locked
Supression ratée d'un controleur de domaine 2003 ua profit d'un controleur 2008 R2 RRS feed

  • Question

  • Bonjour,
    je vais essayer de résumé le déroulement des fait ayant conduit à mon problème.
    Nous avons décidé de supprimé un vieux contrôleur de domaine 2003 sp2 sous vmware esxi 5.0. J'ai créer un serveur 2008 R2, lui ai attribué la gestion AD, l'ai entré dans le domaine à gérer (mono domaien), migrer les services DHCP venant du 2003 vers ce contrôleur de domaine, lui ai transféré les droits FSMO. Jusque là tout allait bien.

    J'ai fait l'erreur de lui changer son nom pour lui donner nom et adresse de l'ancien serveur 2003., avant d'avoir déclasser l'ancien serveur et après avoir renommé l'ancien avec la même commande et le suffixe old. avec la commande netdom renamecomputer. et là après redémarrage : impossible de se connecter au nouveau serveur avec une erreur de type SID, couramment trouvé sur les postes.
    ne pouvant pas utiliser ce nouveau serveur(impossible d'y rentré). J'ai transféré les  droits FSMO vers l'ancien après avoir restaurer via un snapshot esx, la version de l'ancien serveur avant les modifications AD.

    Bilan déplorable:
    - l'AD considère que le maitre explorateur est mon serveur 2003: srv1 mais avec un ID srv1:e9015-12312-1.....
    - le contrôle FSMO indique bien que srv1 a bien tous les rôles .
    - dans sites et actives directory je vois bien les deux serveurs cités srv1 et srv1:e9015-12312-1.....
    - tous les contrôles :dcdiag ntdiag annonce bien srv1 comme contrôleur de domaine, mais alignent  les erreurs car il font référence à srv1:e9015-12312-1.....
    - l'application de la KB 216498 montre que metadata cleanup indique dans liste sites qu'il ne trouve pas de serveur.

    Je vous passe le nombres de sites consultés pour chaque erreur DCdiag et les tentatives d'applications de solutions.

    les constatations sont que:
    - j'ai trouvé via ADSIedit les références à ce serveur fantôme dans l'AD. dans la branche NTDS
    - je le trouve également  dans sites et actives directory. je vois bien les deux serveurs cités srv1 et srv1:e9015-12312-1.....
    - que toute  tentative de changement de pointage :setspn ou autre se solde par : vous n'êtes pas sur le serveur physique concerné...
    - le serveur DNS a déjà été nettoyé de toute référence à ce serveur fantôme: seul problème le non donné est le même.

    Ne voulant pas flinger définitivement  l'AD et ayant deux serveurs secondaires en état car la synchro d'AD ne fonctionne plus, et pour cause;-).  Je me propose de:
    -transférer les droits FSMO sur un des serveurs en état,
    - dé promouvoir le seul serveur srv1 auquel j'ai accès.
    - et refaire une synchro entre les deux nouveaux serveurs AD en état.

    ma question est :
    - du fait de ce serveur fantôme, l'opération pourra elle être mené correctement ?
    - puis je, éventuellement supprimé de l'AD du SRV1 les références au serveur fantôme via ADSIedit ?

    merci de votre aide.

    Bonne journée

    Hugues

    jeudi 30 mars 2017 05:43

Réponses

  • Bonjour,

    La méthode que vous avez utilisé pour le renommage d'un AD n'est pas recommandé , pour renommer un AD il faut

    • le rétrograder
    • le renommer
    • réinstaller le rôle AD.

    Pour nettoyer les traces des contrôleurs de domaines non utiles vous utiliser utiliser depuis la console d'administration Windows 2008R2 la méthode Metadata cleanup : Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup

    Une autre remarque , ne pas utiliser les snapshot sur les DC Windows 2003 et 2008 R2 et utiliser une autre solution de sauvegarde supportée pour le problème de rollback USN : Problème de réplication active directory suite à une restauration USN (Rollback USN)


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 30 mars 2017 08:06
  • Il n'y a pas de DC principale. Seul la notion de DNS Primaire et secondaire.

    Vous pouvez supprimer les DCs HS et les reconstruire. Vous pouvez forcer le transfert des rôles FSMO vers un autre DC par après. N'importe quel DC peut reprendre les rôles FSMO, la seul règle est si vous forcer le transfert l'ancien serveur ne doit pas être remis dans le réseau.

    Il ne faut pas faire de promotion avant car dans toute promotion le DC doit pourvoir après le démarrage:

    - finir la réplication initiale

    - créer ses liens de réplications.

    C'est plus simple pour le nouveau DC lorsqu'il n'y a plus de DC en mauvaise état qui s'annonce ...

    Le principal risque est de se tromper sur le DC que l'on considère bon et qui fera office de source pour la reconstruction, c'est pour cela que l'on regarde DCdiag et l'observateur d'événement. 
    vendredi 31 mars 2017 06:24
  • Bonjour  a tous

    ET surtout merci pour vos réponses.

    En suivant les procédures indiquées, j'ai :

    - vérifier que mon DC HS, n'avait pu d'informations importantes à récupérer
    - j'ai transféré le DHCP avec l'aide de votre support Philippe
    - arrété le DC HS,
    - supprimer par le metadata cleanup graphique toute référence à ce DC, dans les ADs restantes le SRV4 (en état) et le nouveau SRV2008-1.
    - de fait, le cleanup m'a indiqué que je supprimai le serveur maitre et m'a donc proposé dans élire un nouveau
    - J'ai alors  vérifier les réplications et le dcdiag  qui s'est apuré des erreurs pendant la nuit.
    - le seul problème apparu est qu'il a fallut que je redonne l'adresse IP de l'ancien serveur SRV1, pour que mon serveur DHCP fonctionne. pourtant, je n'avais trouvé aucune référence à  cette adresse et bien vérifier que le serveur autorisé était bien le nouveau et supprimé l'ancien.

    Ce matin, tout fonctionne et je dois vérifier encore les réplications d'AD.

    MErci encore de votre aide

    Bonne journée

    • Marqué comme réponse jhdl mardi 4 avril 2017 07:39
    mardi 4 avril 2017 05:13

Toutes les réponses

  • Bonjour,

    La méthode que vous avez utilisé pour le renommage d'un AD n'est pas recommandé , pour renommer un AD il faut

    • le rétrograder
    • le renommer
    • réinstaller le rôle AD.

    Pour nettoyer les traces des contrôleurs de domaines non utiles vous utiliser utiliser depuis la console d'administration Windows 2008R2 la méthode Metadata cleanup : Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup

    Une autre remarque , ne pas utiliser les snapshot sur les DC Windows 2003 et 2008 R2 et utiliser une autre solution de sauvegarde supportée pour le problème de rollback USN : Problème de réplication active directory suite à une restauration USN (Rollback USN)


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 30 mars 2017 08:06
  • Oui et il faut surtout ne pas essayer de renommer un DC avec un nom de DC qui existe encore ...

    Dans utili et ordi du domaine, tu as quoi dabs l'OU Domaine contrôller ?

    Dans les paramètres systèmes du DC renommé tu as quel nom ?

    Si tu fais un repadmin /showrepl, tu as des erreurs ?

    dcdiag sur tous tes DC donnent des erreurs ?

    Au cas ou tu as des backups de l'état du système de tes DCs  ?

    Si  tu veux refaire des serveurs qui ne sont plus opérationnel il faut d'abord purger les métadonnées AD voir :

    http://pbarth.fr/node/94

    Il faut choisir le bon DC source pour cela il faut analyser les logs...

    jeudi 30 mars 2017 09:56
  • Bonjour Thameur,

    Je suis bien conscient que la méthode n'était pas la bonne. ;-)

    Le Metadata cleanup sur le  2003 fait apparaitre le message pas de serveur.La commande ne trouce pas de serveur à supprimé.

    Je vais essayer la méthode recommandée et reviens vers vous.

    Merci

    Hugues

    vendredi 31 mars 2017 05:21
  • Bonjour Philippe,

    Dans domains controller du 2003 DC: j'ai le DC 2003 SRV1 et le DC de réplication SRV4 qui existait et fonctionnait avant.
    Arpès  la suppression du 2008, j'avais redonné au DC 2003 son nom d'origine : SRV1

    repaadmin sur le DC 2003 SRV1 donne : SRV4 rejette la réplication
    DCdiag sur tous les serveurs donne des erreurs en particulier l'absence du serveur srv1: :e9015-12312-1..... et des erreurs KDC.

    Oui, j'ai  bien sûr une backup de l'état du serveur avant les opérations.

    Il semble que la réplication de l'AD sur le srv4 soit propre car suite à l'accident, la synchro ne c'est jamais faite.
    le DCdiag sur le SRV4 est propre.
    Puis je purger l'AD de toute existence du SRV1 même si il est encore DC principal ?
    et dois je promouvoir le SRV4 en principal avant ?

    Merci de ton retour

    Hugues

    vendredi 31 mars 2017 05:40
  • Il n'y a pas de DC principale. Seul la notion de DNS Primaire et secondaire.

    Vous pouvez supprimer les DCs HS et les reconstruire. Vous pouvez forcer le transfert des rôles FSMO vers un autre DC par après. N'importe quel DC peut reprendre les rôles FSMO, la seul règle est si vous forcer le transfert l'ancien serveur ne doit pas être remis dans le réseau.

    Il ne faut pas faire de promotion avant car dans toute promotion le DC doit pourvoir après le démarrage:

    - finir la réplication initiale

    - créer ses liens de réplications.

    C'est plus simple pour le nouveau DC lorsqu'il n'y a plus de DC en mauvaise état qui s'annonce ...

    Le principal risque est de se tromper sur le DC que l'on considère bon et qui fera office de source pour la reconstruction, c'est pour cela que l'on regarde DCdiag et l'observateur d'événement. 
    vendredi 31 mars 2017 06:24
  • Bonjour  a tous

    ET surtout merci pour vos réponses.

    En suivant les procédures indiquées, j'ai :

    - vérifier que mon DC HS, n'avait pu d'informations importantes à récupérer
    - j'ai transféré le DHCP avec l'aide de votre support Philippe
    - arrété le DC HS,
    - supprimer par le metadata cleanup graphique toute référence à ce DC, dans les ADs restantes le SRV4 (en état) et le nouveau SRV2008-1.
    - de fait, le cleanup m'a indiqué que je supprimai le serveur maitre et m'a donc proposé dans élire un nouveau
    - J'ai alors  vérifier les réplications et le dcdiag  qui s'est apuré des erreurs pendant la nuit.
    - le seul problème apparu est qu'il a fallut que je redonne l'adresse IP de l'ancien serveur SRV1, pour que mon serveur DHCP fonctionne. pourtant, je n'avais trouvé aucune référence à  cette adresse et bien vérifier que le serveur autorisé était bien le nouveau et supprimé l'ancien.

    Ce matin, tout fonctionne et je dois vérifier encore les réplications d'AD.

    MErci encore de votre aide

    Bonne journée

    • Marqué comme réponse jhdl mardi 4 avril 2017 07:39
    mardi 4 avril 2017 05:13
  • Bonjour

    Merci de votre retour. 

    Merci de ne pas oublier de marquer les réponses qui vous semblent utiles.

    Bonne journée 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 4 avril 2017 05:30