Ce forum Internet est fermé. Merci beaucoup pour vos contributions.

Remove From My Forums

Reinteger un DC apres un Dcpromo /forceremoval

Discussion générale
0

Connectez-vous pour voter
Bonjour à tous,

J'ai actuellement 4 contrôleurs de domaines dans mon architecture sur 2 sites :

-1er site :

-1 Dc primaire en 2003 R2 qui comporte tous les rôles FSMO+DNS+Catalogue global + DHCP + serveur NTP

-1 Dc en 2003 R2 qui est aussi DNS+Catalogue global

-2eme site:

-2 DC en 2008 R2 qui sont aussi DNS+Catalogue global

Pour information, je suis actuellement dans une phase transitoire (migration de l'infra) et les deux DC en 2008 sont censé remplacer les 2 2003 afin que ces derniers soient ensuite de-comissionnés.

Nous avons rencontré un problème de serveur de temps cette semaine... le 1er controleur de domaine est passé en 2014, puis en 1980... ce qui a eu pour impact de desynchroniser une bonne partie de nos serveurs et provoquant la zizanie au niveau de la replication AD....

Apres qques heures de prises de tetes et avoir reussis a remonter la bonne heure sur tous les serveurs... des problemes d'authentification ont persistés et la replication ne fonctionnait toujours pas... j'ais donc dû de-promote les 3 DC "secondaires"... seulement le dcpromo classique ne fonctionnant pas, j'ai du passer par un dcpromo /forceremoval

Les problemes d'authentifications ont bien disparus mais ma situation est instable (pas de tolerance de panne AD/DNS, des problemes de gpo qui cible un DC maintenant inexistant...)

Mes questions sont les suivantes :

-Y a-t-il une best practice dans ce genre de cas (j'ai vu qu'il fallait supprimer les metas données ?)

-Puis-je reintégrer mes 3 DC en l'état actuel en leur effectuant un nouveau promote ou dois-je repartir d'un systeme a neuf sur ceux-ci ?

Je peux éventuellement poster le resultat de mon DCdiag si cela peut aider.

Merci à vous.
- Type modifié Dan BajenaruMicrosoft employee vendredi 18 octobre 2013 06:16 attente de feedback
vendredi 11 octobre 2013 09:32

Toutes les réponses

1

Connectez-vous pour voter

bonjour,

Après avoir lancer la commande dcprmo /forceremoval,

Avez vous nettoyé les métadonnées pour avoir plus des détaills veuillez consulter ce lien : nettoyage des métadonnées
Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

vendredi 11 octobre 2013 13:58

Auteur de réponse
0

Connectez-vous pour voter

Bonjour,

Non justement je suis en train de regarder cela (je consultais cet article : http://support.microsoft.com/kb/216498/fr)

Il y est notamment précisé que :

Attention L'administrateur doit également s'assurer que la réplication s'est produite depuis la rétrogradation avant de supprimer manuellement l'objet Paramètres NTDS de tout serveur. Une utilisation incorrecte de l'utilitaire Ntdsutil peut entraîner une perte partielle ou complète des fonctionnalités de Active Directory.

Hors mon probleme s’étant produit suite a des problemes de réplication et mon Dcdiag en faisant bien état... je me demande si je doit continuer a derouler la procédure de nettoyage.... ?

De plus je ne possede plus qu'un seul DC.. je ne voit pas avec qui il pourrait bien répliquer ?!

vendredi 11 octobre 2013 14:12
0

Connectez-vous pour voter

Bonjour Nocturnis,

Est-ce que vous avez avancé concernant votre souci?

Merci de nous tenir au courant.

Cordialement,

Dan
Dan BAJENARU, MSFT Votez! Appel à la contribution
TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.
S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

mardi 15 octobre 2013 13:18
0

Connectez-vous pour voter

Bonjour,

Je n'ai pas eu le temps de me repencher sur le probleme depuis le dernier message. Je pesnes que je vais finalement plus supprimer les metas données puis monter 2 nouveaux controleurs.

Qu en pensez vous ? Je penses que cela sera plus propre.

mardi 15 octobre 2013 19:08
0

Connectez-vous pour voter

L'administrateur doit également s'assurer que la réplication s'est produite depuis la rétrogradation avant de supprimer manuellement l'objet Paramètres NTDS de tout serveur.

Si vous avez 3 serveurs et que vous en supprimer 1, il faut s'assurer que lesd 2 derniers soient répliqués correctement et qu'ils aient supprimés les paramètre de réplication avec le DC manquant.

Si vous n'avez plus qu'un DC forcément c'est le cas.

après nettoyage vérifier dans site et service AD que les DC supprimés napparaissent plus sinon les supprimer.

Vérifier l'ou domain controller, et les zones DNS enregistrement de service SVR et serveur de nom de la zone NS

FAites un dcdiag sur le dc restant et vérifier l'observateur d'événement.

Si tout est OK et que les anciens serveurs sont bien membre du domaine le dcpromo devraient leur rendre le rôle de DC.

mardi 15 octobre 2013 21:17
0

Connectez-vous pour voter

Il faut forcément purger les méta données pour avoir un AD propre même si vous refaites vos serveurs.

mardi 15 octobre 2013 21:18
0

Connectez-vous pour voter

Bonjour,

C'est tres clair, merci pour les informations.

Je vous tiens au courant des que ce sera fait... surement la semaine prochaine.

mercredi 16 octobre 2013 08:51
0

Connectez-vous pour voter
Bonjour,

La manip c'est bien passées.

J'ai pu supprimer les meta données et re-promote mes anciens DC.

J'ai néanmoins toujours des erreurs dans mon dcdiag, notamment au niveau de la réplication.

Voici le dcdiag effectué depuis l'un des dc qui a été re-promu (sag-dc1).

Sag-ad1 est le dc qui detiens tous les roles FSMO et qui n'avait pas ete de-promu :

Diagnostic du serveur d'annuaire

Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
Serveur associé : SAG-DC1
* Forêt AD identifiée.
Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

Test du serveur : Premier-Site-par-defaut\SAG-DC1
Démarrage du test : Connectivity
......................... Le test Connectivity
de SAG-DC1 a réussi

Exécution des tests principaux

Test du serveur : Premier-Site-par-defaut\SAG-DC1
Démarrage du test : Advertising
......................... Le test Advertising
de SAG-DC1 a réussi
Démarrage du test : FrsEvent
Erreurs ou avertissements détectés au cours des dernières 24 heures
après le partage de SYSVOL. Des problèmes liés à l'échec de la
réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
groupe.
......................... Le test FrsEvent
de SAG-DC1 a échoué
Démarrage du test : DFSREvent
......................... Le test DFSREvent
de SAG-DC1 a réussi
Démarrage du test : SysVolCheck
......................... Le test SysVolCheck
de SAG-DC1 a réussi
Démarrage du test : KccEvent
......................... Le test KccEvent
de SAG-DC1 a réussi
Démarrage du test : KnowsOfRoleHolders
......................... Le test KnowsOfRoleHolders
de SAG-DC1 a réussi
Démarrage du test : MachineAccount
......................... Le test MachineAccount
de SAG-DC1 a réussi
Démarrage du test : NCSecDesc
L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
Replicating Directory Changes In Filtered Set
de droits d'accès pour le contexte de nommage :
DC=DomainDnsZones,DC=sag,DC=com
L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
Replicating Directory Changes In Filtered Set
de droits d'accès pour le contexte de nommage :
DC=ForestDnsZones,DC=sag,DC=com
......................... Le test NCSecDesc
de SAG-DC1 a échoué
Démarrage du test : NetLogons
[SAG-DC1] Les informations d'identification utilisateur ne permettent
pas d'effectuer cette opération.
Le compte utilisé pour ce test doit disposer de privilèges d'ouverture
de session réseau
pour le domaine de cet ordinateur.
......................... Le test NetLogons
de SAG-DC1 a échoué
Démarrage du test : ObjectsReplicated
......................... Le test ObjectsReplicated
de SAG-DC1 a réussi
Démarrage du test : Replications
[Vérification des réplications, SAG-DC1] DsReplicaGetInfo(PENDING_OPS,
NULL) a échoué ; erreur 0x2105
« L'accès à la réplication a été refusé. »
......................... Le test Replications
de SAG-DC1 a échoué
Démarrage du test : RidManager
......................... Le test RidManager
de SAG-DC1 a réussi
Démarrage du test : Services
......................... Le test Services
de SAG-DC1 a réussi
Démarrage du test : SystemLog
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/18/2013 09:55:49
Chaîne d'événement :
Le pilote Send To Microsoft OneNote 2010 Driver requis pour l'imprim
ante Envoyer à OneNote 2010 est inconnu. Contactez l'administrateur pour install
er le pilote avant de vous reconnecter.
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/18/2013 09:55:51
Chaîne d'événement :
Le pilote PDFCreator requis pour l'imprimante PDFCreator est inconnu
. Contactez l'administrateur pour installer le pilote avant de vous reconnecter.

......................... Le test SystemLog
de SAG-DC1 a échoué
Démarrage du test : VerifyReferences
......................... Le test VerifyReferences
de SAG-DC1 a réussi

Exécution de tests de partitions sur DomainDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de DomainDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de DomainDnsZones a réussi

Exécution de tests de partitions sur ForestDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de ForestDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de ForestDnsZones a réussi

Exécution de tests de partitions sur Schema
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Schema a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Schema a réussi

Exécution de tests de partitions sur Configuration
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Configuration a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Configuration a réussi

Exécution de tests de partitions sur sag
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de sag a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de sag a réussi

Exécution de tests d'entreprise sur sag.com
Démarrage du test : LocatorCheck
......................... Le test LocatorCheck
de sag.com a réussi
Démarrage du test : Intersite
......................... Le test Intersite
de sag.com a réussi
- Modifié Nocturnis vendredi 18 octobre 2013 08:29
vendredi 18 octobre 2013 08:28
0

Connectez-vous pour voter

L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
Replicating Directory Changes In Filtered Set
de droits d'accès pour le contexte de nommage :
DC=DomainDnsZones,DC=sag,DC=com
L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
Replicating Directory Changes In Filtered Set
de droits d'accès pour le contexte de nommage :
DC=ForestDnsZones,DC=sag,DC=com
......................... Le test NCSecDesc
de SAG-DC1 a échoué
Démarrage du test : NetLogons

=> par ce que tu tu n'as pas fait de adprep /rodcprep de mémoire , utile si tu veux un DC en lecture seul

Démarrage du test : Advertising
......................... Le test Advertising
de SAG-DC1 a réussi
Démarrage du test : FrsEvent
Erreurs ou avertissements détectés au cours des dernières 24 heures
après le partage de SYSVOL. Des problèmes liés à l'échec de la
réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
groupe.
......................... Le test FrsEvent
de SAG-DC1 a échoué

après un dcpromo il faut attendre 24 H et vérifier à nouveau le Dcdiag.

Après le reboot du dcpromo il enregistre des erreurs après le reboot car sa synchro initiale n'est pas terminé. c'est erreurs apparaissent pendant 24 H dans le Dcdiag.

Et repadmin /showrepl ?

Observateur des nouveaux DC ?

vendredi 18 octobre 2013 08:44
0

Connectez-vous pour voter
Ok merci.

Les journaux sont plutot correct, sauf pour le journal de réplication de fichiers qui comporte l'event suivant (créé le 17/10/2012 a 22:54, juste apres le promote, mais pas de nouvel event depuis) :

evenement 13508

Le service de réplication de fichiers (FRS) rencontre des problèmes lors de l’activation de la réplication de SAG-AD1 vers SAG-DC1 pour e:\sysvol\domain en utilisant le nom DNS sag-ad1.sag.com. FRS va essayer à nouveau.
Voici quelques-unes des raisons de cet avertissement :

[1] FRS ne peut pas résoudre le nom DNS sag-ad1.sag.com correctement à partir de cet ordinateur.
[2] FRS n’est pas en cours d’exécution sur sag-ad1.sag.com.
[3] Les informations de topologie dans Active Directory pour ce réplica n’ont pas été répliquées vers tous les contrôleurs de domaine.

Ce message du journal des événements apparaîtra une fois par connexion. Une fois le problème résolu, vous verrez un autre message indiquant que la connexion a été établie.

Voici le résultat du repadmin /showrepl :
Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine compl
et localhost
Premier-Site-par-defaut\SAG-DC1
Options DSA : IS_GC
Options de site : (none)
GUID de l'objet DSA : 7c1b6849-a8ed-4a69-b9d7-b6f924286c11
ID de l'invocation DSA : 8cde8f0d-b65d-49b6-8783-a524ff3fa091

=== INSTANCES VOISINES ENTRANTES ==================================

DC=sag,DC=com
Premier-Site-par-defaut\SAG-DC2 via RPC
GUID de l'objet DSA : 66925cc5-6a0f-4857-a0a0-77b281faf025
La dernière tentative, le 2013-10-18 11:24:01, a réussi.
Premier-Site-par-defaut\SAG-AD1 via RPC
GUID de l'objet DSA : 1bf9321b-e143-4093-ae7d-a7feb323b511
La dernière tentative, le 2013-10-18 11:24:57, a réussi.

CN=Configuration,DC=sag,DC=com
Premier-Site-par-defaut\SAG-AD1 via RPC
GUID de l'objet DSA : 1bf9321b-e143-4093-ae7d-a7feb323b511
La dernière tentative, le 2013-10-18 10:47:27, a réussi.
Premier-Site-par-defaut\SAG-DC2 via RPC
GUID de l'objet DSA : 66925cc5-6a0f-4857-a0a0-77b281faf025
La dernière tentative, le 2013-10-18 10:47:27, a réussi.

CN=Schema,CN=Configuration,DC=sag,DC=com
Premier-Site-par-defaut\SAG-AD1 via RPC
GUID de l'objet DSA : 1bf9321b-e143-4093-ae7d-a7feb323b511
La dernière tentative, le 2013-10-18 10:47:27, a réussi.
Premier-Site-par-defaut\SAG-DC2 via RPC
GUID de l'objet DSA : 66925cc5-6a0f-4857-a0a0-77b281faf025
La dernière tentative, le 2013-10-18 10:47:27, a réussi.

DC=ForestDnsZones,DC=sag,DC=com
Premier-Site-par-defaut\SAG-AD1 via RPC
GUID de l'objet DSA : 1bf9321b-e143-4093-ae7d-a7feb323b511
La dernière tentative, le 2013-10-18 10:47:27, a réussi.
Premier-Site-par-defaut\SAG-DC2 via RPC
GUID de l'objet DSA : 66925cc5-6a0f-4857-a0a0-77b281faf025
La dernière tentative, le 2013-10-18 10:47:27, a réussi.

DC=DomainDnsZones,DC=sag,DC=com
Premier-Site-par-defaut\SAG-AD1 via RPC
GUID de l'objet DSA : 1bf9321b-e143-4093-ae7d-a7feb323b511
La dernière tentative, le 2013-10-18 10:47:27, a réussi.
Premier-Site-par-defaut\SAG-DC2 via RPC
GUID de l'objet DSA : 66925cc5-6a0f-4857-a0a0-77b281faf025
La dernière tentative, le 2013-10-18 10:47:27, a réussi.
Échec de DsReplicaGetInfo() avec le statut 8453 (0x2105):
L'accès à la réplication a été refusé.
Échec de DsReplicaGetInfo() avec le statut 8453 (0x2105):
L'accès à la réplication a été refusé.
- Modifié Nocturnis vendredi 18 octobre 2013 09:54
vendredi 18 octobre 2013 09:46
0

Connectez-vous pour voter

Comme dit avant il est possible d'avoir des erreurs dans les logs juste après le DC promo, surtout si il y a d'autres DC, le temps que la topologie de réplication a été répliqué partout.

Vérifier la réplication (repadmin), topologie de réplication (site et services)

vous pouvez forcer la réplication repadmin /syncall.

refaites un dcdiag après 24 h

vendredi 18 octobre 2013 15:22
0

Connectez-vous pour voter

Bonjour,

Voici un nouveau dcdiag, celui-ci vous semble-t-il meilleur ? :
Diagnostic du serveur d'annuaire

Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
Serveur associé : SAG-DC1
* Forêt AD identifiée.
Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

Test du serveur : Premier-Site-par-defaut\SAG-DC1
Démarrage du test : Connectivity
......................... Le test Connectivity
de SAG-DC1 a réussi

Exécution des tests principaux

Test du serveur : Premier-Site-par-defaut\SAG-DC1
Démarrage du test : Advertising
......................... Le test Advertising
de SAG-DC1 a réussi
Démarrage du test : FrsEvent
......................... Le test FrsEvent
de SAG-DC1 a réussi
Démarrage du test : DFSREvent
......................... Le test DFSREvent
de SAG-DC1 a réussi
Démarrage du test : SysVolCheck
......................... Le test SysVolCheck
de SAG-DC1 a réussi
Démarrage du test : KccEvent
......................... Le test KccEvent
de SAG-DC1 a réussi
Démarrage du test : KnowsOfRoleHolders
......................... Le test KnowsOfRoleHolders
de SAG-DC1 a réussi
Démarrage du test : MachineAccount
......................... Le test MachineAccount
de SAG-DC1 a réussi
Démarrage du test : NCSecDesc
L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
Replicating Directory Changes In Filtered Set
de droits d'accès pour le contexte de nommage :
DC=DomainDnsZones,DC=sag,DC=com
L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
Replicating Directory Changes In Filtered Set
de droits d'accès pour le contexte de nommage :
DC=ForestDnsZones,DC=sag,DC=com
......................... Le test NCSecDesc
de SAG-DC1 a échoué
Démarrage du test : NetLogons
......................... Le test NetLogons
de SAG-DC1 a réussi
Démarrage du test : ObjectsReplicated
......................... Le test ObjectsReplicated
de SAG-DC1 a réussi
Démarrage du test : Replications
......................... Le test Replications
de SAG-DC1 a réussi
Démarrage du test : RidManager
......................... Le test RidManager
de SAG-DC1 a réussi
Démarrage du test : Services
......................... Le test Services
de SAG-DC1 a réussi
Démarrage du test : SystemLog
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/27/2013 20:43:44
Chaîne d'événement :
Le pilote PDFCreator requis pour l'imprimante PDFCreator est inconn
. Contactez l'administrateur pour installer le pilote avant de vous reconnecter

Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/27/2013 20:43:45
Chaîne d'événement :
Le pilote Citrix Universal Printer requis pour l'imprimante FRNA-06
(de VFR-LAP12387) dans la session 2 est inconnu. Contactez l'administrateur po
r installer le pilote avant de vous reconnecter.
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/27/2013 20:43:45
Chaîne d'événement :
Le pilote Citrix Universal Printer requis pour l'imprimante FRNA-02
(de VFR-LAP12387) dans la session 2 est inconnu. Contactez l'administrateur po
r installer le pilote avant de vous reconnecter.
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/27/2013 20:43:45
Chaîne d'événement :
Le pilote PDFCreator requis pour l'imprimante PDFCreator (de VFR-LA
12387) dans la session 2 est inconnu. Contactez l'administrateur pour installer
le pilote avant de vous reconnecter.
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/27/2013 20:43:47
Chaîne d'événement :
Le pilote Citrix Universal Printer requis pour l'imprimante ZDesign
r RW 420 (Copie 1) (de VFR-LAP12387) dans la session 2 est inconnu. Contactez l
administrateur pour installer le pilote avant de vous reconnecter.
Un événement d'erreur s'est produit. ID de l'événement : 0x00000457
Temps généré : 10/27/2013 20:43:47
Chaîne d'événement :
Le pilote Citrix Universal Printer requis pour l'imprimante ZDesign
r RW 420 (de VFR-LAP12387) dans la session 2 est inconnu. Contactez l'administr
teur pour installer le pilote avant de vous reconnecter.
......................... Le test SystemLog
de SAG-DC1 a échoué
Démarrage du test : VerifyReferences
......................... Le test VerifyReferences
de SAG-DC1 a réussi

Exécution de tests de partitions sur DomainDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de DomainDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de DomainDnsZones a réussi

Exécution de tests de partitions sur ForestDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de ForestDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de ForestDnsZones a réussi

Exécution de tests de partitions sur Schema
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Schema a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Schema a réussi

Exécution de tests de partitions sur Configuration
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Configuration a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Configuration a réussi

Exécution de tests de partitions sur sag
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de sag a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de sag a réussi

Exécution de tests d'entreprise sur sag.com
Démarrage du test : LocatorCheck
......................... Le test LocatorCheck
de sag.com a réussi
Démarrage du test : Intersite
......................... Le test Intersite
de sag.com a réussi

dimanche 27 octobre 2013 19:46