Remove From My Forums

Gros problème AD et Réplication

Question
0

Connectez-vous pour voter

Bonjour à tous,

Je rencontre un problème assez sérieux depuis quelque temps

Mon infra se compose : (l'infra était déjà comme cela à mon arrivé il y a quelque mois)

Deux site relié via VPN Site à site (depuis site 1 je ping bien des machine du site 2 et vice versa)

Site N°1 : 1 serveur physique avec 3 VM

- VM01 --> Serveur 2008 R2 : AD, DNS, Réplication AD, DHCP, Fichiers, Application métiers utilisant SQL

- VM02 --> Serveur 2008 R2 : SQL 2008, Application métier utilisant SQL

- VM03 --> Serveur 2008 R2 : Fichiers

Site N°2 : 1 serveur physique

- SRV04 --> Serveur 2008 R2 : AD secondaire, DNS, DHCP, Fichiers

Le problème rencontré est le suivant :

- AD Principale (VM01) voit l'AD secondaire mais n'arrive pas a faire la réplique

- AD Secondaire (SRV04) ne voit pas l'AD principale je ping l'IP mais j'ai pas de résolution de nom ainsi que dans le répertoire contenant les zone DNS il n'y a plus rien et le DNS est en carafe même en supprimant le role et en le réinstallant après redémarrage je reviens au même point.

- Si j'enlève du réseau le SRV04 et que je redémarre la VM01, j'ai plus du tout d'active directory.*

Auriez vous une idée de comment me sortir de cette situation sans a avoir a tout réinstaller

En sachant que les utilisateurs on intempestivement des erreurs les empêchant d'accéder au lecteur réseau de l'un ou l'autre serveur, l'erreur qu'ils ont c'est qu'il est indiqué qu'il n'on peut être pas les droit d'accès alors qu'il les on bien

Restant à votre écoute pour tous compléments d'information et vous remerciant par avance pour votre aide

Yann

vendredi 14 décembre 2012 17:40

Réponses

1

Connectez-vous pour voter
Je n'ai jamais dit qu'il faut revenir sur un snapshot,car cela peut finir avec ce type de résultat. On ne fait pas on ne revient pas sur un snapshot comme ca sur un DC.

Ta config avec les DNS primaires et secondaires n'est pas OK; prend l'option tel que tu penses ci dessus

Je pense que la réplication ne marche pas correctement depuis quelques temps, mais on en voit pas forcéments les conséquences de suites.

Fait un nslookup - ipautreserver sur chaque serveur pour vérifier la résolution et un autre - iplocal

Fait un DNSlint /AD je crois pour vérifier les enregistrements de service AD dans les zones DNS

Vérifie dans site etservice active directory la présence des 2 serveurs et les liens de réplications dans NTDS.

Je pense que tu dois sans doute avoir une erreur dans l'observateur d'événement d'un des 2 DC qui dit qu'il ne trouve pas l'autre.
- Proposé comme réponse Florin Ciuca mardi 18 décembre 2012 15:02
- Marqué comme réponse Dan BajenaruMicrosoft employee mercredi 19 décembre 2012 16:06
lundi 17 décembre 2012 20:08

Toutes les réponses

1

Connectez-vous pour voter
bonsoir

Point 0: il faut vérifier les routage inter-sites !

Point 1: vérifiez la connectivité au niveau votre Config VPN site to site, s'il nécessite l'ouverture de certains prots "vérifier le passage de trafics

sous le tunnel

VPN"

Point 2: lancez l'outil Portqry.exe dont il vous donnera un rapport de connectivité pour votre Active Directory

dont le port TCP 139 indispensable pour l'authentificatio, DFSN, NetBIOS, Replication !! et Netlogon

(http://support.microsoft.com/kb/816103)

use your mind
- Modifié F.ABASSI vendredi 14 décembre 2012 20:47
vendredi 14 décembre 2012 19:54
1

Connectez-vous pour voter

- AD Secondaire (SRV04) ne voit pas l'AD principale je ping l'IP mais j'ai pas de résolution de nom ainsi que dans le répertoire contenant les zone DNS il n'y a plus rien et le DNS est en carafe même en supprimant le role et en le réinstallant après redémarrage je reviens au même point.

Vérifier que la zone DNS sur le premier dc est bien une zone DNS intégré AD, et qu'elle se réplique bien avec les DC du domaines.

Vérifier que dc 2 arrive bien à intérroger le dns de DC1 avec nslookup - "serveur1" . '(après avoir vérifier la connectvité via VPN)

samedi 15 décembre 2012 06:35
0

Connectez-vous pour voter

Merci de m'avoir répondu

Voici le résultat des différents tests

La connectivité entre les 2 sites fonctionne et n'a pas été touché depuis l'installation

Lorsque j'ai fait un portqry, depuis DC1 (VM01), sur le nom fqdn du DC1 , voici le résultat :

Starting portqry.exe -n srvsmoove01.smoove.fr -e 139 -p TCP ...

Querying target system called:

srvsmoove01.smoove.fr

Attempting to resolve name to IP address...

par contre quand je l'effectue en 127.0.0.1, j'ai cela :

Starting portqry.exe -n 127.0.0.1 -e 139 -p TCP ...
Querying target system called:

127.0.0.1

Attempting to resolve IP address to a name...
IP address resolved to SRVSMOOVE01.smoove.fr

querying...

TCP port 139 (netbios-ssn service): NOT LISTENING
portqry.exe -n 127.0.0.1 -e 139 -p TCP exits with return code 0x00000001.

Name resolved to 192.168.2.251

querying...

TCP port 139 (netbios-ssn service): LISTENING
portqry.exe -n srvsmoove01.smoove.fr -e 139 -p TCP exits with return code 0x00000000.

et j'ai procédé au même test mais avec le nom FQDN du DC2 :

Starting portqry.exe -n srvsmoove03.smoove.fr -e 139 -p TCP ...
Querying target system called:

srvsmoove03.smoove.fr

Attempting to resolve name to IP address...

Name resolved to 192.168.1.251

querying...

TCP port 139 (netbios-ssn service): LISTENING
portqry.exe -n srvsmoove03.smoove.fr -e 139 -p TCP exits with return code 0x00000000.

Sinon ma Zone de recherche direct est bien intégré à l'AD et depuis le serveur AD secondaire j'arrive bien a faire un NSLOOKUP sur le DNS du serveur VM01

Par contre l'inverse est impossible vu que le service DNS est mort

Pouvez me dire comment vérifier que le DNS1 se réplique bien avec le DC1 ?

Mon idée était de faire un nouvelle AD afin d'avoir une seconde réplication mais sur le site N°1 et ensuite récupérer les droits FSMO sur celui ci mais j'ai une erreur m'indiquant que l'accès est refusé... Grrrrr

samedi 15 décembre 2012 09:02
0

Connectez-vous pour voter

Sinon ma Zone de recherche direct est bien intégré à l'AD et depuis le serveur AD secondaire j'arrive bien a faire un NSLOOKUP sur le DNS du serveur VM01

Par contre l'inverse est impossible vu que le service DNS est mort

Quel DNS a été configuré sur chaque DC ? Chaque DC est lui même son DNS ? il y a un 2 ème DNS sur la liste.

Si le serveur qui n'a pas la zone DNS vous mettez comme dns primaire le DC qui est OK , car la vous avez un soucis de résolution de nom.

Le problème existe depuis la mise en place du DC ? Combien de temps ?

Vous parlez de VM, vos DC sont-ils virtuels ? Avez vous fait à un moment ou un autre des snapshot et un retour sur un snapshot sur un de vos DC ?

Mon idée était de faire un nouvelle AD afin d'avoir une seconde réplication mais sur le site N°1 et ensuite récupérer les droits FSMO sur celui ci mais j'ai une erreur m'indiquant que l'accès est refusé... Grrrrr

Nouvel AD ou nouveau DC ? c'est pas la même chose ?

Il n'existe pas de droits FSMO mais des rôles FSMO, on ne migre pas des rôles dans un environnement qui ne fonctionne pas correctement mais on résout d'abord son problème.

dimanche 16 décembre 2012 05:16
0

Connectez-vous pour voter
Bonjour,

Non je n'ai pas de snapshot assez récent pour faire une restauration et le problème date de courant Octobre mais au début les symptômes était occasionnel.

Les DC ont très bien fonctionné jusque la, du moins c'est ce qui était affirmé par mon prédécesseur.

l'origine, le

DC Primaire avait comme DNS 127.0.0.1 en primaire et rien en secondaire (déjà j'estime que c'est une des causes du PB)
DC Secondaire avait comme DNS 127.0.0.1 en primaire et l'IP du DC Primaire

Je pense qu'il aurai fallu que chaque DC est comme DNS :

DNS Primaire : IP de l'autre DC
DNS Secondaire : 127.0.0.1

à l'heure actuelle mon

DC 01 à 127.0.0.1 et rien d'autre vu que le DNS sur le DC02 est HS
DC 02 à l'IP du DC01 et rien d'autre vu qu'il a son DNS avec soit un logo sens interdit soit un logo avec une croix rouge
lundi 17 décembre 2012 07:53
1

Connectez-vous pour voter
Je n'ai jamais dit qu'il faut revenir sur un snapshot,car cela peut finir avec ce type de résultat. On ne fait pas on ne revient pas sur un snapshot comme ca sur un DC.

Ta config avec les DNS primaires et secondaires n'est pas OK; prend l'option tel que tu penses ci dessus

Je pense que la réplication ne marche pas correctement depuis quelques temps, mais on en voit pas forcéments les conséquences de suites.

Fait un nslookup - ipautreserver sur chaque serveur pour vérifier la résolution et un autre - iplocal

Fait un DNSlint /AD je crois pour vérifier les enregistrements de service AD dans les zones DNS

Vérifie dans site etservice active directory la présence des 2 serveurs et les liens de réplications dans NTDS.

Je pense que tu dois sans doute avoir une erreur dans l'observateur d'événement d'un des 2 DC qui dit qu'il ne trouve pas l'autre.
- Proposé comme réponse Florin Ciuca mardi 18 décembre 2012 15:02
- Marqué comme réponse Dan BajenaruMicrosoft employee mercredi 19 décembre 2012 16:06
lundi 17 décembre 2012 20:08
0

Connectez-vous pour voter

Bonjour,

Merci de nous tenir au courant.

Cordialement,

Florin
Florin CIUCA, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

mardi 18 décembre 2012 15:07

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Gros problème AD et Réplication

Question

Réponses

Toutes les réponses