Bonjour,

Je viens sur le forum car j'ai un gros problème avec la réplication de mes contrôleurs de domaine.

Je vous explique la situation :

Contexte :
J'ai 2 sites locaux connectés par IPSec, appelons-les site A et site B.
Dans chaque site j'ai deux contrôleurs de domaine, appelons-les pour le site A DC1 et DC2 et pour le site B DC3 et DC4.
Les 4 contrôleurs sont synchronisés entre eux en inter site et intra site.
Les 2 DC du site A sont virtualisés avec Hyper V.
Les 2 DC du site B sont physiques.
Normalement DC1 est le DC maître.


Problème :
J'ai exécuté un script d'audit de la configuration du domaine sur le DC1 qui était censé s'exécuter en mode audit mais qui a malheureusement apporté de gros changements au domaine. En fait, le script a appliqué les meilleures pratiques de tous les points de contrôle du CIS (ce qui est en fait très bien) mais a eu un impact sur l'activité de l'entreprise. En effet, tous les DC se sont synchronisés avec le DC1 qui a automatiquement répercuté les changements sur les autres DC.


Heureusement, nous avons une sauvegarde extrêmement récente (snapshot) de l'hyper V que nous avons utilisée pour restaurer le DC1. Cependant, lorsque nous démarrons la VM DC1 restaurée, les autres DCs (2,3,4) qui ont les mauvaises modifications les répliquent automatiquement (15 secondes) sur le DC1, de sorte que nous ne pouvons pas restaurer nos contrôleurs de domaine à partir du snapshot DC1.


Afin de trouver une solution, nous avons désactivé la réplication automatique en INBOUND et OUTBOUND sur les DC2,3,4 (repadmin /options DCx +DISABLE_INBOUND_REPL) (repadmin /options DCx +DISABLE_OUTBOUND_REPL) puis restauré le snapshot de la VM DC1 et lancé le DC1. Cela fonctionne parfaitement, le DC1 garde les bonnes modifications (les anciennes, avant l'exécution du script), donc nous voulons maintenant appliquer les paramètres du DC1 sur tous les DCs pour obtenir un domaine homogène.


Nous forçons donc la réplication du DC1 sur les autres DCs avec la commande : Repadmin /syncall DC1 /APed.

Ceci a propagé la bonne configuration du DC1 sur les autres DCs donc c'est parfait.

Cependant, en réactivant la réplication automatique INBOUND et OUTBOUND (repadmin /options DCx -DISABLE_INBOUND_REPL) (repadmin /options DCx -DISABLE_OUTBOUND_REPL) sur les DCs, les mauvaises modifications sont malheureusement réapparues et se sont propagées sur tous les DCs presque immédiatement.


Comment cela est-il possible sachant qu'à un instant "T" les 4 contrôleurs de domaine avaient tous l'ancienne bonne configuration (avant l'exécution du script) ?

Où sont allés les DCs pour obtenir la mauvaise configuration (après l'exécution du script) ?

Comment conserver la bonne configuration sur tous les DCs une fois que nous avons réactivé les réplications en réactivant les INBOUND et OUTBOUND ?


Je vous remercie d'avance pour vos réponses, la situation est assez critique.