locked
Perte controleur de domaine principal 2003 RRS feed

  • Question

  • Bonjour,

    suite à des problèmes sur un contrôleur de domaine principal, nous avons perdu celui ci sans que le secondaire soit élu contrôleur principal. C'est deux contrôleurs étaient chez un prestataire extérieur et ont été rapatriés par virtualisation.

    Les deux contrôleurs sont virtualisés sous esxi 5.0 et sont sous 2003 R2.le DC secondaire à redémarré correctement mais le principal m'a généré une erreur d'annuaire, demandant que l'on passe en mode de restauration d'annuaire.

    Dans l'intervalle, car ce n'était pas la priorité, le DC secondaire à reçu des mise à jour d'AD et je me suis rendu compte, a cette occasion, qu'il ne retrouvait as son AD qu'il prétendait trouvé sur le contrôleur principal HS.

    J'ai l'ai donc forcer à aller chercher les GPO sur lui même. Et je ne suis pas sûr que ce soit une bonne idée de reconstruire le principal au risque d'écraser le secondaire qui est la bonne version à jour.

    Ma question : ne vaut t'il pas mieux élire  le DC secondaire en principal al'aide de ntdsutil plutôt que de prendre le risque de planter mon seul annuaire valide ?

    De plus, je ne comprends pas que lorsque le DC primaire c'est planté chez le prestataire, le DC secondaire n'est pas été élu primaire.

    Merci de vos avis sur le sujet

    Hugues

    vendredi 14 juin 2013 16:41

Réponses

Toutes les réponses

  • Bonjour,

    Si votre domaine fonctionne avec le DC "secondaire", je pense qu'effectivement le mieux est de supprimer le dc qui a tout les role et basculer les roles fsmo sur le controleur restant.
    Voici une kb qui donne un procédure pour transferer les roles : http://support.microsoft.com/kb/255504


    Concernant les role il n'y a pas de bascule automatique. Soit vous les transferez normalement quand le controleur qui possede les roles est en ligne, soit vous faite un "seize" quand le controleur qui a le role est HS (ce qui est votre cas).


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Certifié MCSA/MCSE Server Infrastructure 2012. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    lundi 17 juin 2013 08:14

  • sur un contrôleur de domaine principal, nous avons perdu celui ci sans que le secondaire

    Le controleur de domaine principal n'existe plus depuis Windows 2000, il existe juste un DC qui a le rôle emulateur PDC afin de faire cohabiter avec des BDC NT4. LEs contrôleurs secondaires n'existe pas. Donc forcément pas besoin de basculer vu qu'ils sont multi maitres.

     C'est deux contrôleurs étaient chez un prestataire extérieur et ont été rapatriés par virtualisation. 

    Par quelle méthode ont-ils été copiés ? Arrêt VM, copie VM , démarrage VM ? Pas de clonage possible avec les DC !

    Quel configuration IP ont-ils après changement ? 



    J'ai l'ai donc forcer à aller chercher les GPO sur lui même. 

    Les GPo n'ont rien a voir avec les problèmes d'annuaires,

    Ma question : ne vaut t'il pas mieux élire  le DC secondaire en principal al'aide de ntdsutil plutôt que de prendre le risque de planter mon seul annuaire valide ?

    Comment faire vu que cela n'existe pas ...

    La seul chose sur laquel vous pouvez agir et ou il y a encore une notion de primaire c'est sur les DNS . Si vous voulez basculez sur l'autre DC configurer les clients pour l'utiliser en tant que DNS.

    De plus, je ne comprends pas que lorsque le DC primaire c'est planté chez le prestataire, le DC secondaire n'est pas été élu primaire.

    Il n'y a rien a élire en multi maitre

    Avant de s'attaquer à question des GPO, il faut d'abord régler le problème d'annuaire en soit. L'annuaire est très dépendant de DNS car c'est par les DNS que l'on retrouve le serveur qui offre un service AD .

    Quel est la conf IP des 2 serveur ? A t-elle changé ?

    Dcdiag ? (si n'est pas installé sur 2003 il faut installer les outils de support

    mardi 18 juin 2013 11:39
  • Bonjour et merci de vos réponses.

    Ceci confirme mon idée de donner les droits FSMO au seul DC en état.

    les tables DNS sont déjà à jour et les postes de travail sont paramétrés pour accéder le DC1 valide.
    C'est pour cela que je n'ai pas compris que ce DC1 valide annonçait, lorsque l'on voulait accéder au stratégie du domaine, que c'était le DC2qui était recherché, alors qu'il n'était plus accessible.

    Pour information, les deux DC ont été virtualisé pour être rapatrié dans nos locaux; opération que j'ai déjà mené par ailleurs et qui fonctionne bien.
    Le problème est venue de l'état avant virtualisation.

    L'intégrité de l'AD a été vérifié et est correcte

    Merci de votre aide.

    Hugues
    jeudi 20 juin 2013 04:43
  • DAns ce cas la, si DC1est valide le plus simple est de supprimer DC2 de nettoyer AD

    http://pbarth67.free.fr/?q=node/12

    http://support.microsoft.com/kb/216498

    Avant vous "prenez" les rôles FSMO sur le DC intègre

    http://support.microsoft.com/kb/255504/fr?wa=wsignin1.0

    Enfin après nettoyage vous reconstruisez le DC HS.

    Cela ne provoque pas de coupure pour les utilisateurs.

    jeudi 20 juin 2013 05:09
  • vendredi 21 juin 2013 07:58
  • Bonjour,

    J'ai un peu tardé car, je voulais être certain d'avoir bien évalué la situation.

    J'ai d'abords essayé de réparer le dc-02 en mode "récupération AD" mais sans succès. mon inquiétude était que les deux DC était monté en mode cluster.

    J'ai donc suivi la procédure de Philippe (Merci) et ai remis tous les droits sur le dc-01 et après quelques erreurs 1058, j'ai repris le contrôle du DC.

    Je vais donc nettoyer le dc-02 de son AD. Ma question est comment je peux le reconstruire pour le remettre dans son rôle et ainsi respecter la règle de ne pas avoir le serveur de catalogue sur le même serveur que le maitre d'infrastructure

    merci à tous

    bien cordialement


    • Modifié jhdl lundi 15 juillet 2013 07:16 reponse
    lundi 15 juillet 2013 07:11