

    http://pbarth.fr/node/135 et http://pbarth.fr/node/75.

    Après si vous pouviez détailler les erreurs de Dcdiag ...

    dimanche 24 septembre 2017 16:55
  • Pourquoi il ne faudrait pas mettre le DNS de google en secondaire ?

    Parce que vous êtes dans un domaine AD et que Google ne sait pas traité les requêtes de vote domaine ; n'oubliez pas que vos postes travail en Kerberos et que cela implique d'utiliser des requêtes DNS spécifique à votre domaine. Dès que l'on parle domaine, la logique DNS doit être la suivante :

    1. le client interroge le DNS de son site
    2. le DC de site interroge le DNS central
    3. le DC central interroge un DNS publique

    pourquoi ce protocole n'est pas recommandé ?

    C'est Microsoft qui le dit :) Dans les scénarios d'upgrade, vous devez avoir 2008 SP2 au minimum :)

    Il peut arriver qu'un serveur AD lâche et cette méthode est utile et ne gène en rien le fonctionnement du domaine

    C'est une solution de dernier recours si vous n'avez pas d'autre solution. Normalement avant d'en arriver là, vous tenter de restaurer le DC en question. Dans le cas d'intervention ponctuelle comme philippe ou moi en faisons, nous découvrons souvent des traces de vieux DC qui ont été retiré et pour lesquels il n'y a plus d'autre solution. Dans votre cas, vous devez faire les choses proprement :)


    dimanche 24 septembre 2017 17:24
  • Et pourquoi ce protocole n'est pas recommandé ? Il peut arriver qu'un serveur AD lache et cette méthode est utile et ne gène en rien le fonctionnement du domaine.. si ?

    Si vous avez 2 DCs vous utilisez en DNS primaire le permier DC et en secondaire le deuxième DC, cela permet de supporter une absence temporaire de DC.

    Si vos 2 DCs ont leur redirecteur DNS correctement configuré l'ensemble des services sera rendu tel que prévu par les services de domaines.

    Dans le cas de votre migration il est impératif d'utiliser le même DNS primaire et de préférence un DC qui est opérationnel, afin d'être sur que les deux voient la même chose.

    Comme expliqué par Loïc, nous rencontrons souvent les mêmes erreurs répétitive dans nos interventions ...


    dimanche 24 septembre 2017 17:42
  • Donc si je laisse 8.8.8.8 uniquement pour les redirecteurs, cette configuration DNS est-elle bonne :

    - Primaire 127.0.0.1

    - Secondaire IP Du serveur de domaine principal (en l'occurence mon 2012)

    Mon travail consiste à gérer des vieux serveurs d'entreprise qui date, donc migration vers un système récent et sein en l'occurence Windows 2012 R2, bien évidemment certains des serveurs ont déjà été migrés d'un ancien AD en 2000 et 2003 avec des moyens ou des connaissances peu orthodoxe à l'époque et avec aucun système de sauvegarde aussi bien système que du DC.

    Très souvent il m'arrive de partir directement sur un nouveau serveur avec nouvelle AD, etc... Puis de migrer les machines clientes sur un nouveau domaine car moins complexes au final, sans parler de certains cas toucher par des ransomwares et autres virus qui endommage fortement le serveur.

    Mais je m'intéresse aux blocages rencontrés, je vais donc tenter de réitérer le problème sur des serveurs de test pour une migration 2008 R2 vers 2012R2 et vous posterai les détails ici. Nottamment le blocage du SYSVOL avec DCDIAG et l'impossibilité de DCPROMO l'ancien serveur.

    Autre question : Pourquoi ne pas désactiver l'IPV6

    Merci.

    lundi 25 septembre 2017 11:34
  • Je vais vérifier si je suis bien en 2008 R2 SP2.

    Merci.

    lundi 25 septembre 2017 11:36
  • Je vais vérifier si je suis bien en 2008 R2 SP2.

    Merci.

    le Windows server 2008 R2 SP2 n'existe pas , il y a que SP1.

    Comme l'a expliqué Philippe , il faut corrigé les problème de réplication sysvol avant de promouvoir ou rétrograder un autre DC proprement. Dans la plupart des cas on réinitialise la réplication pour corriger ce genre de situation.

    Il est possible de migrer un DC sous Windows 2003 vers Windows 2012 R2 ou Windows 2016, il faut juste s'assurer que vous n'avez pas encore un DC 2000 et que le niveau fonctionnel est 2003 ou plus :

    Déployer le premier contrôleur de domaine sous Windows 2016


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    lundi 25 septembre 2017 12:27
    Auteur de réponse
  • Bonjour me revoilà,

    J'ai réussi à reproduire mon soucis.

    Le cas présent voici la configuration :

    SRV-2012 : SRV-2012TEST - nouveau serveur AD, réplication effectué, Catalogue global et les 5 roles fsmo.

    Ip: 192.168.1.111 / 255.255.255.0 / 192.168.1.253 - DNS: 192.168.1.111 / 192.168.1.112

    SRV-2008 R2 SP1 : SERVEUR - ancien serveur AD, réplication effectué, Catalogue global DESACTIVE

    Ip: 192.168 SP1.1.112 / 255.255.255.0 / 192.168.1.253 - DNS: 192.168.1.111 / 192.168.1.112

    repadmin /showrepl :

    DCPROMO 2008:

    1ère erreur:


    Je continue tout de même:

    2ème erreur :


    Et enfin le tant attendu DCDIAG:


    Merci d'avance :)





    • Modifié Chacha44 vendredi 6 octobre 2017 07:40
    vendredi 6 octobre 2017 07:25
  • Tu veux rétrograder le 2008 apparemment ?

    Tu es sur que le DCDiag sur le 2012 est bon ?

    + erreur dans l'observateur d'événement ?

    A première vue, heureusement que l'assitant refuse de continuer !

    SRV-2012 : SRV-2012TEST - nouveau serveur AD, réplication effectué, Catalogue global et les 5 roles fsmo.

    ...

    SRV-2008 R2 SP1 : SERVEUR - ancien serveur AD, réplication effectué, Catalogue global DESACTIVE

    ...

    Pourquoi le catalogue global est désactivé sur l'ancien DC ?

    vendredi 6 octobre 2017 10:12
  • Merci pour le retour:

    Pourquoi le catalogue global est désactivé sur l'ancien DC ?

    Par principe je suppose, afin que seul mon nouveau serveur soit GC.

    Concernant le paramétrage DNS pour IPV4 des 2 serveurs c'est correct ?

    Voici le rapport DCDIAG du 2012 avec ces fameuses erreurs NETLOGON ET SYSVOL :

    vendredi 6 octobre 2017 12:48
  • Si tu fais un net share sur le 2012 les partages sysvol et netlogon existent ?

    Si non le 2012 n'est pas opérationnel, le 2008 n'a pas de catalogue global, donc personne ne peut valider correctement les ouvertures de sessions.

    Par principe je suppose, afin que seul mon nouveau serveur soit GC.

    A ma connaissance le catalogue global ne se désactive pas tout seul.

    Réactive le sur le 2008 et finit proprement le 2012 avant d'essayer de supprimer le 2008.

    vendredi 6 octobre 2017 12:53
  • Infos complémentaires :

    J'ai les erreurs suivantes dans l'observatuer d'événements :

    - ID: 13559 - NfFrs

    - ID: 13568 - NfFrs

    &

    404: DNS-Server-Service

    407: DNS-Server-Service

    408: DNS-Server-Service

    vendredi 6 octobre 2017 13:19
  • Bonjour,

    J'ai réactivé le catalogue global sur le 2012 et la réplication se fait bien sur le 2008 :

    Concernant le net share sur le 2012 ça semble correct, en tout cas je n'ai pas d'erreur :

    lundi 9 octobre 2017 13:17
  • Quand tu fais un net share sur un DCn tu devrais avoir des partages Netlogon et Sysvol qui apparaissent, c'est une des dernière étapes au démarrage qui permet de valider le bon fonctionnement.

    Tu n'as pas les partages donc ton 2012 n'est pas opérationnel ...

    Le 2008 est le seul opérationnel il faut donc activer le catalogue global sur ce serveur !!
    lundi 9 octobre 2017 13:36
  • D'autant que si il n'est pas GC, il ne risque pas de répliquer les partitions de la foret :)
    lundi 9 octobre 2017 14:49
  • Le 2008 nommé SERVEUR est à nouveau GC mais cela ne change rien:

    Voici le Net Share sur le 2008:

    lundi 9 octobre 2017 15:46
  • Voici mon dernier dcdiag /fix sur le 2008: tjrs ce problème de SYSVOL


    Le reste c'est réussi.
    • Modifié Chacha44 lundi 9 octobre 2017 15:50
    lundi 9 octobre 2017 15:49
  • Vous devriez trouver des messages d'erreur ou des avertissement dans le journal d'événement sous:


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 9 octobre 2017 16:00
    Auteur de réponse
  • Normalement l'erreur de catalogue global devrait également disparaître sur le 2012. 

    Il faut maintenant résoudre le problème de réplication du dossier sysvol.

    Il y a 2 possibilités si le domaine a été crée à l'origine avec un niveau fonctionnel 2008 ou supérieur cela devrait être du DFS-R. Sinon la réplication est faites par l'ancien NTFRS 

    Pour NTFRS : 

    https://support.microsoft.com/fr-fr/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

    Pour DFS-R 

    http://pbarth.fr/node/135

    Il est possible de confirmer le service qui gère la réplication avec dfsrmig /getglobalstate

    Démarrer ou préprer = NTFRS

    Redirigé ou éliminé = DFS-R

    Voir :

    http://pbarth.fr/node/75


    lundi 9 octobre 2017 16:13
  • J'avais déjà tenté cette procédure mais je suis coincé au adsiedit.msc :

    Ensuite nous recherchons l’objet « SYSVOL Subscription » dans :

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=W2012R2DC1,OU=Domain Controllers,DC=AD1,DC=local

    Je ne trouve sur aucun des 2 domaines cette partie "SYSVOL Subscription":

    mardi 10 octobre 2017 09:19

  • C'est un peu comme des dossiers dans l'explorateur, il faut cliquer sur le "+" pour voir le détail en dessous :

    mardi 10 octobre 2017 11:56
  • Super, merci.

    Cependant, désolé mais ce n'est pas très clair sur ton site :/ pourrais tu plus détailler le chemin complet ?

    De type:

    DC=MonDomaine,DC=extension / OU=Domain Controllers / CN=mon serveur de domaine / CN=SYSVOL Subscritions

    De plus sur cette doc :

    http://pbarth.fr/node/75

    Tu indiques "images ci-dessous" mais je n'ai pas d'image sur mes navigateurs et après la première ligne de commande dfsrmig /setglobalstate 1, j'ai "Réussi" qui s'affiche mais je n'ai aucun dossier c:\\windows\\sysvol_dfsr de créé ?!?


    Merci.

    Me concernant moi j'ai NTFRS Subscriptions et j'ai également essayé cette méthode :


    Pour NTFRS : 

    https://support.microsoft.com/fr-fr/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

    En modificant dans la base de registre mais ça ne change rien.



    mardi 10 octobre 2017 12:38
  • Voici mes erreurs :

    mardi 10 octobre 2017 13:08
  • Tu indiques "images ci-dessous" mais je n'ai pas d'image sur mes navigateurs et après la première ligne de commande dfsrmig /setglobalstate 1, j'ai "Réussi" qui s'affiche mais je n'ai aucun dossier c:\\windows\\sysvol_dfsr de créé ?!?

    Tu a l'air de mélangé les 2 articles, non ? le dfsrmig j'ai mis le lien pour que tu puisses comprendre la différence entre NTFRS et DFS-R.

    Me concernant moi j'ai NTFRS Subscriptionset j'ai également essayé cette méthode :

    Tu as essayé la commande : ?

    Il est possible de confirmer le service qui gère la réplication avec dfsrmig /getglobalstate 

    Pour la clé de registre il faut modifier la clé sur D2 sur le serveur 2012 et ensuite redémarrer le service NTFRS et vérifier la partie NTFRS dans l'observateur d'événement.

    QUESTION SUPPLEMENTAIRE:

    Sur l'image du dfsrmig on voit 3 serveurs  :

    serveur
    srv-2012test
    netserveur

    Les 3 serveurs existent encore ? 


    mardi 10 octobre 2017 14:10
  • Tu as déja fait un dfsrmig /SetMigrationState ?

    Il ne faut pas migrer sur DFS-R tant que tu n'as pas reglé le problème !

    mardi 10 octobre 2017 14:11
  • QUESTION SUPPLEMENTAIRE:

    Sur l'image du dfsrmig on voit 3 serveurs  :

    serveur
    srv-2012test
    netserveur

    Seul serveur et srv2012test sont existants, netserveur n'existe plus ça devait être un vieux serveur qui n'a pas été nettoyé ou supprimé lors d'une précédente migration peut être.

    Je faisait le D2 sur le 2008, je vais testé sur le 2012 du coup.

    Merci.

    mercredi 11 octobre 2017 08:31
  • j'ai testé /SetMigrationState pour voir si y'avait un changement suite à la commande précédente mais j'ai eu un message d'erreur de toute façon.
    mercredi 11 octobre 2017 08:32
  • Le compte de "netserveur" existe encore dans l'AD dans utilisateurs et ordinateurs AD. Supprime le compte d'ordinateur, tu devrais avoir une demande de confirmation que le serveur est un DC et les métadonnées de l'AD seront également supprimés.

    Après l'opération le serveur ne doit plus être remis sur le réseau.

    Lorsqu'on supprime un DC il faut le rétrograder.

    Tant que le serveur existe le nouveau DC retrouve des infos et attendra d'avoir pu communiquer avec se serveur pour finir la promotion.

    Une fois que c'est propre tu peux faire la manip avec le registre pour réintialiser Sysvol. Si tout est OK les partages netlogon et sysvol doivent apparaître.

     
    mercredi 11 octobre 2017 11:03
  • Ok très bien,

    Donc j'ai supprimé ce fameux "netserveur" sur mon AD 2012, dans Utilisateurs et ordinateurs AD et Domain Controllers puis Computers (j'ai aussi supprimé un SRV2003 qui trainait qui n'existe plus non plus).

    J'ai vérifié sur mon AD 2008 qui a bien répliqué la suppression.

    J'ai ensuite modifié mon BurFlags sur mon AD 2012 avec la valeur D2 puis actualisé et vérifié qu'il est bien repassé à valeur 0.

    Si je refais un dcdiag sur le 2008 j'ai tjrs mon erreur SYSVOL, et sur mon 2012 idem avec le répertorie SYSVOL vide et cette erreur en plus dans le DCDIAG :


    • Modifié Chacha44 mercredi 11 octobre 2017 14:09
    mercredi 11 octobre 2017 13:31
  • Si tu fais un net share sur le 2012 tu as les partages netlogon et sysvol ? si oui tu peux comparer le contenu avec celui du 2008 ?

    Attention DCdiag analyse l'observateur sur les 24 dernières heures donc même si c'est résolue l'erreur peut encore apparaître pendant 1 journée.

    mercredi 11 octobre 2017 14:38
  • Malheureusement tjrs pas de netlogon et sysvol sur le 2012 avec net share.

    Et dcdiag tjrs même erreur après 24h :(

    Si mon 2008 venait à crasher, quelle serait l'autre solution pour rétablir mon 2012 et récupérer les utilisateurs et AD complet admettons ??

    Car je reviens à mon point de départ : si je coupe mon 2008 je perd tout sur le 2012

    • Modifié Chacha44 vendredi 13 octobre 2017 10:25
    vendredi 13 octobre 2017 10:22
  • Le premier point est de ne pas vouloir retirer le 2008 tant que le 2012 n'est pas pleinement opérationnel.

    La solution la plus propre serait de rétrograder et ré exécuter l'assistant de configuration de AD DS sur le 2012 qui n'est pas opérationnel.

    Cela peut améliorer les choses. Par contre avant de faire cela promotion du 2012 il faut être sur d'avoir un AD propre. De plus souvent dans ce cas de figure la deuxième tentative donne le même résultat si l'origine du problème n'a pas été corrigé.

    L'ancien serveur dont il existait des références peut être la cause du problème, comme par exemple des problèmes de résolution DNS.

    Dans toute migration AD l'élément important est le contrôle et la planification avant le déploiement.

    vendredi 13 octobre 2017 13:48
  • Merci mais le pire c'est que je n'avais pas de problème avec DCDIAG avant la migration sur le 2012.

    Et j'ai retenté 4 fois une nouvelle migration en chargeant ma VHD serveur 2008 sur mon hyper-v pour les test mais rien ne change.

    ( nb: C'est peut être rien mais mon serveur 2008 est une image disque vhd effectué depuis le serveur réel physique qui n'existe plus, fait avec disk2vhd)

    lundi 16 octobre 2017 07:57
  • Les opérations de PtoV sur des contrôleurs de domaine ne sont pas supporté.

    Au niveau du Dcdiag c'est bizarre qu'il n'y avait pas d'erreur s'il y avait encore des éléments sur un DC (netserveur) qui n'existe plus.

    Et j'ai retenté 4 fois une nouvelle migration en chargeant ma VHD serveur 2008 sur mon hyper-v pour les test mais rien ne change.

    Attention les DC virtualisés ne sont pas pleinement supporté avant Windows 2012, il ne faut déja pas utilisé de Snapshot . La manipulation d'ancien DC virtuel est délicate.

    lundi 16 octobre 2017 10:05
  • Je n'utilise pas de snapshot mais une vraie sauvegarde VM que je remonte depuis la base.

    Donc pas de solution ?

    lundi 16 octobre 2017 14:38
  • mais une vraie sauvegarde VM 

    Sur les DCs il faut faire une sauvegarde de l'état du système c'est la seul méthode supporté jusqu'à 2008 R2, un peu de lecture :

    http://pbarth.fr/node/45

    Comme expliqué le plus propre serait de dépromotionner le DC 2012,vérifier l'AD et le nettoyer proprement puis essayer de le réinstaller.

    Le point clé est d'identifier l'élément qui gène la promotion et la dans ton cas il y a un peu cumul de méthodes non supportées qui peuvent être source d'erreurs.

    lundi 16 octobre 2017 15:13
  • Bonjour à tous,

    Je reviens vers vous car je suis confronté à nouveau au même problème, je vais migrer le serveur d'un nouveau client en 2008 R2 vers un 2016 (ou 2012 R2), et avant même de commencer je constate les mêmes erreurs que démontrées plus haut, le client m'indique en plus qu'il a subit dans l'année une attaque de type cryptolocker et autres virus donc le serveur actuel est plutôt mal au point.

    Je souhaites surtout pouvoir migrer l'AD et les utilisateurs.

    Donc questions:

    Puis-je faire une sauvegarde actuel de l'AD et/ou des données actuels du Serveur 2008 R2 et restaurer sur un serveur 2016 (ou 2012) tout neuf ? sans procéder à l'étape de migration car je suppose que je serais confronter au même problème à savoir si je coupe l'ancien serveur AD 2008 R2 je perdrai mon AD et les utilisateurs sur le 2016 (ou 2012).

    Merci

    mercredi 27 décembre 2017 19:24
  • Puis-je faire une sauvegarde actuel de l'AD et/ou des données actuels du Serveur 2008 R2 et restaurer sur un serveur 2016 (ou 2012) tout neuf ? sans procéder à l'étape de migration 

    Non l'AD se migre et une bonne connaissance de la procédure (pas trop complexe) et des outils permet de le faire sans problème. La sauvegarde restauration de l'annuaire n'est pas une méthode supporté, d'autant plus qu'une sauvegarde propre de l'AD ne sauvegarde pas que l'annuaire mais également l'état du système.

    mercredi 27 décembre 2017 20:15
  • Bonjour merci pour le retour.

    Ok pour la réponse, et restaurer sur un serveur 2008 R2 tout neuf pour espérer avoir moins d'erreurs pour pouvoir migrer sans encombres vers un OS supérieur ?

    jeudi 28 décembre 2017 20:51
  • Si vous avez des erreurs il faut les corriger avant de migrer. 


    jeudi 28 décembre 2017 21:02
  • Oui je sais bien mais aucune réparation auparavant ne m'a permis de régler le problème.

    Question autre: Le fait de virtualiser un serveur physique en VHD pour ensuite faire la migration hors site sur une infra virtualisé peut-il poser problème ?

    Merci

    mercredi 3 janvier 2018 21:11
  • Si il y a eu invasion par cryptolocker, la sécurité du domaine est compromise. Vous devriez envisager une migration vers un nouveau domaine remonté de frais. 
    jeudi 4 janvier 2018 20:23
  • Bonjour à tous, je viens de rencontrer ce problème lors d'une migration WSBS 2003 vers WS2016.

    A la fin de la procédure de migration classique, DNS migré, AD migré mais net shares sur le WS2016 ne montre pas SYSVOL et NETLOGON.

    Si j'ignore cette erreur, dcpromo de décommissions sur le WSBS2003 impossible, si je force, AD planté sur les 2 svr.

    Solution trouvée à cette adresse :

    http://www.adminreseau.net/2007/08/28/probleme-de-replication-des-partages-sysvol-et-netlogon/

    Voici en gros le process de résolution :

    1. vérifier que le serveur DNS contient bien toutes les entrées nécessaires, en particulier il doit être possible de contacter tous les autres contrôleurs de domaine depuis un DC donné au moyen de leurs IPs et de leur noms DNS complets. Si ce n’est pas le cas il faut corriger cela avant toute chose et vérifier si ça ne résout pas le problème de réplication.
    2. stopper le service de réplication de fichiers sur tous les DCs
    3. Utiliser regedit pour modifier la clé Burflag de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID et la passer à D4 en hexadécimal sur le contrôleur de domaine disposant d’un SYSVOL et d’un NETLOGON correct
    4. Utiliser regedit pour modifier la clé Burflag de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID et la passer à D2 en hexadécimal sur les contrôleurs de domaines qui n’ont pas créé les partages SYSVOL et NETLOGON
    5. redémarrer le service de réplication de fichiers sur le contrôleur de domaine « correct »
    6. patientez quelques minutes
    7. redémarrer le service de réplication de fichiers sur les contrôleurs de domaine en erreur de réplication

    Nb (sur le WSVR2016 la clé de registre était plus réduite, pas de Parameters, bien chercher Burflag sur Ntfrs)

    Cela fonctionne parfaitement

    samedi 27 janvier 2018 08:48
  • Votre solution a fonctionné car vous êtes partis d'un vieux domaine en 2003 qui utilise la réplication NTFRS.

    Elle n'est pas adapté à tout le monde. Les domaines crées avec un niveau fonctionnel 2008 ou plus utilisent une autre méthode DFS-R, voir les réponses ci dessus :

    Ensuite il faut résoudre le problème Sysvol, en général on réinitialise la réplication, mais il y a 2 métodes selon que le système utilise l'ancien NTFRS ou DFS-R Voir :

    http://pbarth.fr/node/135 et http://pbarth.fr/node/75.


    samedi 27 janvier 2018 09:34