none
Problème de réplication domaine et domaine de racine foret RRS feed

  • Discussion générale

  • Bonjour, je possède une foret, avec un domaine de racine foret et deux sous domaines.

    Depuis peu, et sans que je puisse me l'expliquer, mon sous domaine n'arrive plus à communiquer avec son domaine racine de foret .

    Mon deuxième sous domaine est actuellement isolé en raison d'un problème de jonction entre deux sites.

    Chaque domaine possède 2 contrôleur de domaine , qui sont GC et DNS donc.

    Je n'ai pas d'erreur quand j'effectue des test sur la racine de foret XXX.lan

    J'ai des erreurs sur les contrôleurs (les mêmes) du domaine XXX.XXX.lan

    BPA me sort :

    Le Best Practices Analyzer des services de domaine Active Directory (AD DS BPA) ne peut pas collecter des données sur le nom d’hôte du contrôleur de domaine principal de la racine de la forêt à partir de le contrôleur de domaine principal de la racine de la forêt.

    Le serveur DNS (lui même) sur Ethernet0 n’a pas pu résoudre le nom de l’enregistrement de source de noms (SOA) de la zone hébergeant le nom de domaine racine de forêt de l’ordinateur.

    Ce contrôleur de domaine doit se publier lui-même en tant que serveur de catalogue global générique de la forêt.
    Ce contrôleur de domaine doit se publier lui-même en tant que serveur de catalogue global générique de la forêt dans son site

    Le serveur DNS (le deuxieme DC du domaine enfant) sur Ethernet0 n’a pas pu résoudre le nom de l’enregistrement de source de noms (SOA) de la zone hébergeant le nom de domaine racine de forêt de l’ordinateur.

    le nslookup sur le fqdn du contrôleur de domaine racine ne passe pas (non existant domain), la résolution IP fonctionne

    le nslookup de la foret ne passe pas (non existant domaine)

    Je penche donc pour un problème DNS mais je tourne en rond je ne trouve pas .

    J'ai fait le test de créer une VM en contrôleur de domaine racine , de lui attribuer les 5 rôles fsmo, mais cela n'a rien changé au problème. Je suis donc revenu en arrière en retransférant les rôles.

    J'ai du coup les gpo qui ne passe plus entre la foret et le domaine , des pb de synchro de temps, des droits qui ne marchent plus etc …

    J'ai tester donc tout ce que je connais , mais là je sèche .

    Votre aide sera la bienvenue.

    Merci d'avance

    mercredi 3 octobre 2018 09:24

Toutes les réponses

  • Je penche donc pour un problème DNS mais je tourne en rond je ne trouve pas .

    Oui tu as des soucis de résolution DNS 

    Si tu fais un nslookup "dc.DomaineRacine.lan" depuis le DC du site en question la résolution de nom fonctionne ?

    Le ping sur l'IP du DC du domaine racine fonctionne ?

    Quel DNS primaire et secondaire sur les DC du site enfants ?

    Tu as des redirecteurs sur le domaine enfant pour le nom du domaine racine ?

    http://www.pbarth.fr/node/5

    Mon deuxième sous domaine est actuellement isolé en raison d'un problème de jonction entre deux sites.

    La coupure est récente ? Attention il est important de rétablir la réplication de l'ensemble de la forêt.


    mercredi 3 octobre 2018 14:02
  • Bonjour Philippe et merci d'avoir pris le temps de répondre

    Si tu fais un nslookup "dc.DomaineRacine.lan" depuis le DC du site en question la résolution de nom fonctionne ?

    Non , "Non-existent domain"

    Le ping sur l'IP du DC du domaine racine fonctionne ?

    Oui il fonctionne

    Quel DNS primaire et secondaire sur les DC du site enfants ?

    Alors sur les DC des sites enfants , en DNS primaire j'ai le dns du second contrôleur enfant , et en secondaire j'ai sa propre adresse

    Tu as des redirecteurs sur le domaine enfant pour le nom du domaine racine ?

    Non aucun

    Mon deuxième sous domaine est actuellement isolé en raison d'un problème de jonction entre deux sites.

    La coupure est récente ? Attention il est important de rétablir la réplication de l'ensemble de la forêt.

    Non la coupure est beaucoup plus ancienne que le problème que je rencontre .

    Malheureusement je n'ai pour l'instant pas la possibilité (pas avant plusieurs mois) de rétablir la connexion car mon enfant isolé et dans un bâtiment sur une plage ip privé, l'ensemble du bâtiment est routé avec une seule adresse.

    Merci .

    lundi 8 octobre 2018 14:50
  • Tu as des redirecteurs sur le domaine enfant pour le nom du domaine racine ?

    Non aucun

    Configure des redirecteurs conditionnels stocké dans l'AD sur tes domaines enfant afin d'être sur  qu'ils peuvent résoudre le nom du domaine parent. Pas de résolution de nom dans une forêt AD, cela va forcément créer des problèmes conséquents.

    http://www.pbarth.fr/node/24

    Si tu fais un repadmin /showrepl sur le DC du domaine enfant je suppose que tu as des erreurs de réplications ? depuis combien de temps ?

    Malheureusement je n'ai pour l'instant pas la possibilité (pas avant plusieurs mois) de rétablir la connexion car mon enfant isolé et dans un bâtiment sur une plage ip privé, l'ensemble du bâtiment est routé avec une seule adresse.

    Si tu dépasse le tombstonelifestime tu risques de perdre ton domaine enfant. PAr défaut 180j, mais selon les versions cela peut être de 60j.

    Combien de postes/ utilisateurs sur le site enfant ? Le site a ses propres serveurs hébergeant les ressources ? Messagerie ? Application ?

    idem repadmin /showrepl en erreur depuis combien de temps ?


    lundi 8 octobre 2018 16:42
  • Configure des redirecteurs conditionnels stocké dans l'AD sur tes domaines enfant afin d'être sur  qu'ils peuvent résoudre le nom du domaine parent. Pas de résolution de nom dans une forêt AD, cela va forcément créer des problèmes conséquents.

    C'est fait.

    Si tu fais un repadmin /showrepl sur le DC du domaine enfant je suppose que tu as des erreurs de réplications ? depuis combien de temps ?

    A priori la dernière bonne synchro date du 22/09/2018 (les deux DC du domaine enfant 1 ont la même date à 1h d'intervalle)

    Malheureusement je n'ai pour l'instant pas la possibilité (pas avant plusieurs mois) de rétablir la connexion car mon enfant isolé et dans un bâtiment sur une plage ip privé, l'ensemble du bâtiment est routé avec une seule adresse.

    Si tu dépasse le tombstonelifestime tu risques de perdre ton domaine enfant. PAr défaut 180j, mais selon les versions cela peut être de 60j.

    Combien de postes/ utilisateurs sur le site enfant ? Le site a ses propres serveurs hébergeant les ressources ? Messagerie ? Application ?

    idem repadmin /showrepl en erreur depuis combien de temps ?

    Je n'ai pas de date, j'ai une erreur "une erreur a empêché le vérificateur de cohérence des
    données d'ajouter ce lien de réplica." mais cela fait bien plus que 180j c'est sur .Sur ce domaine enfant j'ai une centaine d'utilisateur avec une vingtaine de poste , aucune application particulière "pénible" à migrer. Je pourrais dans le pire des cas recréer le domaine si il est plus sage de le supprimer pour rendre fonctionnel celui-ci, et refaire fonctionner l'autre domaine enfant. Sachant qu'au moment ou je pourrais à nouveau le contacter nous changerons de classe d'ip.

    mardi 9 octobre 2018 12:37
  • Re bonjour, en continuant à investiguer sur mes problèmes je me suis aussi rendu compte que mon service temps Windows , sur mon PDC avait disparu.

    J'ai donc dépanner celui-ci (avec quelques dificultées), resynchroniser les différents DC dessus.

    Cette modification et le redirecteur conditionnel ont supprimé les différentes erreurs que j'avais . 

    La réplication fonctionne, le repadmin /showrepl ne sort plus d'erreur (hormis pour le domaine isolé), mes heures sont de nouveaux synchro.

    Je n'ai plus d'erreur dans le BPA non plus.

    Je te remercie pour l'aide que tu m'as apportée.

    Ma dernière question reste ouverte, est il judicieux de supprimer mon domaine enfant et de le recréer dans 6 mois?

    Merci


    mardi 9 octobre 2018 13:56
  • Je n'ai plus d'erreur dans le BPA non plus.

    C'est surtout DCdiag qui doit rester propre. le BPA c'est des recommandation et tous ne sont pas toujours à prendre tel quelle.

    Ma dernière question reste ouverte, est il judicieux de supprimer mon domaine enfant et de le recréer dans 6 mois?

    Si tu me dis que tu as 1500 postes 150 serveurs applicatifs sur ton domaine enfant, ce ne serait pas un bon conseil de te dire supprimer le domaine comme cela.

    Surtout que l'opération n'est pas simple : 

    http://www.pbarth.fr/node/157Si tu ne peux pas rétablir la réplication tu n'auras pas le choix !

    Les ressources et les serveurs applicatifs sont mutualisés ?

    Comment les personnes travaillent actuellement ?

    Si chaque site a ses propres ressources et infra il est plus simple d'avoir des forêts mono domaines indépendantes....

    mardi 9 octobre 2018 18:24