locked
Problème de restauration complète de DC(s) RRS feed

  • Question

  • Bonjour,

    Nous sommes actuellement de préparer une maquette où nous restaurons nos controleurs de domaine.

    J'ai vu le très bon sujet (http://social.technet.microsoft.com/Forums/fr/windowsserver2008fr/thread/b28d53e7-19bc-42c0-bfac-40d534a3653f) qui nous a donné une bonne aperçu de la marche à suivre.

    Cependant, notre architecture est de type : un domaine racine XXX.lan (avec deux DC) avec un sous domaine YYY.XXX.lan (avec deux DC)

    Nous souhaiterions restaurer les quatres DC (ou tu dois moins l'architecture).

    Nous avons restauré les controleurs de domaine en utilisant l'image sauvegardé de chaque controleur de domaine effectué par la fonctionalité de Windows Backup.

    Les DC ont bien été restauré par l'outil de réparation de windows contenu sur le DVD d'installation, en revanche les services DNS et Active Directory ne fonctionne pas du tout. Nous pensons donc bien que cette marche à suivre n'est pas correcte.

    Cordialement

    jeudi 6 septembre 2012 14:05

Réponses

  • Bonjour,

    Je fais un gros up car finalement la restauration a pu s'effectuer grâce à la documentation microsoft : http://www.microsoft.com/en-us/download/details.aspx?id=16506

    Nous avons suivi cette doc pas à pas en suivant les préconisations, et nous avons pu remonter toute la forêt sans trop de problème. Attention, comme cela est dit noir sur blanc, c'est documentation est un modèle pour couvrir pratiquement tous les cas de figure. Je vous conseils de faire votre propre doc personnalisé pour gagner du temps et surtout d'être sur que ce que vous faite a été testé.

    Alors certes c'est en anglais, mais c'est tout de même très bien écrit et très facile d'accès.

    Je remercie tous les participants de ce topic qui ont apporté leur aide et leur conseil.

    A bientôt !

    Ps : Maintenant ca va être le test de récuparation d'exchange ! :)



    mercredi 10 octobre 2012 09:54

Toutes les réponses

  • Bonjour,

    Je vous conseil de commencer par le domaine XXX.lan, votre restauration semble avoir correctement fonctionnée, il vous reste plus qu'as restaurer la base Active Directory d'apres ce que je peux comprendre dans votre Tread.

    Je vous coneille la lecture de ce lien : http://www.e-novatic.fr/restaurer-active-directory-dans-windows-server-2008

    j'ajoute ce lien : http://technet.microsoft.com/fr-fr/library/cc772519(v=ws.10).aspx

    j'espere que cela vous sera utile.

    Cordialement,


    Cordialement, Yann Biez http://www.adminsysteme.fr


    • Modifié Esteban_135 jeudi 6 septembre 2012 14:18 Ajout de lien
    jeudi 6 septembre 2012 14:16
  • Bonjour,

    Merci pour ce retour. Alors effectivement, la procédure de technet pour le deuxième lien (http://technet.microsoft.com/fr-fr/library/cc772519(v=ws.10).aspx) a bien été utilisé pour restaurer les DC.

    Nous nous concentrons sur le DC-01.XXX.lan pour restaurer la base active directory. Malgré les recherches nous n'avons pas trouvé de procédure claire pour restaurer la base. Du coup, il a été fait en test :

    - Restauration de l'état du systeme en utilisant le service Windows Backup dans windows 2008 R2, l'option "Restauration autoritaire" a été coché. En mode Restauration de service Active Directory

    La restauration s'est terminée sans erreur, malheureusement, le role AD ainsi que DNS n'est toujours pas fonctionnel.

    D'après une procédure que nous avons trouvé sur : http://edeconsulting.be/downloads/WindowsServer2008R2ADBackupandDisasterRecoveryProcedures_V3.0.pdf (page 29) il est montré comme restaurer une foret active directory.

    Edit : Le point suivant a été résolu, la manipulation était faite en mode sans echec"Restauration de service Active Directory", la connexion sur le DC par ntdsutil a été fait en mode normal.

    Le problème :

    À l'invite ntdsutil:, tapez Metadata cleanup et appuyez sur ENTRÉE.

    À l'invite metadata cleanup:, tapez Connections et appuyez sur ENTRÉE.

    À l'invite Connections:, tapez Connect to server localhost et appuyez sur ENTRÉE.

    Le message d'erreur apparait : Erreur DsBindW 0x6d9 (Le mappeur de point final n'a plus de point final disponible.)

    Donc il semblerait qu'il n'est pas possible de se connecter pour nettoyer.

    Au niveau de l'architecture, les roles FSMO sont dispatchés entre les serveurs DC01 (Catalogue Global, RID, CDP) et DC02 (Insfrastructure, Schema, Nomage). Nous pensons que le problème pourrait venir de ce point.


    • Modifié SICem vendredi 7 septembre 2012 10:00
    vendredi 7 septembre 2012 09:44
  • Bonjour,

    Bonne nouvelle, le controleur DC-01.XXX.LAN est de nouveau opérationnel.

    Pour information, après une restauration complète du DC, il est nécessaire par l'intermédiaire de NTDSUTIL de "nettoyer" la base AD.

    C'est à dire qu'il faut supprimer tous les objets (sauf bien évidement le DC restauré et donc le domaine restauré). Après un reboot du serveur, il est nécessaire de vérifier que l'acces au DNS et à l'AD sont de nouveaux opérationnels ainsi que les partages SYSVOL et NETLOGON.


    Pour la prochaine étape, c'est à dire la restauration du domaine YYY.XXX.LAN, nous allons tacher de faire la même procédure :

    - Préparation d'un serveur pour accueillir la restauration de l'état du systeme du serveur.

    - Restauration du DC par Windows Backup. La question est de savoir si il est nécessaire de faire une restauration autoritaire ou non de la base AD ?

    Nous pensons qu'il faut mieux faire une restauration non autoritaire pour ne pas écraser les informations du domaine XXX.LAN

    vendredi 7 septembre 2012 13:57
  • Bonjour,

    Un exemple où une restauration autoritaire serait utilisé c’est quand une unité d’organisation est supprimée mais tout le reste dans active directory fonctionne bien.

    Si l’environnement ne dispose que d’un seul contrôleur de domaine, alors il n’y a aucun raison d’effectuer une restauration autoritaire.

    Pour plus d’infos concernant les processus des restaurations active directory, je peux vous fournir quelques liens très intéressants:

    Merci de nous tenir au courant.

    Cordialement,

    Dan


    Dan BAJENARU, MSFT    Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    mardi 11 septembre 2012 12:23
  • Des procédures pour la restau d'une forêt :

    http://technet.microsoft.com/fr-fr/library/cc757662(v=ws.10)

    http://technet.microsoft.com/fr-fr/library/cc781218(v=ws.10)

    Pour ma part j'ai fait la même chose sur une forêt avec un domaine racine et 3 domaines enfants, et je n'ai pas eu besoin de faire de nettoyage AD.

    Dans le cas de figure présenté il n'y a pas besoin de faire de restauration authpritaire de l'AD, par contre j'avais du réinitialiser la réplications ntfrs avec la clé burflags sur les dc supplémentaire de chaque domaine.

    http://support.microsoft.com/kb/290762/fr

    D2 :restauration non autharitaire.

    mardi 11 septembre 2012 21:00
  • Merci Beaucoup pour vos liens et vos retours.

    Je suis passé à coté de ces liens durant ma recherche. Je vous tiens au courant bien entendu de l'avancée !

    mercredi 12 septembre 2012 08:59
  • Alors une restauration a été refaite en suivant la procédure technet citée plus haut, mais il y a toujours une grosse instabilité après avoir restauré un DC.

    Les services AD et DNS sont souvent inaccessibles dans la console MMC.

    Pour info, les rôles FMSO sont dispatchés entre les deux DC. Est ce pour cela que l'AD est instable juste après la restauration ?

    De plus, les partages SYSVOL et NETLOGON ne sont pas partagés automatiquement et lorsque nous essayons de récuperer les roles FSMO par NTDSUTIL, des erreurs sont produites et il n'est pas possible de les récuperer.(Erreur ldap_modify_sW 0 x 32 (50 (droits insuffisants).
    Message d'erreur étendue LDAP est 00002098 : SecErr : DSID-0315137D, problème 4003 (INSUFF_ACCESS_RIGHTS), données 0 :: alors que le compte utilisé est le compte administrateur du domaine/entreprise)

    Merci d'avance


    • Modifié SICem mercredi 12 septembre 2012 14:06
    mercredi 12 septembre 2012 14:04
  • Attention ce message peut se produire si le compte n'est pas administrateur du schéma ,  ce qui est encore un autre groupe

    http://support.microsoft.com/kb/267267

    Il est à noter que si tu transfère le rôle de maitre d'opération d'un serveur offline tu ne devra pas restaurer ce serveur depuis la sauvegarde mais le reconstruire.

    Après la restauration du premier dc de chaque domaine il faut bien surveiller la réplication, vérifier la cohérence des partenaires de replications dans site et services.

    Car par exemple siDomaine1DC1 à comme partenaire Domaine2DC2 et domaine1DC2

    et Domaine1DC2 à comme partenaire domaine2DC1

    En restaurant Domaine1DC1 et domaine2DC1 , la réplication n'est plus cohérente car il manque domaine1DC2

    Et donc tu risque d'avoir à attendre.

    Si netlogon et sysvol ne monte pas tu as sans doute également des problèmes de réplications NTFRS.

    Enfin dans la méthode proposé par Microsoft ne pas oublié de gérer le rôle de CG,

    mercredi 12 septembre 2012 15:50
  • Merci pour ces précisions et désolé pour le temps de réponse, la fin de semaine fut charger.

    Donc si je comprends bien, pour que l'AD refonctionne (j'entends par là, au moins la naviguation dans le fenetre ADUC) il faut bien restaurer le premier DC de chaque Domaine et sous-Domaine !

    D'après les lectures précédante, je croyais que le domaien racine allait au moins fonnctionner seul sans la restauration des sous-domaines.

    Je vais donc regarder pour la restauration dans ce sens. Merci P.Barth !

    lundi 17 septembre 2012 08:56
  • Bonjour,

    Alors je reviens vers vous, car j'ai toujours des soucis sur la restauration de la foret.

    Je suis reparti à zero pour la restauration (avec des sauvegardes toutes fraiches de ce weekend) en suivant bien la procédure de technet et de vos conseils.

    La restauration de l'état du systeme des DC est bonne mais j'ai toujours les mêmes problèmes qui reviennent.

    Sur le premier DC, du domaine racine, il n'est toujours pas possible d'ouvrir la console ADUC ainsi que la "Site et services Active directory". Les messages d'erreur sont les suivants :

    Le gestionnaire de schéma n'est pas accessible car : Un chemin d'accès au répertoire non valide a été transmis. De ce fait le menu "Nouveau" peut etre inexact, et les composants logiciels enfichables d'extensions peuvent ne pas fonctionner correctement.

    Suivi de :

    Les données de Sites et servcies Active Directory ne sont pas accessible depuis le controleur de domaine (null) car : Erreur non spécifiée. Réessayez ultérieurement ou choissisez un autre controleur de domaine en sélectionnant Se connecter au controleur de domaine dans le menu contextuel Domaine.

    Je suspecte que c'est parce qu'il n'arrive à a se considérer comme un DC, les réplications n'arrivent pas à se faire d'après les messages dans les journaux d'évènement.ourtant la résolution DNS des serveurs marches correctement.

    De plus, il ne trouve pas de Catalogue Global alors qu'il est hebergé normalement sur ce DC (je ne peux pas aller le modifier car je n'ai pas accès à la fenetre à Sites et Services Active Directory.

    Je rajoute que j'ai essayé de relancer la réplication Ntfrs par la méthode de la modification de la clé BlurFlag (http://support.microsoft.com/kb/290762/fr)

    Je commence à ne plus trop savoir que faire pour que ce test de restauration de foret ne soit pas un echec :(


    • Modifié SICem mercredi 19 septembre 2012 08:30
    mercredi 19 septembre 2012 08:27
  • Bonjour

    Le DC que vous avez restaurer avait tout les roles FSMO?

    Que ce passe-t-il lorsque que vos forcer la récupération des rôles FSMO sur ce "tout nouveau DC"?


    MCITP enterprise Administrator

    lundi 24 septembre 2012 15:32
  • Bonjour,

    Je fais un gros up car finalement la restauration a pu s'effectuer grâce à la documentation microsoft : http://www.microsoft.com/en-us/download/details.aspx?id=16506

    Nous avons suivi cette doc pas à pas en suivant les préconisations, et nous avons pu remonter toute la forêt sans trop de problème. Attention, comme cela est dit noir sur blanc, c'est documentation est un modèle pour couvrir pratiquement tous les cas de figure. Je vous conseils de faire votre propre doc personnalisé pour gagner du temps et surtout d'être sur que ce que vous faite a été testé.

    Alors certes c'est en anglais, mais c'est tout de même très bien écrit et très facile d'accès.

    Je remercie tous les participants de ce topic qui ont apporté leur aide et leur conseil.

    A bientôt !

    Ps : Maintenant ca va être le test de récuparation d'exchange ! :)



    mercredi 10 octobre 2012 09:54
  • Bonjour Cemlem,

    Merci beaucoup pour votre retour. Votre réponse sera sans doute très utile pour les autres utilisateurs du forum.

    Merci aussi a tous pour vos contributions.

    Cordialement,

    Dan


    Dan BAJENARU, MSFT    Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    mercredi 10 octobre 2012 16:13