none
Préparer AD DS 2012 standard pour migration vers 2019 RRS feed

  • Question

  • Bonjour à tous

    Avec à ma récente mauvaise expérience d'un AD DS sous 2008 R2 pour cette nouvelle migration d'une autre foret/domaine, j'ai décider d'être prudent !

    Pour le moment dans ce domaine il n'y a qu'un seul contrôleur de domaine sous windows serveur 2012 (non r2) Standard, niveau fonctionnel actuel, 2012

    Voici les différent test effectué.

    Un DCDiag /test:dns est vierge par-contre un DCDiag /i /a me dit

     Démarrage du test : DFSREvent
        Erreurs ou avertissements détectés au cours des dernières 24 heures après le partage de SYSVOL. Des problèmes
        liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes de Stratégie de groupe.
        ......................... Le test DFSREvent
         de DC1 a réussi

    J'ai aussi ceci

          Démarrage du test : SystemLog
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 01/15/2021   11:02:07
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur 8.8.4.4 à l'aide des protocoles configurés ; demande du PID
      e094 (C:\Windows\system32\dcdiag.exe).
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 01/15/2021   11:02:28
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur 8.8.8.8 à l'aide des protocoles configurés ; demande du PID
      e094 (C:\Windows\system32\dcdiag.exe).
             ......................... Le test SystemLog
              de DC1 a échoué

    8.8.8.8 et 8.8.4.4 sont deux seul redirecteurs de la zone DNS (et ils sont "validé")


    repadmin /showrepl

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
    Default-First-Site-Name\DC1
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : eeb4afa9-4ce9-4662-9fc8-8587e32a1ea6
    ID de l'invocation DSA : eeb4afa9-4ce9-4662-9fc8-8587e32a1ea6

    Get-SmbShare netlogon, sysvol

    Name                          ScopeName                     Path                          Description
    ----                          ---------                     ----                          -----------
    NETLOGON                      *                             C:\Windows\SYSVOL_DFSR\sys... Partage de serveur d'accès
    SYSVOL                        *                             C:\Windows\SYSVOL_DFSR\sysvol Partage de serveur d'accès



    • Modifié Gogo52120 vendredi 15 janvier 2021 15:05
    vendredi 15 janvier 2021 10:27

Réponses

  • Dans le dns, propriétés de mon.domaine, ontglet serveurs de noms, dc1 avais comme adresse ::1

    ::1"   (lui même)  c'est l'adresse de loopback en IPV6 ...


    ip v6 est déactiver sur la carte réseau de dc1 et dc3, je le fait toujours sur les nouveaux postes que j'installe.

    Je ne le fais jamais et ce n'est pas une bonne pratique de le faire.

    Sur dc3, adsiedit.msc ne ce lance pas, quand je l'écris je le vois bien mais quand je clique dessus, rien ne ce passe sur dc1 il s'auvre bien mais aucun SYSVOL Subscription dans mon.domaine

    Tu as essayé d'ouvrir dans ta fenêtre ADSI l'OU domain controller puis le DC, puis ...DFSR-local..... puis CN=Domain .... 

    Sinon pour sysvol tu peux voir les paramètres dans les outils de gestions des services DFS, voir article précédent.




    jeudi 21 janvier 2021 15:40
    Modérateur
  • Bonjour Gogo,

    j'ai pas lu tout ton post cependant si je peux t'aiguiller voici mon experience.

    Après l'ajout d'un contrôleur de domaine une réplication était bien présente entre mes 2 domaines cependant NETLOGON et SYSVOL ne s'étaient pas crées sur le nouveau domaine.

    Je me suis rendu dans Gestionnaire de serveur, AD DS et EVENEMENTS.

    A cet endroit il y avait une erreur de NETLOGON si je me souviens bien, j'ai exécuté la commande (je ne me souviens plus de la commande ni de l'erreur) qu'il y avait dans l'observateur d'événements et magie mon NETLOGON et SYSVOL se sont créé sur mon nouveau domaine.

    Donc si je peux te conseiller, va voir dans les evenements aussi bien dans Gestionnaire de serveur -> AD DS ainsi que dans le journal d'observateur d'évenements de Windows Serveur.

    Cordialement.


    vendredi 19 février 2021 13:06
  • Bonjour,
    Je vous donne des nouvelles et elles sont bonnes !

    J'ai vue que DC1 avais pas mal de maj en échec, j'ai vidé windows update (arret du services, supprimer C:\Windows\SoftwareDistribution\DataStore et download, puis refaire une tonnes de maj qui sont tous passé. )

    J'ai crée une VM 2019 server std DC quelque chose (je ne sais plus à la combien tième je suis)on va l'appeler DCX pour faire simple hyper-v directement sur DC1.

    Encore une fois lorsque DCX a été promu, pas de sysvol ni de netlogon mais cette fois ci en allant faire un tour sur l'observateur d’événement de DC1 onglet journaux des application -> réplication DFS

    "Avertissement 2213 le service de réplication DFS a arrêté la réplication sur le volume C: Cela se produit lorsqu'une base de données JET DFSR n'est pas arrêtée correctement ... avec une commande wmic à faire (en cmd powershell ne comprend pas la commande) et la j'ai suivi le tuto de  Philippe Barth pour une restauration autoritaire depuis DC1 et pouf les deux partages sont apparu sur DCX. Les réplications ce passe bien, j'ai transférer les rôles fsmo.

    24heures sont passer et un dcdiag sur ne sort aucune erreur / avertissement, ils y avais encore l'avertissement pour le sysvol hier qui a bien disparru.
    J'ai trois messages au démarrage de DCX, un pour un cache disque non déactivé et deux pour des niveaux de sécurité peu élever 
    mercredi 10 mars 2021 14:18

Toutes les réponses

  • Bonjour,

    Vous devez pousser le diagnostic pour le problème de réplication lié au SYSVOL. Vous pouvez jeter un oeil sur cet article qui pourrait vous aider:

    Par contre, est-ce que vous utilisez les DNS de Google sur votre contrôleur de domaine? Comme indiqué dans l'erreur:

    DCOM n'a pas pu communiquer avec l'ordinateur 8.8.4.4 / 8.8.8.8 à l'aide des protocoles configurés ; demande du PID


    Youssef Saad | New blog: https://youssef-saad.blogspot.com | Linkedin: linkedin.com/in/youssef-saad

    vendredi 15 janvier 2021 11:41
  • Si je comprends bien ton domaine n'a qu'un seul DC ?
    Des soucis de "replication" sur 1 seul DC je ne suis pas sur que ce soit bien un vrai probleme :)
    vendredi 15 janvier 2021 14:20
  • Effectivement François, la réplication avec un seul DC n'est pas le problème du moment. Mais comme il compte ajouter un nouveau DC, ça le deviendra. Et comme indiqué par Youssef, sa configuration TCP/IP avec les DNS de GOOGLE va le devenir.

    Je ne suis pas sur qu'il utilise comme IP DNS de son DC sa propre IP ;-(


    vendredi 15 janvier 2021 14:35
  • Vincent n'a pas tord, il a même totalement raison.

    Les serveurs et les postes de travail doivent avoir dans leur conf. IP en DNS1 : L'IP du serveur DNS Interne. Rien en DNS2, car il n'y a pas de DNS2 interne (pour l'instant). Pour les machines en IP fixe, ç'est collé en dur, pour les machines en DHCP, c'est le DHCP qui fourni le DNS (et plus tard les DNS quand il y en aura d'autres)... mais uniquement les DNS INTERNES (demandez donc au DNS  public de google s'il connait Mondomaine.local, et de "register this connexion in dns, pour voir).

    Que le DC/DNS ai comme redirecteur les DNS de google, ce n'est pas un pb en soit tant qu'on fait confiance aux DNS de google, notamment au respect de la ".privacy" (oui, dès qu'un user voudra atteindre un nom de domaine internet, le DNS intenre forwardera sur son redirecteur google, et ça serait bien le diable si ce dernier n'exploitait pas les requêtes effectuées).

    Olivier

    vendredi 15 janvier 2021 14:54
  • Là c'est le béaba.
    Le serveur AD DS est en 192.168.1.100 et l'adresse ip dans la carte réseau du DNS est ... 192.168.1.100, aucun serveur auxilière n'est renseigner. les Ordinateurs sont en ip fixe et ont bien l'adresse dns du contrôleur. 
    (sinon comment serai t'il pour se connecter au domaine à l'ouverture d'une session windows)

    Oui mon sysvol va me posé problème. Je viens de promouvoir DC2 en 192.168.1.150 (avec l'ip du DNS en 192.168.1.100) La réplication de L'AD c'est fait sans erreur par-contre aucun sysvol et netlogon alors je l'ai dépromu, tout c'est passer correctement mais je suis bloquer tant que j'ai ce soucis de réplication.

    Pour ce qui est du lien de dépannage sysvol et netlogon

    Les partage sur DC1 sont bien présent et non vide, j'ai même deux scriptes à l'ouverture de session qui monte des lecteur qui sont active et fonctionne.
    • Modifié Gogo52120 vendredi 15 janvier 2021 15:16
    vendredi 15 janvier 2021 15:12
  • Un des répondeurs de ce forum dispose d'un site très bien fait :

    [ AD DS 2019] Prérequis et migration des DC vers Windows Server 2019 | Philippe BARTH (pbarth.fr)

    vendredi 15 janvier 2021 15:45
  • J'ai bien potasser ce lien mais je ne vois aucun soucis coter DC1.

    J'ai formater ma VM hyper-v
    J'ai réinstaller un windows 2019 std nommé DC3, ip 192.168.1.151, dns 192.168.1.100,
    Je l'ai passer dans le domaine sans soucis, un gpupdate ce déroule correctement puis j'ai installer AD DS et promu en tant que controleur de domaine 
    comme ici (https://www.samsufy.fr/deploiement-de-controleur-de-domaine-secondaire)

    Tout c'est correctement passer, le serveur a redémarrer mais toujours pas de partage sysvol ou netlogon 

    Ps: le services d'intégration synchonisation date/heure de la vm est déactivé.

    Un soucis coter DC1 ou VM hype-v mal configurer ?
    mardi 19 janvier 2021 10:27
  • As tu regardé dans sites et services les connecteurs créés ?

    En te connectant sur chaque serveur pour vérifier que la réplication fonctionne.

    • Marqué comme réponse Gogo52120 mardi 19 janvier 2021 10:48
    • Non marqué comme réponse Gogo52120 mardi 19 janvier 2021 10:48
    mardi 19 janvier 2021 10:31
  • Les enregistrements correspondant à DC3 ont bien été créés dans le DNS dans la zone _msdcs.tondomaine ?
    mardi 19 janvier 2021 10:34
  • Les enregistrements correspondant à DC3 ont bien été créés dans le DNS dans la zone _msdcs.tondomaine ?

    Dans _msdcs.mon.domaine
    à la racine je vois un (CNAME) et (NS) DC1 et DC3 (SOA) DC1
    dans les sous dossiers:

    dc -> _sites -> default ... ->_tcp -> _ldap et _kerberos DC1 et 3

    dc -> _tcp-> _ldap et _kerberos DC1 et 3

    domains -> 0862e... -> _tcp dc1 et 3

    gc -> dc1 et 3
    gc -> _sites -> default ... ->_tcp -> dc 1 et 3
    gc -> _tcp -> dc1 et 3

    pdc -> tcp seulement dc1

    es-ce normal
    Dans mon.domaine ->_msdcs (grisé) (identique au dossier parent) (ns) dc1
    Sur DC3 j'ai regarder dcpromo.log aucun "error" et tout semble aussi ok de ce coter

    Edite:

    Sur DC1 et DC3 je vois bien dans sites et services Active Directory
    Default-First-Site-Name  -> Serveurs  DC1 et DC3

    Avec ntds settings généré automatiquement depuis dc 1 pour dc3 et dc3 pour dc1.

    Si je fait clique droit répliquer maintenant, les services de domaine AD ont répliqué les connexions.


    • Modifié Gogo52120 mardi 19 janvier 2021 11:31
    mardi 19 janvier 2021 11:04
  • Je me demande si je ne vais pas recrée un AD vierge ... ça va me prendre beaucoup de temps, tout les documents a recopier dans ancien profiles, remettre les boites aux lettre, recrée tout les utilisateurs ... les droit des partages, les nas a remettre sur le nouveau domaine etc ...

    Ou alors je flingue DC1 et répare netlogon et sysvol ?

    Je suis un peu perdu pour le coup même si pour le moment rien ne presse.
    mardi 19 janvier 2021 11:38
  • Le problème peut venir de la conf réseau du nouveau serveur, entre autre avec IPV6 si il est paramétré avec ::1 comme dns primaire (lui même en quelques sortes).

    Au niveau de la promotion du DC il prépare l'AD et tout se met en route au démarrage. Avant le démarrage il n'a pas le rôle DNS et va donc s'appuyer sur le DNS configuré (généralement DNS primaire ipv4). 

    Par contre au démarrage suivant la promotion le rôle DNS est installé et il va s'appuyer sur IPV6 en premier, hors il faut qu'il réplique pour que son service DNS soit OK, et il faut que DNS soit OK pour que les réplications se mettent en place.

    Quel est la conf IP du nouveau serveur ? Ancien ? DNS primaire.

    Dès fois il suffit d'enlever "::1" de IPV6 et de réinitialiser Sysvol.

    https://pbarth.fr/node/135


    mardi 19 janvier 2021 12:46
    Modérateur
  • e me demande si je ne vais pas recrée un AD vierge 

    Rarement utilise de passer par la pour juste un problème sysvol sur une forêt mono domaine et encore moins avec un seul ancien DC.

    Ou alors je flingue DC1 et répare netlogon et sysvol ?

    Bof, a moins que t'es vraiment envie de refaire ton AD. Sinon pour sysvol cela se rétablit facilement en général.

    Sur ton nouveau serveur fait juste un nslookup et vérifie sur quel serveur il se connecte (::1, ancien DC).

    mardi 19 janvier 2021 12:50
    Modérateur
  • Sur le DC1, j'ai fait un scf /scannow, il a trouvé et réparer des dll

    Dans le dns, propriétés de mon.domaine, ontglet serveurs de noms, dc1 avais comme adresse ::1 ou quelque chose comme sa ainsi que son adresse 192.168.1.100, j'ai supprimer le ::1. 
    ip v6 est déactiver sur la carte réseau de dc1 et dc3, je le fait toujours sur les nouveaux postes que j'installe.

    nslookup mon.domaine sur dc3 me ramène dc1 puis dc3

    Edite :
    Sur dc3, adsiedit.msc ne ce lance pas, quand je l'écris je le vois bien mais quand je clique dessus, rien ne ce passe sur dc1 il s'auvre bien mais aucun SYSVOL Subscription dans mon.domaine



    Ensuite nous recherchons l’objet « SYSVOL Subscription » dans :

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=W2012R2DC1,OU=Domain Controllers,DC=AD1,DC=local



    • Modifié Gogo52120 jeudi 21 janvier 2021 14:59
    jeudi 21 janvier 2021 13:37
  • Dans le dns, propriétés de mon.domaine, ontglet serveurs de noms, dc1 avais comme adresse ::1

    ::1"   (lui même)  c'est l'adresse de loopback en IPV6 ...


    ip v6 est déactiver sur la carte réseau de dc1 et dc3, je le fait toujours sur les nouveaux postes que j'installe.

    Je ne le fais jamais et ce n'est pas une bonne pratique de le faire.

    Sur dc3, adsiedit.msc ne ce lance pas, quand je l'écris je le vois bien mais quand je clique dessus, rien ne ce passe sur dc1 il s'auvre bien mais aucun SYSVOL Subscription dans mon.domaine

    Tu as essayé d'ouvrir dans ta fenêtre ADSI l'OU domain controller puis le DC, puis ...DFSR-local..... puis CN=Domain .... 

    Sinon pour sysvol tu peux voir les paramètres dans les outils de gestions des services DFS, voir article précédent.




    jeudi 21 janvier 2021 15:40
    Modérateur
  • Bonjour à tous, j'attendais une intervention sur le nouveau serveur pour reprendre le travail dessus (un disque HS, celui de remplacement HS aussi ... )

    J'ai tester les deux méthodes, authoritaire et non autoritaire, dans les deux cas TOUT ce passe bien aucun échec, DFSRDiag POLLAD  sur DC1 fonctionne, sur DC3, il ne reconnais pas la commande ( décidément ! )

    Sur DC1 dans Gestion du système de fichiers distribués DFS, j'ai bien un répertoir pour DC1 et DC3 d'activé mais quand je regarde sur DC3, aucun partage et le rapport de santé de la réplication DFS me met "Serveurs avec des avertissement de réplication DFS (1)"

    "Ce membre attend la réplication initiale du dossier répliqué SYSVOL Share et ne participe pas actuellement à la réplication. Ce décalage peut se produire si le membre attend que le service de réplication DFS récupère les paramètres de réplication dans Active Directory. Une fois que le membre a détecté qu’il fait partie du groupe de réplication, il commence la réplication initiale."
    vendredi 29 janvier 2021 14:04
  • Après supprimer DC3, attendre 24heures, faire un dcdiag sur DC1 qui est vièrge et installer DC4 avec cette fois-ci windows 2016 standard, la passer controleur, même résultat:

    Conclusion, sois la machine physique empêche la VM de faire quelque chose ?

    Il faudrait que je teste avec une vm sur un autre poste.

    Sois DC1 a un soucis mais je n'arrive pas à l'identifier !
    • Modifié Gogo52120 vendredi 19 février 2021 09:24
    vendredi 19 février 2021 09:22
  • Tu peux donner le dcdiag complet ?

    Tu peux donner le résultat d'un dir du dossier Sysvol  et du dossier  D:\SYSVOL\staging areas  ?

    Taille du dossier sysvol ? Autre choses que des scripts ou des GPO dans les dossier ?

    vendredi 19 février 2021 11:29
    Modérateur
  • Bonjour Gogo,

    j'ai pas lu tout ton post cependant si je peux t'aiguiller voici mon experience.

    Après l'ajout d'un contrôleur de domaine une réplication était bien présente entre mes 2 domaines cependant NETLOGON et SYSVOL ne s'étaient pas crées sur le nouveau domaine.

    Je me suis rendu dans Gestionnaire de serveur, AD DS et EVENEMENTS.

    A cet endroit il y avait une erreur de NETLOGON si je me souviens bien, j'ai exécuté la commande (je ne me souviens plus de la commande ni de l'erreur) qu'il y avait dans l'observateur d'événements et magie mon NETLOGON et SYSVOL se sont créé sur mon nouveau domaine.

    Donc si je peux te conseiller, va voir dans les evenements aussi bien dans Gestionnaire de serveur -> AD DS ainsi que dans le journal d'observateur d'évenements de Windows Serveur.

    Cordialement.


    vendredi 19 février 2021 13:06
  • Bonjour,
    Je vous donne des nouvelles et elles sont bonnes !

    J'ai vue que DC1 avais pas mal de maj en échec, j'ai vidé windows update (arret du services, supprimer C:\Windows\SoftwareDistribution\DataStore et download, puis refaire une tonnes de maj qui sont tous passé. )

    J'ai crée une VM 2019 server std DC quelque chose (je ne sais plus à la combien tième je suis)on va l'appeler DCX pour faire simple hyper-v directement sur DC1.

    Encore une fois lorsque DCX a été promu, pas de sysvol ni de netlogon mais cette fois ci en allant faire un tour sur l'observateur d’événement de DC1 onglet journaux des application -> réplication DFS

    "Avertissement 2213 le service de réplication DFS a arrêté la réplication sur le volume C: Cela se produit lorsqu'une base de données JET DFSR n'est pas arrêtée correctement ... avec une commande wmic à faire (en cmd powershell ne comprend pas la commande) et la j'ai suivi le tuto de  Philippe Barth pour une restauration autoritaire depuis DC1 et pouf les deux partages sont apparu sur DCX. Les réplications ce passe bien, j'ai transférer les rôles fsmo.

    24heures sont passer et un dcdiag sur ne sort aucune erreur / avertissement, ils y avais encore l'avertissement pour le sysvol hier qui a bien disparru.
    J'ai trois messages au démarrage de DCX, un pour un cache disque non déactivé et deux pour des niveaux de sécurité peu élever 
    mercredi 10 mars 2021 14:18