none
[Active Directory] Problème PROMOTION d'un controleur de domaine avec une IP spécifique RRS feed

  • Question

  • Bonjour,

    Je rencontre un soucis sur mon active directory, composée de 2012R2.
    Nous exerçons dans le milieu des hôpitaux privés, et disposons de 8 centres.
    Le site principal dispose de 2 DC (dont le détenteurs des 5 rôles FSMO) et chaque sites distants dispose de son controleur de domaine local.

    Sur un des sites distants, le DC local est tombé en tombstone. Il y a eu de multiples problèmes de réplication que nous n'avons pas réussi à résoudre au delà des 60 jours.

    Je précise que la réplication sur tous les autres DC est OK (vérifiée à l'aide de repadmin /replsum et repadmin /syncall /force), et que l'ensemble des ports sont ouverts entres ces DC d'un point de vue firewalling.

    J'ai donc du dé-promouvoir le DC à problème, et supprimer l'ensemble des metadonnées le concernant (suppression de toutes traces du DC en question dans les DNS, metadatacleanup, vérifications dans l'ensemble de l'AD qu'il n'y a plus de traces de cet ancien DC).

    Je suis donc reparti pour promouvoir une nouvelle VM 2012R2, et tenter de la joindre au domaine, avec la même IP.
    Résultat impossible avec un message d'erreur :
    "Echec de la vérification de la réplication sortante. Erreur lors de la lecture des paramètres NTDS sur le controlleur de domaine ..."

    Et c'est la ou ça devient intéressant : Si je change l'IP du DC que j’essaie de promouvoir, la vérification d'intégration au domaine fonctionne !

    J'en déduis qu'une trace de l'ancienne IP persiste quelque part dans l'AD, mais j'ai eu beau chercher dans le DNS, dans les bases de l'ADSEDIT, je ne trouve pas.

    Avez-vous une idée de ce que je pourrais vérifier ?

    D'avance merci de votre aide. Kevin

    lundi 3 avril 2017 16:38

Réponses

  • L'erreur est normal juste après la création d'un nouveau DC, l'erreur est enregistré au premier redémarrage.

    dcdiag analyse les erreurs sur les 24heures dans l'observateur d'événement. Passé ce délai le dcdiag du nouveau DC ne devrait plus avoir de problème.

    mercredi 5 avril 2017 11:34
    Modérateur
  • Bonjour,

    Je vois aucun problème avec l'IP, le DC réplique bien avec ses partenaire de réplication selon le résultat fourni par la commande repadmin /showrepl er dcdiag  La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.


    Il y a que ce message qui dit qu'il ya des messages d'avertissement , et il faut aller dans le journal dvénemen pour avoir plus des détails:

        de SERVIMVG a r‚ussi
          D‚marrage du testÿ: DFSREvent

             Erreurs ou avertissements d‚tect‚s au cours des derniŠres 24ÿheures

             aprŠs le partage de SYSVOL. Des problŠmes li‚s … l'‚chec de la

             r‚plication SYSVOL peuvent provoquer des problŠmes de Strat‚gie de


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 5 avril 2017 07:56
    Modérateur

Toutes les réponses

  • Bonjour,

    Si vous avez lancer la procédure metadacleanup correctement comme indiqué dans ce lien Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup, aucune  trace de l'ancien DC peut traîner dans la base de l'annuaire.

    Le fait que la nouvelle IP permet de bien répliquer le nouveau DC avec ses partenaire et pas avec l'ancienne adresse IP (celle de l'ancien DC), en plus avec l'ancienne IP l'ancien DC supprimé il y a eu déjà un problème de réplication pour une période qui a dépassé le tombstone.

    Je pense qu'avec l'ancienne IP il  y a un problème réseau ( routage ou firewall)..vous pouvez si le nouveau DC communique avec ses partenaire de réplication via cet outil : PortQryUI - User Interface for the PortQry Command Line Port Scanner


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 3 avril 2017 16:54
    Modérateur
  • Bonjour
    Merci pour votre retour.
    Le portQuery ne démontre aucun problème :
    Je l'ai executé avec les 2 IP différentes, la "bonne" et la "mauvaise", et j'ai comparé les résultats : identiques.

    A quel endroit la base AD garde une trace des iP des anciens DC ?
    Je suis à cours d'idée, je ne trouve pas sur la toile de piste à suivre...

    mardi 4 avril 2017 08:09
  • Bonjour,

    Il vous faut vérifier que dans utilisateurs et ordinateurs le compte machine de l'ancien DC n'est plus présent.

    Ensuite, au niveau DNS dans la zone _msdcs vérifier chaque répertoire et s'assurer que vous ne voyez plus de traces dans l'ancien DC

    Au niveau de la zone DNS de votre domaine, plus d'enregistrement avec le nom de l'ancien DC dans la zone de recherche directe + indirecte

    Au niveau de la console site et service, le DC ne doit plus être présent également.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mardi 4 avril 2017 08:15
  • Bonjour
    Merci pour votre retour.
    Le portQuery ne démontre aucun problème :
    Je l'ai executé avec les 2 IP différentes, la "bonne" et la "mauvaise", et j'ai comparé les résultats : identiques.

    A quel endroit la base AD garde une trace des iP des anciens DC ?
    Je suis à cours d'idée, je ne trouve pas sur la toile de piste à suivre...

    Bonjour,

    La base AD ne garde pas l'IP, c'est plutôt renseigner au niveau DNS.

    Après avoir mis ajour l'ancienne IP lancez la commande :

    ipconfig /registerdns

    pour enregistrer la nouvelle IP dans la zone dns du domaine en question.

    Pouvez vous nous envoyer les imprimes écran des deux tests que vous avez effectués via portquery avec les options choisies? J'ai toujours l’impression qu'il y a un problème réseau avec cette IP.



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    mardi 4 avril 2017 08:22
    Modérateur

  • Lorsque tu as nettoyé ton DNS tu as tenu compte des temps de temps de latence de la réplication intersites. Tu as fais le ménage sur le site en question ou sur un  DC d'un autre site. Pour le nouveau DC tu as mis en DNS primaire un DC du site ou tu as fais le ménage ?

    Si tes zones DNS sont intégrés dans l'AD alors l'IP est enregistré à cette endroit dans l'AD.

    Tu peux voir dans l'article suivant que les questions sur la latence ne sont pas négligeables, dans l'exemple :

    http://pbarth.fr/node/143

    En plus de la latence il y a les phénomène de cache DNS ...

    mardi 4 avril 2017 09:29
    Modérateur
  • Bonjour,

    J'ai tout vérifié...
    Même après un ipconfig /registerdns, rien ne change...

    mardi 4 avril 2017 15:22
  • Bonjour

    Merci pour votre aide.

    Les 2 résultats du portquery sont disponibles la :
    http://www.medgest.fr/BAD.log
    http://www.medgest.fr/GOOD.log

    Qu'en pensez-vous ?
    j'ai tenté un ipconfig /registerdns, mais rien n'y fait.

    mardi 4 avril 2017 15:26
  • Bonjour,

    Merci pour votre aide.
    J'ai tout effectué sur le maitres FSMO.
    J'ai bien sur vérifié que les réplications se font bien, et il n'y a aucune erreur sur aucun des DC restants.

    mardi 4 avril 2017 15:27
  • Bonjour,

    J'ai tout vérifié...
    Même après un ipconfig /registerdns, rien ne change...

    J'ai l'impression qu'il y a un problème réseau avec cette IP pour rejoindre les autres site (routage , firewall, ..).

    Et surtout que cette avec la même IP l'ancien DC n'a pas pu communiquer ses partenaire pour la réplication AD pendant une durée qui a dépassé tombstone.

    # pour vérifier s'il y a des problème!e de routage pour atteindre le DC cible: tracert TargetIP

    #vérifier si le DC cible répond bien

    ping TargetIP

    Pouvez vous nous envoyer les résultats fournis via du portquery pour la vérification des ports?


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    mardi 4 avril 2017 15:29
    Modérateur
  • Le maître FSMO est sur le même site ?

    Tu as vérifié la zone DNS sur ce serveur ?

    Tu as mis comme DNS primaire du nouveau serveur le maître FSMO ?

    Après ipconfig /registerdns tu as regardé si le serveur en question a des erreurs dans l'observateur d'événement ?

    mardi 4 avril 2017 15:30
    Modérateur
  • Pas de soucis avec le tracert, la résolution semble fonctionner

    C:\Users\Administrateur>tracert 172.20.1.245

    Détermination de l'itinéraire vers servimvg.imvg.priv [172.20.1.245
    avec un maximum de 30 sauts :

      1    <1 ms    <1 ms    <1 ms  172.20.31.250
      2     1 ms    <1 ms    <1 ms  192.168.250.1
      3     1 ms    <1 ms    <1 ms  servimvg.imvg.priv [172.20.1.245]

    Les 2 résultats du portquery sont disponibles la :
    http://www.medgest.fr/BAD.log
    http://www.medgest.fr/GOOD.log

    mardi 4 avril 2017 18:02
  • Non le maitre FSMO est sur un autre site, mais les ports sont tous ouverts entres ces 2 DC.
    La zone DNS est propre et se réplique correctement.
    Oui, le DNS primaire de mon nouveau DC est le maitre FSMO
    Pas d'erreur dans l'observateur...
    mardi 4 avril 2017 18:04
  • Bonjour,

    On a besoin également de comparer le résultat  fourni par les commandes ci-dessous de chaque IP:

    # afficher l'état santé du DC dcdiag

    #vérifier la résolution DNS depuis le DC en question et les DC partenaire de réplication

    nslookup Nom_DC.domain.lan

    #pour afficher l'état de la réplications repadmin /showrepl



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 4 avril 2017 21:18
    Modérateur
  • Bonsoir,

    AD ne conserve pas (directement) les adresses IP des contrôleurs de domaine dans les attributs des serveurs !

    Les adresses IP sont conservées et mises à jour dans la zone DNS (intégrée à l'AD), et dans les partitions spéciales ForestDnsZones et DomainDnsZones.

    A part le cache DNS, les bases WINS et fichiers Hosts, il ne reste plus beaucoup d'endroits où les adresses IP interfèrent. Il reste DHCP (serveurs DHCP autorisés), et les sites AD où les serveurs dépromus restent !

    Il est souvent beaucoup plus simple d'utiliser un nouveau nom et une nouvelle adresse IP, ce qui évite tout risque!

    Si l'on réutilise l'ancienne machine, alors l'ancienne carte réseau mémorisée dans les registres peut empêcher de réutiliser "correctement' l'ancienne adresse IP.

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 4 avril 2017 21:49
  • Et hop voici :

    REPADMIN

    Repadminÿ: ex‚cution de la commande /showrepl sur le contr“leur de domaine complet localhost

    TREMBLAY\SERVIMVG

    Options DSAÿ: IS_GC

    Options de siteÿ: (none)

    GUID de l'objet DSAÿ: 30914f95-033b-4c7c-8eb8-5a2114099921

    ID de l'invocation DSAÿ: 76163ea7-2b54-4c11-8ac0-b793d19f203e



    === INSTANCES VOISINES ENTRANTES ==================================



    DC=imvg,DC=priv

        BLANC-MESNIL\SERVBM via RPC

            GUID de l'objet DSAÿ: a375d22f-5e89-4f15-afb9-3f2e5d2311cf

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        DRANCY\SERVDR via RPC

            GUID de l'objet DSAÿ: 5e400301-cdf2-4d4c-b38f-bb0eeae473d2

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        VILLEPINTE\SERVVP via RPC

            GUID de l'objet DSAÿ: 8a0594e9-bd01-487a-8366-7abf157ac8d9

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        TREMBLAY\SERVIMPF via RPC

            GUID de l'objet DSAÿ: ce194a28-5640-474d-ad84-379e74ec15a7

            La derniŠre tentative, le 2017-04-05 09:29:18, a r‚ussi.



    CN=Configuration,DC=imvg,DC=priv

        BLANC-MESNIL\SERVBM via RPC

            GUID de l'objet DSAÿ: a375d22f-5e89-4f15-afb9-3f2e5d2311cf

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        DRANCY\SERVDR via RPC

            GUID de l'objet DSAÿ: 5e400301-cdf2-4d4c-b38f-bb0eeae473d2

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        VILLEPINTE\SERVVP via RPC

            GUID de l'objet DSAÿ: 8a0594e9-bd01-487a-8366-7abf157ac8d9

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        TREMBLAY\SERVIMPF via RPC

            GUID de l'objet DSAÿ: ce194a28-5640-474d-ad84-379e74ec15a7

            La derniŠre tentative, le 2017-04-05 09:26:53, a r‚ussi.



    CN=Schema,CN=Configuration,DC=imvg,DC=priv

        TREMBLAY\SERVIMPF via RPC

            GUID de l'objet DSAÿ: ce194a28-5640-474d-ad84-379e74ec15a7

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        BLANC-MESNIL\SERVBM via RPC

            GUID de l'objet DSAÿ: a375d22f-5e89-4f15-afb9-3f2e5d2311cf

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        DRANCY\SERVDR via RPC

            GUID de l'objet DSAÿ: 5e400301-cdf2-4d4c-b38f-bb0eeae473d2

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        VILLEPINTE\SERVVP via RPC

            GUID de l'objet DSAÿ: 8a0594e9-bd01-487a-8366-7abf157ac8d9

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.



    DC=DomainDnsZones,DC=imvg,DC=priv

        TREMBLAY\SERVIMPF via RPC

            GUID de l'objet DSAÿ: ce194a28-5640-474d-ad84-379e74ec15a7

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        BLANC-MESNIL\SERVBM via RPC

            GUID de l'objet DSAÿ: a375d22f-5e89-4f15-afb9-3f2e5d2311cf

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        DRANCY\SERVDR via RPC

            GUID de l'objet DSAÿ: 5e400301-cdf2-4d4c-b38f-bb0eeae473d2

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        VILLEPINTE\SERVVP via RPC

            GUID de l'objet DSAÿ: 8a0594e9-bd01-487a-8366-7abf157ac8d9

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.



    DC=ForestDnsZones,DC=imvg,DC=priv

        BLANC-MESNIL\SERVBM via RPC

            GUID de l'objet DSAÿ: a375d22f-5e89-4f15-afb9-3f2e5d2311cf

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        DRANCY\SERVDR via RPC

            GUID de l'objet DSAÿ: 5e400301-cdf2-4d4c-b38f-bb0eeae473d2

            La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.

        VILLEPINTE\SERVVP via RPC

            GUID de l'objet DSAÿ: 8a0594e9-bd01-487a-8366-7abf157ac8d9

            La derniŠre tentative, le 2017-04-05 09:17:01, a r‚ussi.

        TREMBLAY\SERVIMPF via RPC

            GUID de l'objet DSAÿ: ce194a28-5640-474d-ad84-379e74ec15a7

            La derniŠre tentative, le 2017-04-05 09:20:11, a r‚ussi.



    DCDIAG
    Diagnostic du serveur d'annuaire


    Ex‚cution de l'installation initialeÿ:

       Tentative de recherche de serveur associ‚...

       Serveur associ‚ÿ: SERVIMVG

       * Forˆt AD identifi‚e.
       Collecte des informations initiales termin‚e.


    Ex‚cution des tests initiaux n‚cessaires

       
       Test du serveurÿ: TREMBLAY\SERVIMVG

          D‚marrage du testÿ: Connectivity

             ......................... Le test Connectivity

              de SERVIMVG a r‚ussi


    Ex‚cution des tests principaux

       
       Test du serveurÿ: TREMBLAY\SERVIMVG

          D‚marrage du testÿ: Advertising

             ......................... Le test Advertising

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: FrsEvent

             ......................... Le test FrsEvent

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: DFSREvent

             Erreurs ou avertissements d‚tect‚s au cours des derniŠres 24ÿheures

             aprŠs le partage de SYSVOL. Des problŠmes li‚s … l'‚chec de la

             r‚plication SYSVOL peuvent provoquer des problŠmes de Strat‚gie de

             groupe.
             ......................... Le test DFSREvent

              de SERVIMVG a ‚chou‚
          D‚marrage du testÿ: SysVolCheck

             ......................... Le test SysVolCheck

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: KccEvent

             ......................... Le test KccEvent

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: KnowsOfRoleHolders

             ......................... Le test KnowsOfRoleHolders

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: MachineAccount

             ......................... Le test MachineAccount

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: NCSecDesc

             ......................... Le test NCSecDesc

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: NetLogons

             ......................... Le test NetLogons

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: ObjectsReplicated

             ......................... Le test ObjectsReplicated

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: Replications

             ......................... Le test Replications

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: RidManager

             ......................... Le test RidManager

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: Services

             ......................... Le test Services

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: SystemLog

             ......................... Le test SystemLog

              de SERVIMVG a r‚ussi
          D‚marrage du testÿ: VerifyReferences

             ......................... Le test VerifyReferences

              de SERVIMVG a r‚ussi
       
       
       Ex‚cution de tests de partitions sur ForestDnsZones

          D‚marrage du testÿ: CheckSDRefDom

             ......................... Le test CheckSDRefDom

              de ForestDnsZones a r‚ussi
          D‚marrage du testÿ: CrossRefValidation

             ......................... Le test CrossRefValidation

              de ForestDnsZones a r‚ussi
       
       Ex‚cution de tests de partitions sur DomainDnsZones

          D‚marrage du testÿ: CheckSDRefDom

             ......................... Le test CheckSDRefDom

              de DomainDnsZones a r‚ussi
          D‚marrage du testÿ: CrossRefValidation

             ......................... Le test CrossRefValidation

              de DomainDnsZones a r‚ussi
       
       Ex‚cution de tests de partitions sur Schema

          D‚marrage du testÿ: CheckSDRefDom

             ......................... Le test CheckSDRefDom

              de Schema a r‚ussi
          D‚marrage du testÿ: CrossRefValidation

             ......................... Le test CrossRefValidation

              de Schema a r‚ussi
       
       Ex‚cution de tests de partitions sur Configuration

          D‚marrage du testÿ: CheckSDRefDom

             ......................... Le test CheckSDRefDom

              de Configuration a r‚ussi
          D‚marrage du testÿ: CrossRefValidation

             ......................... Le test CrossRefValidation

              de Configuration a r‚ussi
       
       Ex‚cution de tests de partitions sur imvg

          D‚marrage du testÿ: CheckSDRefDom

             ......................... Le test CheckSDRefDom

              de imvg a r‚ussi
          D‚marrage du testÿ: CrossRefValidation

             ......................... Le test CrossRefValidation

              de imvg a r‚ussi
       
       Ex‚cution de tests d'entreprise sur imvg.priv

          D‚marrage du testÿ: LocatorCheck

             ......................... Le test LocatorCheck

              de imvg.priv a r‚ussi
          D‚marrage du testÿ: Intersite

             ......................... Le test Intersite

              de imvg.priv a r‚ussi

    NSLOOKUP

    C:\Users\Administrateur>nslookup
    Serveur par dÚfaut :   servimpf.imvg.priv
    Address:  172.20.1.246

    > 172.20.1.245
    Serveur :   servimpf.imvg.priv
    Address:  172.20.1.246

    Nom :    servimvg.imvg.priv
    Address:  172.20.1.245

    mercredi 5 avril 2017 07:32
  • Bonjour,

    Je vois aucun problème avec l'IP, le DC réplique bien avec ses partenaire de réplication selon le résultat fourni par la commande repadmin /showrepl er dcdiag  La derniŠre tentative, le 2017-04-05 09:17:00, a r‚ussi.


    Il y a que ce message qui dit qu'il ya des messages d'avertissement , et il faut aller dans le journal dvénemen pour avoir plus des détails:

        de SERVIMVG a r‚ussi
          D‚marrage du testÿ: DFSREvent

             Erreurs ou avertissements d‚tect‚s au cours des derniŠres 24ÿheures

             aprŠs le partage de SYSVOL. Des problŠmes li‚s … l'‚chec de la

             r‚plication SYSVOL peuvent provoquer des problŠmes de Strat‚gie de


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 5 avril 2017 07:56
    Modérateur
  • L'erreur est normal juste après la création d'un nouveau DC, l'erreur est enregistré au premier redémarrage.

    dcdiag analyse les erreurs sur les 24heures dans l'observateur d'événement. Passé ce délai le dcdiag du nouveau DC ne devrait plus avoir de problème.

    mercredi 5 avril 2017 11:34
    Modérateur