none
Problème DCPROMO RRS feed

  • Question

  • Bonjour, Madame, Monsieur,

    Je rencontre actuellement une anomalie pour faire rétrograder un contrôleur de domaine.
    La configuration de l’infrastructure est la suivante :

    -    Serveur Windows 2008 R2 Standard (ancien DC) ;
    -    Serveur Windows 2012 R2 Standard (nouveau DC) ;


    Impossible dans un premier temps de faire la promotion du 2012R2 (entrée dans le domaine correcte par contre), mais il manquait la zone de recherche _msdcs, qu’il a fallu recréer.
    Ensuite, la migration du domaine de l’ancien vers le nouveau serveur s’est très bien passée (Transfert des rôles fsmo, réplication,etc…).

    Comme l’indique l’outil « AD Replication Status Tool » de Microsoft depuis l’ancien serveur :

    Néanmoins, au moment de rétrograder l’ancien serveur, j’obtiens le message suivant :

    Comme l’indique la capture d’écran, l’ancien serveur DC ne trouve pas le nouveau serveur DC sur le réseau.

    De plus, si l’ancien serveur est déconnecté du réseau ou simplement éteint.
    Le nouveau serveur DC ne fonctionne plus correctement au niveau du DNS et devient très lent à l’utilisation.

    Pour information complémentaire, j’ai dû renommer le nom du nouveau serveur une fois la migration de domaine faite.
    Pour ce faire, j’ai utilisé la commande « netdom ».

    Merci par avance de vos retours concernant cette problématique.

    vendredi 11 octobre 2019 14:05

Réponses

  • Les partages se créent automatiquement dès que le DC considère qu'il est prêt à répondre aux postes clients.

    Quel erreur dans DCdiag juste sysvol ?

    Pour sysvol il faut déterminer le type de réplication ntfrs ou DFS-R. Si le domaine a été créé avec un niveau fonctionnel 2008 ou supérieur, il utile par défaut le nouveau dfs-R.Sinon c'est NTFRS.

    Pour réinitialiser la réplication de sysvol : 

    NTFRS : modifier la clé burflags pour une restauration non autoritaire (D2) sur le nouveau serveur et redemarrer le service ntfrs , 

    net stop ntfrs

    net start ntfrs

    Vérifier l'observateur d'événement et la création des partages

    Pour DFS-R

    http://www.pbarth.fr/node/135

    Pour information migrer de ntfrs vers dfs-r :

    http://www.pbarth.fr/node/75


    vendredi 11 octobre 2019 16:49
    Modérateur
  • Bonjour, Monsieur Barth,

    Je viens de faire les opérations ci-dessous :

    - Transfert des rôles FSMO vers l'ancien DC ;

    - Rétrograde du nouveau DC ;

    - Promotion du nouveau DC ;

    - Transfert des rôles FSMO ;

    - Redémarrage du nouveau DC ;

    Vérification des partages "NETLOGON" et SYSVOL" : pas de partage

    Je réalise donc la procédure suivante :

    1. Stopper le service de réplication de fichiers sur tous les DC ;
    2. Modification la clé Burflag  et la passer à D4 en hexadécimal sur le contrôleur de domaine disposant d’un SYSVOL et d’un NETLOGON corrects (ancien DC) ;
    3. Modification de la clé Burflag et la passer à D2 en hexadécimal sur les contrôleurs de domaines qui n’ont pas créé les partages SYSVOL et NETLOGON (nouveau DC) ;
    4. Redémarrage du service de réplication de fichiers sur le contrôleur de domaine « correct » (ancien DC) ;

    5. Redémarrer le service de réplication de fichiers sur le contrôleur de domaine en erreur de réplication (nouveau DC) ;
    6. Redémarrage du nouveau DC ;

    Vérification des partages : OKAY.

    Réalisation du DCPROMO sur l'ancien DC : fonctionne parfaitement.

    Il s'agit donc d'un problème résolu.

    Je vous remercie de votre aide.

    • Marqué comme réponse Kevin Engel mardi 15 octobre 2019 15:22
    mardi 15 octobre 2019 15:22

Toutes les réponses

  • Dcdiag sur le  nouveau DC ? Pas d'erreur ?

    si tu fais un net share, tu as bien les partages netlogon et sysvol?

    A première vue ton nouveau serveur n'est pas opérationnel, et il doit y avoir des messages. C'est pour cela que tu ne peux pas rétrograder l'ancien.

    Un DC peut ne pas être bon même si la réplication de l'annuaire fonctionne. Il y a d'autres éléments à prendre en compte comme la réplication sysvol .

    DCdiag est l'outil de base et le plus complet pour analyser un DC. 

    N'essaye pas de forcer la rétrogradation de l'ancien serveur, sous peine de ne plus avoir rien de fonctionnel.

    mais il manquait la zone de recherche _msdcs, qu’il a fallu recréer

    Elle existe bien sur l'ancien. Comment tu l'as crée ? C'est bien une zone intégré AD qui autorise les mises à jour sécurisé.


    vendredi 11 octobre 2019 14:37
    Modérateur
  • Bonjour, Monsieur Barth,

    Merci de votre retour.

    En effet, avec la commande "dcdiag" sur le nouveau DC s'obtient des erreurs sur les partages.

    Et avec la commande "net share", je n'ai pas les partages "netlogon" et "sysvol".

    Sur l'ancien DC, la zone _msdcs est bien présente :

    Comment faire les partages des dossiers ?

    Merci de votre retour.

    vendredi 11 octobre 2019 14:54
  • Les partages se créent automatiquement dès que le DC considère qu'il est prêt à répondre aux postes clients.

    Quel erreur dans DCdiag juste sysvol ?

    Pour sysvol il faut déterminer le type de réplication ntfrs ou DFS-R. Si le domaine a été créé avec un niveau fonctionnel 2008 ou supérieur, il utile par défaut le nouveau dfs-R.Sinon c'est NTFRS.

    Pour réinitialiser la réplication de sysvol : 

    NTFRS : modifier la clé burflags pour une restauration non autoritaire (D2) sur le nouveau serveur et redemarrer le service ntfrs , 

    net stop ntfrs

    net start ntfrs

    Vérifier l'observateur d'événement et la création des partages

    Pour DFS-R

    http://www.pbarth.fr/node/135

    Pour information migrer de ntfrs vers dfs-r :

    http://www.pbarth.fr/node/75


    vendredi 11 octobre 2019 16:49
    Modérateur
  • Bonjour, Monsieur Barth,

    Merci de votre retour.

    Voici les différentes erreurs de la commande "DCDIAG" depuis le nouveau DC :

    D'après le ADSI je suis sur du NTFRS :

    J'ai donc suivi la procédure disponible sur votre site. Et j'obtiens le message ci-dessous dans l'observateur d'événements :

    Merci par avance de votre retour.

    dimanche 13 octobre 2019 14:25
  • Tu as mis quel valeur? Le lien que tu as posté c'est pour faire une restauration autoritaire.

    Sinon quel conf réseau ? DNS primaire et secondaire ?

    dimanche 13 octobre 2019 21:24
    Modérateur
  • Bonjour, Monsieur Barth, 

    Merci de votre retour.

    J'ai mis la valeur D4, car il s'agit du nouveau DC. Il faut mettre D2 du coup ?

    Pour la configuration réseau sur le nouveau DC, c'est la suivante :


    lundi 14 octobre 2019 06:50
  • J'ai mis la valeur D4, car il s'agit du nouveau DC. Il faut mettre D2 du coup ?

    Il faut modifier la valeur D4 sur un DC sain lorsque tu souhaites que TOUS les autres DC récupère sysvol sur ce DC en tant que source.

    Il faut utiliser D2 sur un DC qui a un problème si tu veux réinitialiser sysvol sur un seul serveur.

    En utilisant D4 sur un DC qui n'est pas sain tu peux bloquer ceux qui n'ont pas de problème.

    Pour la partie DNS, je ne peux rien dire si je ne sais pas a quoi corresponde 19.168.0.2 et 5.

    Pour info il y a des cas d'echec lors de la promotion d'un nouveau DC, entre autre à cause du DNS IPV6 sur "::1" (loopback). Après la promotion au redémarrage, comme ipv6 est prioritaire, il s'interroge lui même, sauf qu'il ne peut répondre tant que la réplication intiale AD n'est pas terminé, et il arrive que le montage de sysvol ne se termine pas correctement et ne reprenne pas tout seul. 

    lundi 14 octobre 2019 08:07
    Modérateur
  • Merci de votre retour.

    Je viens de faire la procédure avec la valeur D2, mais pas de changement. Je n'ai toujours pas les dossiers depuis la commande "Net Share". Il faut peut-être un redémarrage du serveur.

    Pour les adresses IP du DNS, je pensé que ma capture d'écran été assez compréhensible.

    192.168.0.2 est le nouveau DC et 192.168.0.5 est l'ancien DC.

    Pour l'IPv6 en loopback, comment puis-je faire cette vérification s'il vous plait ?

    Merci par avance.

    lundi 14 octobre 2019 08:54
  • Au même endroit qu'IPV4 :

    Tu as regardé les message dans l'observateurs d'événement ? Comme tu as déja lancé une procédure avec D4, il te faut vérifier que l'ancien DC n'est pas perturbé :

    dcdiag

    net share => sysvol et netlogon existe

    Normalment avec Burflags cela règle le problème en deux minutes, sinon une autre méthode est de rétrograder le nouveau et de refaire la promotion.

    Tu as déja déplacer les rôles FSMO ? Les DNS pointent sur le nouveau pour les postes clients et serveurs membres ?

     

    lundi 14 octobre 2019 10:09
    Modérateur
  • Pour l'IPv6 elle est en effet déjà désactivée.

    Sur l'ancien DC, le DCDIAG est bon et le NET SHARE également.

    Je vais donc faire l'essai de rétrograder de nouveau et de refaire la promotion.

    Oui, les rôles sont déjà déplacés et les postes clients ont comme DNS le nouveau DC.

    lundi 14 octobre 2019 12:01
  • Pour l'IPv6 elle est en effet déjà désactivée

    Il n'est pas recommandé de désactivé IPV6 ... il faut juste faire attention au "::1" dans dns primaire de IPV6.

    Maintenant il est peu probable que la désactivation d'IPV6 soit à l'origine de ton problème de promotion du DC.

    lundi 14 octobre 2019 12:52
    Modérateur
  • Bonjour, Monsieur Barth,

    Je viens de faire les opérations ci-dessous :

    - Transfert des rôles FSMO vers l'ancien DC ;

    - Rétrograde du nouveau DC ;

    - Promotion du nouveau DC ;

    - Transfert des rôles FSMO ;

    - Redémarrage du nouveau DC ;

    Vérification des partages "NETLOGON" et SYSVOL" : pas de partage

    Je réalise donc la procédure suivante :

    1. Stopper le service de réplication de fichiers sur tous les DC ;
    2. Modification la clé Burflag  et la passer à D4 en hexadécimal sur le contrôleur de domaine disposant d’un SYSVOL et d’un NETLOGON corrects (ancien DC) ;
    3. Modification de la clé Burflag et la passer à D2 en hexadécimal sur les contrôleurs de domaines qui n’ont pas créé les partages SYSVOL et NETLOGON (nouveau DC) ;
    4. Redémarrage du service de réplication de fichiers sur le contrôleur de domaine « correct » (ancien DC) ;

    5. Redémarrer le service de réplication de fichiers sur le contrôleur de domaine en erreur de réplication (nouveau DC) ;
    6. Redémarrage du nouveau DC ;

    Vérification des partages : OKAY.

    Réalisation du DCPROMO sur l'ancien DC : fonctionne parfaitement.

    Il s'agit donc d'un problème résolu.

    Je vous remercie de votre aide.

    • Marqué comme réponse Kevin Engel mardi 15 octobre 2019 15:22
    mardi 15 octobre 2019 15:22