Discussion :

[mioux]

Bonjour,

Suite à mes différentes erreurs pour promouvoir mon nouveau DC, et transférer les FSMO, j'ai un bug que je ne comprends pas

Soient 2 serveurs :
Le premier HEIMDALL, sous Windows 2012 (non R2) : IP fixe 192.168.0.74
Le deuxième TYR, sous Windows 2012R2 : IP fixe 192.168.0.105

HEIMDALL était notre seul DC, mais suite à un problème de disque dur, nous avons décidé de l'éteindre (et je vous promets que ce "petit" problème de cluster défectueux me prends le choux)
TYR n'était pas présent avant la panne en tant que DC (et n'était même pas sous Windows pour tout dire)

Au vu des problèmes engendrés par HEIMDALL qui devait passer en W2012R2 (parce que l'on s'est trompés en achetant la licence, on avait une version démo de W2012, et on a acheté un 2012R2), il a été décidé de monter un nouveau DC, lui transférer tout les FSMO et couper HEIMDALL

Voici ce que j'ai sur mon nouveau serveur TYR

résultat nltest :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
> nltest /dsgetdc:manymore.dev
           Contrôleur de domaine*: \\HEIMDALL.MANYMORE.DEV
      Adresse*: \\192.168.0.74
     GUID dom*: 9476276d-198d-485e-a2bb-ea831b287864
     Nom dom*: MANYMORE.DEV
  Nom de la forêt*: MANYMORE.DEV
 Nom de site du contrôleur de domaine*: Default-First-Site-Name
Nom de notre site*: Default-First-Site-Name
        Indicateurs*: GC DS LDAP KDC WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE
_SITE FULL_SECRET WS DS_8
La commande a été correctement exécutée

Vérification du DNS du domaine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
> nslookup manymore.dev
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
        primary name server = 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
        responsible mail addr = (root)
        serial  = 0
        refresh = 28800 (8 hours)
        retry   = 7200 (2 hours)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)
Serveur :   UnKnown
Address:  ::1

Nom :    manymore.dev
Addresses:  192.168.0.105
          192.168.0.74

Résultat dcdiag (je vois une erreur "Le test Advertising de TYR a échoué", il recherche les infos sur \\HEIMDALL.MANYMORE.DEV)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
> dcdiag
Diagnostic du serveur d'annuaire

Exécution de l'installation initiale*:
   Tentative de recherche de serveur associé...
   Serveur associé*: TYR
   * Forêt AD identifiée.
   Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

   Test du serveur*: Default-First-Site-Name\TYR
      Démarrage du test*: Connectivity
         ......................... Le test Connectivity
          de TYR a réussi

Exécution des tests principaux

   Test du serveur*: Default-First-Site-Name\TYR
      Démarrage du test*: Advertising
         Avertissement*: DsGetDcName a retourné des informations pour
         \\HEIMDALL.MANYMORE.DEV lors de la tentative d'accès à TYR.
         Le serveur ne répond pas ou n'est pas approprié.
         ......................... Le test Advertising
          de TYR a échoué
      Démarrage du test*: FrsEvent
         ......................... Le test FrsEvent
          de TYR a réussi
      Démarrage du test*: DFSREvent
         Erreurs ou avertissements détectés au cours des dernières 24*heures
         après le partage de SYSVOL. Des problèmes liés à l'échec de la
         réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
         groupe.
         ......................... Le test DFSREvent
          de TYR a échoué
      Démarrage du test*: SysVolCheck
         ......................... Le test SysVolCheck
          de TYR a réussi
      Démarrage du test*: KccEvent
         ......................... Le test KccEvent
          de TYR a réussi
      Démarrage du test*: KnowsOfRoleHolders
         ......................... Le test KnowsOfRoleHolders
          de TYR a réussi
      Démarrage du test*: MachineAccount
         Avertissement*: l'attribut userAccountControl de TYR
         est*0x92000 = ( SERVER_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD | TRUSTED_FOR
_DELEGATION )
         Paramètre par défaut pour un contrôleur de domaine*:
         0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
         Cette situation peut avoir une incidence sur la réplication.
         ......................... Le test MachineAccount
          de TYR a réussi
      Démarrage du test*: NCSecDesc
         ......................... Le test NCSecDesc
          de TYR a réussi
      Démarrage du test*: NetLogons
         Impossible de se connecter au partage NETLOGON. (\\TYR\netlogon)
         [TYR] Une opération net use ou LsaPolicy a échoué avec l'erreur 67,
         Nom de réseau introuvable..
         ......................... Le test NetLogons
          de TYR a échoué
      Démarrage du test*: ObjectsReplicated
         ......................... Le test ObjectsReplicated
          de TYR a réussi
      Démarrage du test*: Replications
         [Vérification des réplications, TYR] DsReplicaGetInfo(PENDING_OPS,
         NULL) a échoué*; erreur 0x2105
         «*L'accès à la réplication a été refusé.*»
         ......................... Le test Replications
          de TYR a échoué
      Démarrage du test*: RidManager
         ......................... Le test RidManager
          de TYR a réussi
      Démarrage du test*: Services
            Impossible d'ouvrir le service NTDS sur TYR*; erreur 0x5
            «*Accès refusé.*»
         ......................... Le test Services
          de TYR a échoué
      Démarrage du test*: SystemLog
         ......................... Le test SystemLog
          de TYR a réussi
      Démarrage du test*: VerifyReferences
         ......................... Le test VerifyReferences
          de TYR a réussi


   Exécution de tests de partitions sur ForestDnsZones
      Démarrage du test*: CheckSDRefDom
         ......................... Le test CheckSDRefDom
          de ForestDnsZones a réussi
      Démarrage du test*: CrossRefValidation
         ......................... Le test CrossRefValidation
          de ForestDnsZones a réussi

   Exécution de tests de partitions sur DomainDnsZones
      Démarrage du test*: CheckSDRefDom
         ......................... Le test CheckSDRefDom
          de DomainDnsZones a réussi
      Démarrage du test*: CrossRefValidation
         ......................... Le test CrossRefValidation
          de DomainDnsZones a réussi

   Exécution de tests de partitions sur Schema
      Démarrage du test*: CheckSDRefDom
         ......................... Le test CheckSDRefDom
          de Schema a réussi
      Démarrage du test*: CrossRefValidation
         ......................... Le test CrossRefValidation
          de Schema a réussi

   Exécution de tests de partitions sur Configuration
      Démarrage du test*: CheckSDRefDom
         ......................... Le test CheckSDRefDom
          de Configuration a réussi
      Démarrage du test*: CrossRefValidation
         ......................... Le test CrossRefValidation
          de Configuration a réussi

   Exécution de tests de partitions sur MANYMORE
      Démarrage du test*: CheckSDRefDom
         ......................... Le test CheckSDRefDom
          de MANYMORE a réussi
      Démarrage du test*: CrossRefValidation
         ......................... Le test CrossRefValidation
          de MANYMORE a réussi

   Exécution de tests d'entreprise sur MANYMORE.DEV
      Démarrage du test*: LocatorCheck
         Avertissement*: l'appel DcGetDcName(TIME_SERVER) a échoué*; erreur
         1355
         Serveur de temps introuvable.
         Le serveur contenant le rôle PDC ne fonctionne pas.
         Avertissement*: l'appel DcGetDcName(GOOD_TIME_SERVER_PREFERRED) a
         échoué*; erreur 1355
         Serveur de temps introuvable.
         ......................... Le test LocatorCheck
          de MANYMORE.DEV a échoué
      Démarrage du test*: Intersite
         ......................... Le test Intersite
          de MANYMORE.DEV a réussi

Vérification des FSMO :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
> netdom query fsmo
Contrôleur de schéma        TYR.MANYMORE.DEV
Maître des noms de domaine  TYR.MANYMORE.DEV
Contrôleur domaine princip. TYR.MANYMORE.DEV
Gestionnaire du pool RID    TYR.MANYMORE.DEV
Maître d'infrastructure     TYR.MANYMORE.DEV
L'opération s'est bien déroulée.

Si j'ai le malheur d'éteindre HEIMDALL, je me retrouve avec un "le domaine n'existe pas ou n'est pas accessible". Idem si j'essaie de le décomissioner.

J'avais pensé virer toute occurrence de heimdall dans les paramètres du DNS (tout ce qu'il y a dans _msdsc.* et son nom dans la recherche directe également), le virer manuellement de l'AD, et le virer des sites et services active directory, mais j'ai peur de faire plus de mal que de bien...

Je préfèrerais arriver à le décomissionner correctement, le supprimer du domaine correctement, et remplacer le disque et en faire un serveur de backup.

Une idée pour m'aider ?

Merci

[A&Nexus]

Bonjour,

Je comprends pas trop tu as décidé de l'éteindre et c'est quand tu l’éteins que tu as des problèmes.
Il faudrait retirer les rôles AD,DNS de HEIMDALL avant de l'éteindre ou de changer sa fonction.

Tu peux faire un ipconfig /all des deux DC ?

Par contre le dcdiag il te sort un peu plus qu'une seule erreur.
Si le DCDIAG ne le trouve pas c'est peut être parce qu'il est éteint ?

Si tu ne veux pas de problème lorsque tu éteins ton serveur il faut enlever le rôle AD avant.


Un bon lien une fois que le rôle est enlevé pour faire le ménage:
http://www.msserverpro.com/metadata-...erver-2008-r2/

[mioux]

Bonjour

Je comprends pas trop tu as décidé de l'éteindre et c'est quand tu l’éteins que tu as des problèmes.
Il faudrait retirer les rôles AD,DNS de HEIMDALL avant de l'éteindre ou de changer sa fonction.

Oui c'est bien ça. Dès qu'il est éteint, je ne trouve plus le domaine. Et quand j'essaie de retirer le rôle AD, j'ai les écrans suivants :




Et si je coche "Supprimer cette zone DNS", au moment de la suppression, j'ai un message "Le domaine n'existe pas ou ne peut être contacté." (j'ai tenté, car vu les problèmes de disque, et de redémarrages intempestifs, je me suis dit que peut-être il pensait qu'il n'y avait que lui en DNS).

Tu peux faire un ipconfig /all des deux DC ?

Je peux

Heimdall :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : HEIMDALL
   Suffixe DNS principal . . . . . . : MANYMORE.DEV
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: MANYMORE.DEV

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Broadcom NetLink (TM) Gigabit Ethern
et
   Adresse physique . . . . . . . . . . . : 84-2B-2B-A3-8D-10
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::35af:b476:fa6b:f4%12(préféré)

   Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.74(préféré)
   Masque de sous-réseau. . . .*. . . . . : 255.255.255.0
   Passerelle par défaut. . . .*. . . . . : 192.168.0.254
   IAID DHCPv6 . . . . . . . . . . . : 260320043
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1F-0D-90-7E-84-2B-2B-A3-8D
-10
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.0.105
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{D05F98D7-D865-4994-9B25-994F44DA93A4} :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::5efe:192.168.0.74%14(préféré)

   Passerelle par défaut. . . .*. . . . . :
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.0.105
   NetBIOS sur TCPIP. . . . . . . . . . . : Désactivé

TYR :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
>ipconfig /all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : TYR
   Suffixe DNS principal . . . . . . : MANYMORE.DEV
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: MANYMORE.DEV

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Broadcom NetLink (TM) Gigabit Ethern
et
   Adresse physique . . . . . . . . . . . : 84-2B-2B-9A-04-36
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::c77:9962:e50a:5f44%12(préféré)

   Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.105(préféré)
   Masque de sous-réseau. . . .*. . . . . : 255.255.255.0
   Passerelle par défaut. . . .*. . . . . : 192.168.0.254
   IAID DHCPv6 . . . . . . . . . . . : 310651691
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1F-BD-C1-77-84-2B-2B-9A-04
-36
   Serveurs DNS. . .  . . . . . . . . . . : ::1
                                       127.0.0.1
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{73E88A00-63DE-416E-82CB-E5D0CCAF717F} :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::5efe:192.168.0.105%14(préféré)

   Passerelle par défaut. . . .*. . . . . :
   IAID DHCPv6 . . . . . . . . . . . : 385875968
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1F-BD-C1-77-84-2B-2B-9A-04
-36
   Serveurs DNS. . .  . . . . . . . . . . : ::1
                                       127.0.0.1
   NetBIOS sur TCPIP. . . . . . . . . . . : Désactivé

Carte Tunnel Teredo Tunneling Pseudo-Interface :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

Par contre le dcdiag il te sort un peu plus qu'une seule erreur.
Si le DCDIAG ne le trouve pas c'est peut être parce qu'il est éteint ?

Le dcdiag a été lancé avec HEIMDALL allumé (il est toujours allumé, je ne l'éteind que temporairement le temps de vérifier que mon domaine fonctionne s'il est éteint).

Si tu ne veux pas de problème lorsque tu éteins ton serveur il faut enlever le rôle AD avant.

C'est exactement ce que je cherche à faire

Un bon lien une fois que le rôle est enlevé pour faire le ménage:
http://www.msserverpro.com/metadata-...erver-2008-r2/

Je note, j'ai l'impression que ça pourrait aussi forcer le retrait du serveur aussi, non ?

[A&Nexus]

Déjà dans un premier temps change le DNS sur l'AD HEIMDALL pour qu'il pointe sur lui-même.
Ensuite tu le redémarre.

Un DC pointe toujours sur lui même.

Après tu regardes dans l'obeservateur d'évènements et le dcdiag voir si quelque chose ne va pas.

Mais pour te rassurer si ça commence à être compliqué tu peux tout à fait forcer la suppression et faire ensuite le ménage sur ton nouvel AD pour enlever toutes les traces de l'ancien.


A bien vérifier également que tes clients aient que ton nouvel AD en DNS.

P.S : Pour la licence 2012 c'est normal. La 2012R2 te permet d'installer des serveurs 2012 (elle permet de rétrograder). Mais tu auras moins d'embêtement avec des 2012R2.

[mioux]

Dans mon setup initial, il était bien avec le DNS 127.0.0.1

Je viens de lire qu'avec IPV6 activé sur un réseau V4, il y avait pas mal de problème, j'ai donc désactivé le protocole IPV6, mais ce n'est pas mieux...

J'ai tenté en ligne de commande, j'ai ce message :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
PS C:\Windows\system32> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole -RemoveApplicationPartitions
-Verbose | Format-Table -wrap
LocalAdministratorPassword: *********
Confirmer LocalAdministratorPassword: *********
COMMENTAIRES*: Installation des services de domaine Active Directory
COMMENTAIRES*: Validation de l’environnement et des paramètres...

Message                       Context                                      RebootRequired                        Status
-------                       -------                                      --------------                        ------
Échec de la vérification des  Test.VerifyDcPromoCore.DCProm                         False                         Error
conditions préalables pour    o.General.50
la promotion du contrôleur
de domaine. Vous avez
indiqué que ce contrôleur de
domaine Active Directory
n’est pas le dernier du
domaine « MANYMORE.DEV ».
Aucun autre contrôleur de ce
domaine ne peut toutefois
être contacté. Si vous
continuez, toutes les
modifications apportées au
contrôleur par les services
de domaine Active Directory
seront perdues. Pour
poursuivre néanmoins,
indiquez l’option «
IgnoreLastDCInDomainMismatch
».

J'ai l'impression que HEIMDALL n'arrive pas à voir TYR comme contrôleur de domaine...

[A&Nexus]

Tu es sur que c'est la même zone AD des deux côtés ?
T'aurais pas fait une nouvelle zone AD en créant le nouveau contrôleur ?

Si tu fais "netdom query dc" et "netdom query fsmo" "netdom query gc"


Sinon faut faire dans les règles dans ce genre des cas.
Avoir un seul AD c'est plus simple à réparer et à investiguer.
L'ancien a l'air d'être plus solide que le nouveau on depromote le nouveau.

Et si c'est ton nouveau qui est éteint il se passe quoi ?

Dans le DHCP ou sur tes serveurs tu as bien tes deux DC dans la conf DNS ?

Que donnes (commande avec les droits admin) :
- repadmin /showrepl
- repadmin /replsummary

Dans les deux tu vérifie que tes zones domaine.local et _mstsc.domaine.local aient tous les enregistrements nécessaires. S'il en manque tu les rajoutes (j'ai eu un problème comme ça hier chez un client).

[mioux]

Mon premier est en train de me lâcher sévère... Par hasard je viens de contrôler le serveur DNS...

«Désolé, le serveur Dns n'est pas disponible dans Active Directory, ou le fichier est endommagé.» (ce n'est pas le message exact, j'ai fini par aller me coucher...)

Heureusement ma zone DNS était encore présente sur le niveau serveur, j'ai suivi une procédure trouvée sur le site de Microsoft pour récupérer la zone, à savoir basculer mon deuxième serveur dns en primaire (ce qui était étrangement déjà le cas ???), exporter la zone, la réintégrer dans le premier serveur, et là malheureusement, j'ai une erreur...