Discussion :

[Gratiano]

Bonjour,

Mon entreprise vient de virtualiser l'ensemble des serveurs de productions dans un environnement Citrix XenServer.

Nous disposons de 2 contrôleurs de domaine :

DCPrincipal : DNS, AD, contrôleur maître (sous Windows 2012)
DCSecondaire : DHCP, contrôleur secondaire (sous Windows 2008)

Ces 2 contrôleurs ont été virtualisés le 20 juin.
Depuis nous avons constaté des problèmes dans notre quotidien :
- Certaines machines du domaine nous signalent à l'authentification des soucis d'approbation : Sortir/réintégrer la machine au domaine corrigeait le soucis.
- Ce problème a commencé à arrivé sur des serveurs (plus problématique)
- La synchro de l'AD entre les 2 DC ne se faisait plus. Nous étions obligés d'utiliser l'AD du DCPrincipal (or avant une création/modification sur l'un ou l'autre des DC ne posait aucun problème)

Depuis hier soir, c'est devenu un enfer :
- Les postes en DHCP du domaine ne peuvent plus recevoir d'adresses.
- Un soucis DNS nous empéche de faire fonctionner correctement nos services (Exchange, SharePoint, ...)
- Nous constatons énormément des msg d'erreurs dans les Eventviewer du DCSecondaire (NETLOGON, DHCP-SERVER, GroupPolicy, NPS, SecurityKerberos)

Bref c'est la cata.

Y a t il une procédure d'urgence pour revenir à un état normal ?

Merci d'avance

[A&Nexus]

Hello,

- Comment avez-vous fait la virtualisation (P2V) ou création de machine virtuelle depuis zéro ou depuis un master etc... ?
- Si c'est du P2V vous avez bien éteint la machine physique ?
- Est-ce que les DNS ont été biens mis à jours sur les postes clients ?
- Est-ce que les serveurs AD ont bien UNIQUEMENT leur IP et c'est tout (donc un seul DNS) ?
- Que donnes les outils comme repadmin /showrepl ou dcdiag (lancé avec une invite de commande avec les droits admins) ?
- Que donnes la commande netdom query fsmo ?
- Est-ce que LES zones DNS sont à jours et épurés de tous les anciens serveurs ?

Sinon en urgence je verrais bien supprimer un des deux AD (celui qui n'a pas les rôles FSMO tant qu'à faire) et tourner pour le moment comme cela.
Comme ça tu répares les problèmes et une fois propre tu rajoutes le second.

[Gratiano]

Hello,

- Comment avez-vous fait la virtualisation (P2V) ou création de machine virtuelle depuis zéro ou depuis un master etc... ?.

Oui le prestataire a effectué du P2V pour DCSecondaire et V2V pour DCPrincipal qui était déjà virtuel.

- Si c'est du P2V vous avez bien éteint la machine physique ?

Le prestataire stipule qu'il a déconnecté du domaine les contrôleurs durant les opérations de migrations.

- Est-ce que les DNS ont été biens mis à jours sur les postes clients ?

Nous avons procédé a des flushdns et s'assurer que les adresses des DC étaient bien renseignées dans l'ordre au niveau des paramêtres des cartes réseaux.

- Est-ce que les serveurs AD ont bien UNIQUEMENT leur IP et c'est tout (donc un seul DNS) ?

Non pas du tout.
DCPrincipal : Son IP, DNS Principal (lui-même), DNS auxiliaire (Ip du DCSecondaire)
DCSecondaire : Son IP, DNS Principal (IP du DCPrincipal), DNS auxiliaire (lui-même)

- Que donnes les outils comme repadmin /showrepl ou dcdiag (lancé avec une invite de commande avec les droits admins) ?

J'ai récupérer le DCDIAG dans un fichier. Je peux peut être le réactualiser et le poster ici ?
Concernant REPADMIN je ne crois pas qu'il est été installé et j'ai du mal a le télécharger...

- Que donnes la commande netdom query fsmo ?

Sur le DC qui pose soucis (DCSecondaire), cette commande m'affiche bien le DCPrincipal sur toutes les lignes

- Est-ce que LES zones DNS sont à jours et épurés de tous les anciens serveurs ?

Apparemment il n'y pas de trace d'anciens serveurs...

Sinon en urgence je verrais bien supprimer un des deux AD (celui qui n'a pas les rôles FSMO tant qu'à faire) et tourner pour le moment comme cela.
Comme ça tu répares les problèmes et une fois propre tu rajoutes le second.

Notre environnement avant la virtualisation était de 2 contrôleurs de domaines, l'un prenant le relais en cas de crash de l'autre, car répliquer/synchroniser continuellement. Cela n'est jamais arrivé, et j'ai des doutes sur le bon fonctionnement de cette manœuvre....

Maintenant que l'on a nos 2 DC virtualisés, est il nécessaire de continuer a avoir 2 DC et pas 1 seul ayant tous les rôles ?
Le DC secondaires n'ayant que le rôle DHCP, ne pourrions nous pas basculer ce rôle sur le DCPrincipal.
L'environnement VM nous permettant de faire un SNapShot quotidien à restaurer en cas de crash.

Ma reflexion est elle judicieuse ? Loin de moi l'idée de contourner un pb...

SITUATION EN FIN D'APRES MIDI
Tous les pc du domaines ont basculé vers une ip fixe (car la partie DHCP pose problème)
Attribution de l'IP du DCPrincipal en tant que DNS préféré sur toutes les cartes réseaux des serveurs (messagerie, SharePoint, etc...)
Tout semble stable.

[chrtophe]

Vu les problèmes, vérifie que les horloges des VMs soient synchro et que la synchronisation du temps entre les VMs et la machine hôte soit désactivée

[A&Nexus]

Alors alors.

DCPrincipal : Son IP, DNS Principal (lui-même), DNS auxiliaire (Ip du DCSecondaire)
DCSecondaire : Son IP, DNS Principal (IP du DCPrincipal), DNS auxiliaire (lui-même)

Chaque DC doit avoir uniquement lui même comme DNS pas plus, pas moins.
En facultatif il y en a qui mette 127.0.0.1 mais je préfères mettre l'IP comme ça si la carte réseau plante le serveur voit qu'il y a un problème.

Concernant REPADMIN je ne crois pas qu'il est été installé et j'ai du mal a le télécharger...

Normalement il est installé par défaut, encore plus sur des 2012.

2 contrôleurs de domaines, l'un prenant le relais en cas de crash de l'autre, car répliquer/synchroniser continuellement

Attention abus de langage ici. Il n'y a pas de DC princpal ou secondaire chacun répond aux requêtes des PC de la même façon.
Et éventuellement un un peu plus chargé que les autres car il a les rôles FSMO.
Mais les rôles FSMO n’interfère en rien le comportement des PC lorsqu'ils font des requêtes DNS ou des ouverture de sessions.

L'environnement VM nous permettant de faire un SNapShot quotidien à restaurer en cas de crash.

AIE AIE AIE
Surtout surtout ne jamais faire de snapshot d'un DC virtualisé. Que ce soit avec hyper-v ou VMware.
C'est hyper mauvais et souvent ça te flingue ton serveur direct (obligé de passer en mode restauration AD).

Maintenant que l'on a nos 2 DC virtualisés, est il nécessaire de continuer a avoir 2 DC et pas 1 seul ayant tous les rôles ?
Le DC secondaires n'ayant que le rôle DHCP, ne pourrions nous pas basculer ce rôle sur le DCPrincipal.

C'est à toi de voir. Généralement on en mets deux car tu n'es pas à l'abris d'un problème Windows sur un de tes serveurs. C'est tellement crucial l'AD qui vaut mieux en avoir deux.
Si tu en as un qui tombe ça tu en réinstalle un autre de zéro en 15min et c'est tout.
C'est également une recommandation Microsoft.
Sache aussi que maintenant depuis les 2012 tu peux faire du [vrai]cluster DHCP ce qui est ultra pratique.

Par contre je suis quand même étonné (et dans un sens pas tellement) que ton prestataire ne t'ai pas réglé ton problème suite

[Gratiano]

Vu les problèmes, vérifie que les horloges des VMs soient synchro et que la synchronisation du temps entre les VMs et la machine hôte soit désactivée

Notre architecture tourne sur Citrix XenServer. Je ne sais comment régler la synchronisation du temps avec mon contrôleur de temps (je vais faire un tour sur la console XenServer je crois avoir vu un menu correspondant). D'ailleurs comment savoir qu'elle est le serveur de temps de mon domaine ?

A&Nexus merci de toutes ces remarques.

Je vois ce que je peut faire et ferais un retour dès que possible.

[Gratiano]

OK.
La configuration du temps sur les machines Hôtes Citrix a été re-paramétrée.

La configuration TCP/IP des DC a été revue concernant les adresses du serveur DNS de chacun comme recommandé dans le message suivant.

Je pense qu'il faut patienter un moment avant de voir un début de retour à la normal.

J'ai fais des NET TIME et w32tm /QUERY /STATUS pour voir effectivement que tous pointaient sur le bon serveur de Temps.

J'ai lancer des repadmin /showrepl mais les résultats ne sont pas concluant sur l'ensemble des itinéraires interrogés.

[Gratiano]

Bonjour.

Nous avons stoppé l'hémorragie.
Notre contrôleur secondaire, qui ne communique plus avec personne, a été isolé.
Son rôle DHCP n'agit plus sur aucun équipement du domaine.

Nous avons donc décidé de réinstaller un contrôleur secondaire en s'appuyant sur cette procédure :
Integrer un contrôleur secondaire

Puis en y installant le rôle DHCP tout en migrant les infos de notre DC mort en s'appuyant sur cette procédure :
Installation d'un DHCP et migration des bases DHCP

Notre solution est elle la bonne ? Les procédures sont elles valident ?

Maintenant on n'hésite encore si ce nouveau DC sera physique ou virtuel ?

L'opération est planifiée pour Samedi.

[A&Nexus]

Hello,

Tu as bien fait.
Le second DC que tu as éteint, tu le format ou bien tu ne le rallumes plus.

Il faut que tu supprime cet ancien DC dans la console AD (OU DomainControlers) puis partout du DNS ainsi que de la console Sites et Ordinateurs AD.
Profites en si tu es en 2012 d'installer le rôle DHCP sur le DC1 puis d'activer le cluster (beaucoup plus pratique).

J'aime bien avoir un DC physique et virtuel.
Lorsque tu dois tout éteindre tu es bien content de pouvoir allumer le DC physique avant tout le reste.

Bonne migration.

[Gratiano]

Hello,

Tu as bien fait.
Le second DC que tu as éteint, tu le format ou bien tu ne le rallumes plus.

Il faut que tu supprime cet ancien DC dans la console AD (OU DomainControlers) puis partout du DNS ainsi que de la console Sites et Ordinateurs AD.
Profites en si tu es en 2012 d'installer le rôle DHCP sur le DC1 puis d'activer le cluster (beaucoup plus pratique).

J'aime bien avoir un DC physique et virtuel.
Lorsque tu dois tout éteindre tu es bien content de pouvoir allumer le DC physique avant tout le reste.

Bonne migration.

Merci pour ces renseignements.

Peux tu préciser concernant le cluster DHCP ? le DC1, tu parles de mon secondaire que je m'apprête à intégrer ?

Oui il sera en 2012, pour coller avec le Contrôleur Principal, ce qui me demandera d'ailleurs d'élever le Niveau Fonctionnel de ma forêt et de mon domaine, actuellement en 2003.

[A&Nexus]

Tu installe le DHCP sur le serveur actuellement actif.