locked
Problème de Rectification AD RRS feed

  • Question

  • Bonjour ,

    Voilà nous avons 2 contrôleurs de domaine sur 2 sites différents.

    Le contrôleur DC1 qui est le principal et un serveur virtuel sous Windows serveur2008 et le DC2 est une machine réel celle de l'autre site.

    Nous avons eu un problème de réplication et de dns.

    Nous avons fait erreur de remonter une capture instantané du DC1 cela à résolu le problème sur le site 1 mais toujours pas sur le site 2.

    Nous arrivons pas à faire synchroniser les 2 DC entre eux car le DC2 ne reconnait plus DC1 même en essayant de monter un autre contrôleur de domaine qui s’intègre mais qui ne veut pas se répliquer quand même.

    quelqu'un aurait une idée car nous voudrions éviter de remonter un nouveau domaine.

    MERCI.


    vendredi 8 novembre 2013 11:13

Réponses

  • Bonjour,

    Essayer de garder le contrôleur de domaine qui a la copie la plus correcte et puis supprimer manuellement les autres contrôleur de domaines. même restituer les rôles FSMO sur ce DC puis refaire l'installation de l'autre contrôleur.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    vendredi 8 novembre 2013 11:41
    Auteur de réponse
  • Bonjour,

    Essayer de conserver le contrôleur de domaine qui a la bonne copie. restituer les rôle FSMO s'il ne les héberge pas puis formater les autre après avoir  supprimer leurs compte de domaine et lancer à nouveau leurs installation Windows pour ajouter d'autre contrôleur de domaine.

    Pour supprimer un contrôleur de domaine et restituer les rôle FSMO veuillez suivre ce lien:

    Suppression d'un contrôleur de domaine hors service (avec les rôle FSMO)


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    mardi 12 novembre 2013 09:17
    Auteur de réponse
  • C'est pas une surprise que cela ne marche pas. Supprimer et recréer les liens de réplications ne règle pas le problème d'usn rollback.

    Si vous êtes en forêt mono domaine la réponse de Thameur est la plus adapté il n'est pas nécessaire de tout refaire.

    Conserver le DC le plus propre, a voir les autres rôles présents sur les DC

    nettoyer les métadonnées AD (ca fait peur mais ce n'est pas une opération complexe)

    reconstruire le DC supprimer

    N'oublie pas événetuellement de modifier vos options DHCP pour mettre en dns primaire celui que vous conservez, pour des raisons de performances.

    mardi 12 novembre 2013 09:37

Toutes les réponses

  • Bonjour,

    Essayer de garder le contrôleur de domaine qui a la copie la plus correcte et puis supprimer manuellement les autres contrôleur de domaines. même restituer les rôles FSMO sur ce DC puis refaire l'installation de l'autre contrôleur.


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    vendredi 8 novembre 2013 11:41
    Auteur de réponse
  • Celui qui à la meilleur copie c'est celui que j'ai restauré avec l'hyperV justement car l'autre Le DC2 avait planter également.

    Mais le DC1 refuse depuis que je l'ai restaurer tte réplication.

    On à essayer de monter un autre contrôleur mais impossible.

     
    vendredi 8 novembre 2013 14:29
  • Bonsoir,

    J'ai déjà eu ce problème, cela vient d'une différence de version des éléments à synchroniser entre les deux domaines, en fait il est créé un checksum sur chaque paquets de données à envoyer entre les contrôleurs et malheureusement, le checksum attendu par l'autre contrôleur n'est pas le même, un discours de sourd en fait :)

    Pour réinitialiser la kcc, le système qui gère la duplication Active Directory en créant ces fameux crc, il va falloir supprimer dans sites et services Active Directory, les notions de réplications.

    En fait ce n'est pas si compliqué que cela, il faut juste être précis :

    bien entendu toujours faire un backup de son ntds avant tout .... (et le bon :))

    Ensuite, il faut commencer par le contrôleur de domaine sur lequel vous avez restauré le snapshot.

    Ouvrir la console Sites et services Active Directory

    Puis développer Default-First-Site-Name

    Ensuite  pointer sur le nom du serveur DC1 Puis NTDS Settings

    A droite, doit apparaître une ligne avec un long GUID ou bien dans le nom, la ligne commence par <Générée automatiquement>, faites un click droit dessus et faites supprimer

    sur le contrôleur DC1, ouvrir également la console

    Puis développer Default-First-Site-Name

    Ensuite  pointer sur le nom du serveur DC2 Puis NTDS Settings

    A droite, doit apparaître une ligne avec un long GUID ou bien dans le nom, la ligne commence par <Générée automatiquement>, faites un click droit dessus et faites supprimer

    Maintenant, il faut mettre à jour la kcc sur le dc1 :

    ouvrir une invite de commande et taper :

    Repadmin /kcc

    puis Repadmin /syncall (je sais que c'est bête, vu qu'il n'y a plus de réplication croisée, mais c'est le seul moyen que j'ai trouvé pour vider le pipe d'attente du service)

    Enfin, observez votre observateur d'événements, dans la section Active Directory, vous devriez avoir un message vous informant que tous les sites sont à jour et que plus rien n'enmpêche cet ordinateur à devenir contrôleur de domaine.

    Une fois que vous avec ce message, effectuez dans l'invite de commande du dc2 les mêmes commandes.

    Sur les deux contrôleurs, dans l'observateur, vous devez obtenir un message vous informant que des liaisons ont ou sont en attente de suppression. Ce qui est normal, la kcc met à jour les informations de synchro.

    maintenant retournez sur le DC 1, ouvrez la console Sites et services active directory

    Puis développer Default-First-Site-Name

    Ensuite  pointer sur le nom du serveur DC2 Puis NTDS Settings

    Faites un click droit sur la listview à droite, puis choisissez nouvelle connexion au service de domaine Active directory

    Choisissez dans la liste DC2

    Double cliquez sur la lignes et choisissez IP comme mode de réplication évitez SMTP !!

    Effectuez la meme chose sur le controleur 2 (sur la machine)

    sauf que vous choisissez DC1

    Et toujours IP comme mode de réplication

    Enfin, mettez vous sur le DC2 et faites un click droit sur la ligne dans DC1 -> NTDS Settings -> la nouvelle ligne créée et choisissez mettre à jour les informations à partir du controleur de domaine.

    Effectuez la meme chose de l'autre coté, vous allez avoir pleins de messages d'erreurs, ce qui est normal, les domaines vont s'identifier, puis échanger un ticket et selon le type de connexion entre les deux, cela peut prendre un petit moment.

    Quoi qu'il en soit, vous obtiendrez un message vous informant que le schéma est à jour, et que plus rien n'empeche le pc de devenir controleur de domaine, à ce moment la le service kcc sera relancé et redistribura les tickets entre les domaines pour les mises à jour de schéma.

    Enfin, cela va également de même pour Exchange et sql server, les snapshot de machine ne sont pas à appliquer directement sur un serveur quand on a des réplications sinon .... c'est le drame, préférez des snapshot de base de données et d'annuaire !!!

    Bon courage

    vendredi 8 novembre 2013 18:15
  • L'utilisation de Snapshot n'est pas supporté sur du 2008R2, le problème de réplication est normal. Avec 2DC qui ne peuvent plus répliquer il est normal que vous ne puissez pas créer de nouveau DC .La seule méthode propre est de sacrifié un des 2, de purgerles métadonnées et de reconstruire le 2ème.

    http://technet.microsoft.com/fr-fr/library/dd363545(v=ws.10)

    http://technet.microsoft.com/fr-fr/library/dd348452(v=ws.10)

    Aucun disque de différenciation VHD ne doit être utilisé sur un ordinateur virtuel configuré en tant que contrôleur de domaine. Il deviendrait trop aisé de revenir à une version antérieure, et les performances s'en trouveraient réduites. 

    http://pbarth67.free.fr/?q=node/12


    vendredi 8 novembre 2013 20:11
  • Il n'y a pas qu'un problème de checksum, chaque DC connait l'usn (compteur) de sa dernière modification et la dernière modification des autres DC . la réplication reprend les dernières différence.

    en revenant sur le snapshot sur 1 DC, l'autre DC pense qu'il est plus loin que la réalité. Comme la réplication ne transfère que les dernières modification il y a un certain nombre de modification en retard qui ne seront jamais répliqué et qui crée un problème d'intégrité dans l'annuaire.

    http://technet.microsoft.com/fr-fr/library/cc772726(v=ws.10).aspx

    Les snapshot de VM ne sont tolérés que sur Windows 2012 avec certaines restrictions y compris sur l'hypervieur qui les hébergent .


    vendredi 8 novembre 2013 20:58
  • Bonjour,

    Comme l'a dit P barth, en restaurant un snapshot sur le DC 1 vous avez provoqué un USN Rollback.

    How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2

    Cdt,

    samedi 9 novembre 2013 11:35
  • Bonjour ,

    Merci pour vos conseils et votre aide je regarde tout ça mardi et je vous tiens au courant.

    Cordialement

    samedi 9 novembre 2013 12:46
  • Bonjour ,

    Mathdu0083 j'ai testé votre méthode mais cela n'a pas fonctionner, merci en tout cas.

    Je pense qu'il faudrait que je change le domaine entièrement, qu'en pensez vous?

    Cordialement.

    mardi 12 novembre 2013 08:45
  • Bonjour,

    Essayer de conserver le contrôleur de domaine qui a la bonne copie. restituer les rôle FSMO s'il ne les héberge pas puis formater les autre après avoir  supprimer leurs compte de domaine et lancer à nouveau leurs installation Windows pour ajouter d'autre contrôleur de domaine.

    Pour supprimer un contrôleur de domaine et restituer les rôle FSMO veuillez suivre ce lien:

    Suppression d'un contrôleur de domaine hors service (avec les rôle FSMO)


    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    mardi 12 novembre 2013 09:17
    Auteur de réponse
  • C'est pas une surprise que cela ne marche pas. Supprimer et recréer les liens de réplications ne règle pas le problème d'usn rollback.

    Si vous êtes en forêt mono domaine la réponse de Thameur est la plus adapté il n'est pas nécessaire de tout refaire.

    Conserver le DC le plus propre, a voir les autres rôles présents sur les DC

    nettoyer les métadonnées AD (ca fait peur mais ce n'est pas une opération complexe)

    reconstruire le DC supprimer

    N'oublie pas événetuellement de modifier vos options DHCP pour mettre en dns primaire celui que vous conservez, pour des raisons de performances.

    mardi 12 novembre 2013 09:37