none
Ajout d'un second contrôleur de domaine 2012 dans un domaine existant RRS feed

  • Question

  • Bonjour à tous,

    j'ai ajouté un second contrôleur de domaine afin de répliquer le 1er AD si celui-ci tombe.

    Depuis le 2nd AD (Serveur de secours), lorsque le 1er est toujours en ligne j'arrive à accéder aux Utilisateurs et ordinateurs Active Directory.

    Par contre, à partir du moment ou je débranche le câble ethernet du 1ER AD, impossible d'accéder aux Utilisateurs et ordinateurs Active directory.

    Plus moyen également de me loguer sur mon AD, malgré que j'ai renseigné dans les champs Serveur DNS préféré et serveur DNS auxiliare, les 2 serveurs DNS de mes 2 serveurs.

    Enfin, mon serveur principal est déclaré en tant que DC et mon second serveur (serveur de secours) est déclaré en Catalogue global au niveau des Sites et services Active directory.

    Merci pour votre aide.

    lundi 2 juin 2014 09:34

Réponses

  • “Le serveur DNS attend que les services de domaine Active directory indiquent que la synchronisation initiale du répertoire est terminée.”

    Le 2 ème contrôleur de domaine n'est pas encore DC, il doit initialiser la réplication.

    Vous pouvez suivre l'évolution avec dcdiag (plus d'avertissement après 24h, après un dc promo il y en a tjs), repadmin /showrepl pour vérifier la réplication /syncall pour forcer la réplication. Vérifier l'observateur d'événement.

    Là ou je bute c'est que je ne sais pas quel serveur doit être DC, lequel doit être Catalogue global, ou si les deux doivent être DC ou CG ?

    Dans une forêt mono domaine le rôle du catalogue global est moins important par défaut, sauf pour cetaines applications comme Exchange qui necessite d'avoir un CG en ligne.

    La recommandation est de mettre tous les DC en tant que CG sur une forêt mono domaine.

    http://pbarth67.free.fr/?q=node/78

    De plus, au niveau des serveur DNS préféré et auxiliaire côté serveur 1 et côté serveur 2 comment dois-je configurer cela ?

    Pour l'instant mettre les 2 DC avec comme DNS primaire l'ip du premier qui est le seul prêt à répondre. Mettre en secondaire le 2 ème sur les 2.

    Vérifier avec nslookup ou ping que les 2 serveurs arrive bien a résoudre leur nom et celui de l'autre.

    Une fois initialisé, le best practice analyser indique en générale qu'il ne faut pas mettre sa propre IP en premier dans les DNS. Même si la question fait souvent débats, pour l'instant l'important ces qu'ils puissent résoudre les IP et terminer l'initialiser.

    N'oublie pas de gérer la synchro des horloges http://pbarth67.free.fr/?q=node/79 et d'ajouter les 2 ème DC en tant que DNS primaire sur les serveurs membres et postes de travail

    mardi 3 juin 2014 10:00
    Modérateur
  • Vous avez des erreurs de DNS.

    Si vous débrancher lla carte réseau sur un DC ce n'est pas pareil que s'il est seul connecté. La carte réseau débranché il y a forcément des erreurs ...

    Si vous n'avez pas sysvol et netlogon sur le DC 2 c'est qu'il n'est pas opérationnelle !

    Vérifier :

    - il existe bien un enregistrement A pour le serveur DC2 dans la zone DNS, au pire refaire un ipconfig /registerdns et redémarrer le service netlogon

    - Qu'elle est le niveau fonctionnelle du domaine, s'il avec un niveau 2008 c'est de la réplication DFS, si vous avez utilisez dfsrmig également. Sinon c'est de la replication ntfrs pour sysvol et netlogon. Une autre méthode est de saisir dfsrmig /getglobalstate, si c'est redirigé ou éliminé c'est du DFS-R sinon c'est du NTFRS.

    Dans ce dernier cas modifier dans le registre sur le serveur qui n'a pas sysvol et netlogon HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

    Créer ou modifier "BurFlags  avec Dword valeur = D2

    redémarrer le service ntfrs :

    net stop ntfrs

    net start ntfrs

    Ceci réinitialisera la réplication de sysvol et netlogon.

    Si c'est du DFS-R utiliser le lien suivant pour réinitialiser la réplication sur le serveur qui n'a pas sysvol et netlogon

    http://support.microsoft.com/kb/2218556

    Note : comment migrer de NTFRS vers DFS-r (après avoir résolu les problèmes)

    http://support.microsoft.com/kb/290762/fr

    jeudi 5 juin 2014 16:17
    Modérateur
  • Vous pouvez avoir un serveur 2012 est un niveau de domaine et de forêt 2003.

    Dans ce cas c'est du NTFRS.

    Apparemment vous avez crée le domaine avec un niveau 2012, dans ce cas c'est du DFS-R.

    Il n'y a pas besoin d'installer le rôle DFS, par contre cela peut vous aider de rajouter les consoles qui permettrait de générer des rapports.

    Si c'est du DFS-R ce n'est plus cette clé de registre qui est à utilisé, mais le lien

    http://support.microsoft.com/kb/2218556


    mardi 17 juin 2014 10:01
    Modérateur

Toutes les réponses

  • Bonjour,

    Comment avez-vous déployé et configuré le deuxième DC  ?

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy

    lundi 2 juin 2014 21:18
  • Bonjour Hicham,

    j'ai déployé et configuré le 2ème DC via l'assistant ajout de rôles et de fonctionnalités, et j'ai Ajouter un contrôleur de domaine à un domaine existant.

    Là ou je bute c'est que je ne sais pas quel serveur doit être DC, lequel doit être Catalogue global, ou si les deux doivent être DC ou CG ?

    Dans l'observateur d'événement j'obtiens l'erreur DNS 4013 : “Le serveur DNS attend que les services de domaine Active directory indiquent que la synchronisation initiale du répertoire est terminée.”

    De plus, au niveau des serveur DNS préféré et auxiliaire côté serveur 1 et côté serveur 2 comment dois-je configurer cela ?

    Le DNS préféré sur le serveur1 doit être l'ip du serveur 2 ? J'avoue être un peu dans le brouillard ;)

    D'avance merci.

    mardi 3 juin 2014 07:58
  • “Le serveur DNS attend que les services de domaine Active directory indiquent que la synchronisation initiale du répertoire est terminée.”

    Le 2 ème contrôleur de domaine n'est pas encore DC, il doit initialiser la réplication.

    Vous pouvez suivre l'évolution avec dcdiag (plus d'avertissement après 24h, après un dc promo il y en a tjs), repadmin /showrepl pour vérifier la réplication /syncall pour forcer la réplication. Vérifier l'observateur d'événement.

    Là ou je bute c'est que je ne sais pas quel serveur doit être DC, lequel doit être Catalogue global, ou si les deux doivent être DC ou CG ?

    Dans une forêt mono domaine le rôle du catalogue global est moins important par défaut, sauf pour cetaines applications comme Exchange qui necessite d'avoir un CG en ligne.

    La recommandation est de mettre tous les DC en tant que CG sur une forêt mono domaine.

    http://pbarth67.free.fr/?q=node/78

    De plus, au niveau des serveur DNS préféré et auxiliaire côté serveur 1 et côté serveur 2 comment dois-je configurer cela ?

    Pour l'instant mettre les 2 DC avec comme DNS primaire l'ip du premier qui est le seul prêt à répondre. Mettre en secondaire le 2 ème sur les 2.

    Vérifier avec nslookup ou ping que les 2 serveurs arrive bien a résoudre leur nom et celui de l'autre.

    Une fois initialisé, le best practice analyser indique en générale qu'il ne faut pas mettre sa propre IP en premier dans les DNS. Même si la question fait souvent débats, pour l'instant l'important ces qu'ils puissent résoudre les IP et terminer l'initialiser.

    N'oublie pas de gérer la synchro des horloges http://pbarth67.free.fr/?q=node/79 et d'ajouter les 2 ème DC en tant que DNS primaire sur les serveurs membres et postes de travail

    mardi 3 juin 2014 10:00
    Modérateur
  • Bonjour Philippe,

    j'ai suivi vos recommandations à la lettre, tout semble correct, sauf au moment du test.

    En effet, à partir du moment ou je débranche la connexion internet du serveur principal, j'ai le droit à l'erreur ID 2087 sur ce même serveur :

    Les services de domaine Active Directory n’ont pas pu résoudre le nom d’hôte DNS suivant du contrôleur de domaine source en une adresse IP. Cette erreur empêche les ajouts, les suppressions et les modifications des services de domaine Active Directory d’être répliqués entre un ou plusieurs contrôleurs de domaine de la forêt. Les groupes de sécurité, la stratégie de groupe, les utilisateurs et les ordinateurs ainsi que leurs mots de passe seront incohérents entre les contrôleurs de domaine tant que cette erreur n’est pas résolue, affectant potentiellement l’authentification des ouvertures de session et l’accès aux ressources réseau.
     
    Par conséquent, le serveur de secours ne prend pas le relais.

    Que faire ?

    Merci.

    mercredi 4 juin 2014 07:54
  • L'erreur est sur le serveur que vous avez débranché ? ou sur l'autre serveur qui se retrouve seul ?


    Sur le  2ème DC si vous faites :

    - net share => les partages sysvol et netlogon existent bien ?

    - si vous ouvrez la console DNS vous voyez la zone du domaine et de la forêt ?

    - dcdiag vous remonte des erreur ?

    - repadmin /showrepl donne des erreurs ?

    - faites un ping du nom complet du dc restant et vérifie qu'il y a bien une réponse .

    mercredi 4 juin 2014 21:34
    Modérateur
  • Bonjour,

    oui effectivement l'erreur est sur le serveur que j'ai débranché. (serveur principal).

    - Sur le 2ème DC, lors du net share non aucun sysvol ni netlogon n'existe.

    - Si j'ouvre la console DNS, je vois je pense la zone du domaine et de la fôret, je vois 2 logo de serveur avec SERVEURSECOURSW et SERVEURSECOURSWINDOWS.iutamiens-gmp.fr

    Je pense que c'est cela que vous souhaitez savoir ?

    - dcdiag me remonte 3 erreurs qui sont les suivantes :

    1.  - Exécution des tests principaux

         Test du serveur : Default-First-Site-Name\SERVEURSECOURSW
            Démarrage du test : Advertising
               Avertissement : DsGetDcName a retourné des informations pour \\AD.iutamiens-gmp.fr lors de la tentative
               d'accès à SERVEURSECOURSW.
               Le serveur ne répond pas ou n'est pas approprié.
    2. - Démarrage du test : NetLogons
          Impossible de se connecter au partage NETLOGON. (\\SERVEURSECOURSW\netlogon)
          [SERVEURSECOURSW] Une opération net use ou LsaPolicy a échoué avec l'erreur 67, Nom de réseau introuvable..
          ......................... Le test NetLogons
           de SERVEURSECOURSW a échoué
    3.   -  Démarrage du test : SystemLog
            Un événement d'avertissement s'est produit. ID de l'événement : 0x00000458
            Temps généré : 06/05/2014   09:12:49
            Chaîne d'événement :
            L'extension côté client de la stratégie de groupe Group Policy Drive Maps n'a pas pu appliquer un ou  plusieurs paramètres car les modifications doivent être traitées avant le démarrage système ou la connexion utilisateur. Le système attendra la fin complète du traitement de la stratégie de groupe avant de procéder au prochain démarrage ou à la prochaine connexion pour cet utilisateur. Ceci peut entraîner un ralentissement du démarrage et des performances de démarrage du système.
       ......................... Le test SystemLog de SERVEURSECOURSW a réussi

    - repadmin /showrepl me donne aucune erreur

    - Ping OK.

    Merci encore pour l'aide.

    jeudi 5 juin 2014 07:23
  • Vous avez des erreurs de DNS.

    Si vous débrancher lla carte réseau sur un DC ce n'est pas pareil que s'il est seul connecté. La carte réseau débranché il y a forcément des erreurs ...

    Si vous n'avez pas sysvol et netlogon sur le DC 2 c'est qu'il n'est pas opérationnelle !

    Vérifier :

    - il existe bien un enregistrement A pour le serveur DC2 dans la zone DNS, au pire refaire un ipconfig /registerdns et redémarrer le service netlogon

    - Qu'elle est le niveau fonctionnelle du domaine, s'il avec un niveau 2008 c'est de la réplication DFS, si vous avez utilisez dfsrmig également. Sinon c'est de la replication ntfrs pour sysvol et netlogon. Une autre méthode est de saisir dfsrmig /getglobalstate, si c'est redirigé ou éliminé c'est du DFS-R sinon c'est du NTFRS.

    Dans ce dernier cas modifier dans le registre sur le serveur qui n'a pas sysvol et netlogon HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

    Créer ou modifier "BurFlags  avec Dword valeur = D2

    redémarrer le service ntfrs :

    net stop ntfrs

    net start ntfrs

    Ceci réinitialisera la réplication de sysvol et netlogon.

    Si c'est du DFS-R utiliser le lien suivant pour réinitialiser la réplication sur le serveur qui n'a pas sysvol et netlogon

    http://support.microsoft.com/kb/2218556

    Note : comment migrer de NTFRS vers DFS-r (après avoir résolu les problèmes)

    http://support.microsoft.com/kb/290762/fr

    jeudi 5 juin 2014 16:17
    Modérateur
  • Bonjour,

    - Le niveau fonctionnel du domaine est du DFS-R, j'ai un serveur windows 2012.

    Cependant, sur mon 1er AD, je n'ai pas installé le rôle DFS ne m'y connaissant pas au début.

    En effet j'ai installé le rôle AD DS, et Services de fichiers et de stockage pour que mes utilisateurs puissent stocker des données sur leurs sessions.

    Pour ce qui est de modifier le registre du serveur qui n'a pas de sysvol et netlogon, arrivé à Parameters je n'ai pas de dossier Backup, que faire ?

    Merci d'avance.

    mardi 17 juin 2014 09:29
  • Vous pouvez avoir un serveur 2012 est un niveau de domaine et de forêt 2003.

    Dans ce cas c'est du NTFRS.

    Apparemment vous avez crée le domaine avec un niveau 2012, dans ce cas c'est du DFS-R.

    Il n'y a pas besoin d'installer le rôle DFS, par contre cela peut vous aider de rajouter les consoles qui permettrait de générer des rapports.

    Si c'est du DFS-R ce n'est plus cette clé de registre qui est à utilisé, mais le lien

    http://support.microsoft.com/kb/2218556


    mardi 17 juin 2014 10:01
    Modérateur