Crash controleur de domaine 2000

Crash controleur de domaine 2000 - Windows & Software

Marsh Posté le 13-01-2006 à 13:51:13    

Bonjour à tous,
 
Un de nos controleur de domaine a laché. Le disque dur est mort.
 
Que dois je exactement faire sans rien oublier ?
 
Dans un premier temps, je vais prendre les roles FSMO sur un autre controleur avec NTDSUTIL.
 
Et apres que dois je faire au niveau d'AD ? Est ce que je peux réinstaller la machine avec un autre disque et restaurer la sauvegarde (je devrais en avoir une récente) ?
 
Merci d'avance à vous tous !

Reply

Marsh Posté le 13-01-2006 à 13:51:13   

Reply

Marsh Posté le 13-01-2006 à 14:52:03    

Bon j'ai pris les roles grace à NTDSUTIL mais je voudrais pas me manquer pour le reste...

Reply

Marsh Posté le 13-01-2006 à 16:10:29    

tu dois faire un nettoyage de l'ad avec ntdsutil

Reply

Marsh Posté le 13-01-2006 à 17:18:15    

Pourquoi nettoyer AD si il restaure sa sauvegarde ?
 
Je suppose que dans ta sauvegarde tu as le système et les dossiers de AD et que tu as utilisé un logiciel de sauvegarde récent (c'est à dire capable de backuper AD et l'état du système).
 
Change le HD, réinstalle un windows (si ton logiciel de backup n'a pas un agent "disaster recovery" pemrettant de lire directement la sauvegarde), redescend ta sauvegarde, reboot le serveur et ca devrait être bon.

Reply

Marsh Posté le 14-01-2006 à 17:21:05    

Merci pour vos réponses.
Le backup a été fait avec NTbackup.
 
J'ai lu chez microsoft qu'il fallait faire une restauration non-authoritative. Pouvez vous me dire pourquoi ?

Reply

Marsh Posté le 14-01-2006 à 22:03:24    

parce que si tu fais une resto authoritative, l'AD que tu vas restaurer va écraser ton AD actuel.
la resto authoritative sert à revenir en arriere suite par exemple, à un mauvaise manip sur l'AD, ce qui n'est pas ton cas


Message édité par i'm philou le 14-01-2006 à 22:04:16
Reply

Marsh Posté le 15-01-2006 à 09:37:08    

Ah ok je comprends mieux.
Merci beaucoup ;)
 
Je vais tenter ça demain matin. :)

Reply

Marsh Posté le 15-01-2006 à 12:06:41    

magnancc51 a écrit :

Bon j'ai pris les roles grace à NTDSUTIL mais je voudrais pas me manquer pour le reste...


Dans ce cas,  :non: , pas de restauration possible!
 
Ta sauvegarde contient le System State donc les rôles que tenait ce défunt DC.  
Si tu restaures, quel que soit le mode, autoritaire ou non autoritaire, ton domaine/forêt se retrouveront avec des rôles en double, ce qui laisse présager pas mal de dysfonctionnements et de dégâts  :ouch:  
Avant de promouvoir le serveur réparé, applique la procédure comme si c'était une rétrogradation en échec suivant la procédure présentée ici... sans oublier les *prep si domaine 2k3.
 
Une restauration à partir d'une sauvegarde, par l'outil NTbackup, est toujours non-autoritaire. C'est à dire; qu'après reboot en mode normal, les données d’AD restaurées:

  • Restent en l'état si c'est un poor alone DC. (on perd toutes les modifications apportées depuis la sauvegarde.)
  • Sont mises à jour, par le biais de la réplication, par le(s) autre(s) DC (partenaire(s) de réplication). (On récupère les modifications apportées depuis la sauvegarde)


non-autoritaire -> autoritaire
Après restauration d'une sauvegarde, avant reboot mode normal, reboot en mode restauration d'AD.
Par le biais de l'utilisation de ntdsutil on rend tout ou partie de la base de données d'AD non-autoritaire en autoritaire -> incrément des numéros de version de tous les enregistrements ou ceux désignés.  
A partir de là, lorsque le DC reboot en mode normal, par le biais de la réplication, tous les enregistrements, dont le numéro de version a été augmenté: de la valeur fournie * nombre de jours écoulés depuis la sauvegarde (verinc) ou automatiquement (verinc) d'une valeur par défaut (100 000), écraseront ceux des partenaires de réplication (On récupère, ainsi, les objets modifiés/supprimés à partir de la sauvegarde)  
 
Dans ton cas, la méthode qu'il aurait fallu appliquer, est celle exposée par Requin avec les restrictions relatives au disque (taille,  %WinDir%...), mais sans seize des rôles, sous réserves de réactivité sinon, gel de la prod.
Comme le seize a eu lieu, considère que le DC réparé comme nouveau.

Reply

Marsh Posté le 15-01-2006 à 14:26:56    

Merci beaucoup dahlo !!
Heureusement que tu m'as dit ça car j'aurais visiblement fait une grave erreur lundi matin ...  :ange:  
 
Ton explication est bien faite et je t'en remercie. Toutefois, j'ai peut de ne pas avoir bien saisit la manip  [:jean-guitou]  
 
Dois je donc faire comme si je n'avais pas de sauvegarde ?  
Sur le lien que tu me donnes, ils parlent du metada cleanup... Cette opération va donc supprimer toutes les infos dans l'AD de mon DC ?!  
 
Juste à savoir, ce DC est juste controleur de domaine. Il n'héberge aucun service bien important (à part serveur WINS), pas d'exchange ni autre.  
Le seul truc qu'il faut, c'est que le controleur que je vais remettre (que ce soit cette machine ou une autre), doit avoir le même nom.  
En effet, nous faisons parti d'un assez grande foret (domaine enfant). Nous ne gérons pas le DNS, qui est en partie sous UNIX et une autre sous windows...
 
A la limite, je peux me passer de la sauvegarde si c'est moins contraignant :/

Reply

Marsh Posté le 15-01-2006 à 23:25:39    

effectivement, tu as déjà récupéré les roles, donc, la restau, c'est pas la bonne solution.
tu dois supprimer les infos du DC perdu avec ntdsutil puis formater et remonter ton DC (tu peux remettre le même nom) puis redistribuer les roles si nécessaire.


Message édité par i'm philou le 15-01-2006 à 23:31:19
Reply

Marsh Posté le 15-01-2006 à 23:25:39   

Reply

Marsh Posté le 16-01-2006 à 07:54:25    

Merci beaucoup à vous tous !!
 
Je suis en train de faire ça, je vous tiens au courant ;)

Reply

Marsh Posté le 16-01-2006 à 11:21:11    

Bon, j'ai un petit problème ...
 
J'ai réinstallé la machine. J'en profite pour la passer en DC2003.
 
J'ai fait un nettoyage de l'AD avec metada cleanup comme indiquait sur ce lien:
http://support.microsoft.com/?id=216498
 
Tout s'est visiblement bien passé.
 
Je me suis ensuite servi de ADSIEdit comme expliqué aussi.
 
Le DC était serveur DNS. J'ai donc supprimé dans l'onglet Serveur de Noms dans la console DNS son nom.
 
 
Donc visiblement, toutes les manips se sont bien passées.
 
Cependant, lorsque je veux promouvoir ma machine en DC avec DCPROMO, j'ai ce message d'erreur:
 

Code :
  1. Error Joining domain:
  2. The attempt to join this computer to the xxxxxx domain failed.
  3. "The specified user already exists"


 
J'ai regardé dans les consoles Users & Computers AD et Sites et Services, il n'y a plus de références à ce DC...
 
J'espère que vous pourrez m'aider, merci.

Reply

Marsh Posté le 16-01-2006 à 11:46:47    

magnancc51 a écrit :


Dois je donc faire comme si je n'avais pas de sauvegarde ? OUI
Sur le lien que tu me donnes, ils parlent du metada cleanup... Cette opération va donc supprimer toutes les infos dans l'AD de mon DC ?!  
NON pas toutes, supprimera que les infos relatives au DC en panne que tu auras sélectionné sous ntdsutil... select server N°.
Le seul truc qu'il faut, c'est que le controleur que je vais remettre (que ce soit cette machine ou une autre), doit avoir le même nom. Dans ce cas, tu peux t'arrêter après l'étape 17 du lien de mon précédent post (cname) point n'est besoin d'aller dans les snap-in Sites et Services AD ni Utilis et Ords AD ou Adsiedit pour supprimer les objet du défunt DC.
 


Notes:
- Si dans sites et services, il existe une liaison de réplication n'appartenant pas à KCC, dans laquelle le défunt DC est partenaire -> il faut supprimer la liaison (KCC ne s'en occupera pas).
- Après suppression de l'objet (1 à 16 de la procédure ntdsutil), avec les précautions d'usage sur l'activité réseau, une petite réplication soit par la console SSAD ou un repadmin /syns/force.
- Pour ce qui est de Wins, cela dépend des modifs wins et clients apportées depuis le crash et savoir si tu veux remettre Wins? En général, pour éviter que des inscriptions appartenant à l'ancien serveur wins (ton défunt DC) continuent à se répliquer entre partenaires wins, il faut appliquer une procédure consistant à supprimer ces enregistrements (propriétaire) en blocant leurs réplications sur les partenaires WINS.
- Pour ce qui est de DNS, la question à se poser est: qui fait autorité sur la zone?
Si c'est un DNS n'acceptant pas le DDNS, avant de promouvoir le DC réparé, il faut agir sur le registre: là... et après dcpromo, récupérer le fichier netlogon.dns pour apporter les modifs nécessaires (mano) dans le DNS ne supportant pas les enregistrements dynamiques (Si, si ça existe encore!). Après promo, un nslookup, >set q=srv, >_ldap._tcp.dc_msdcs.<Monfils.Dudomaine.com> devrait te conforter sur l'inscription des services de ton DC réparé, promu, auprès du DNS faisant autorité.
...
 
Bon courage!


Message édité par dahlo le 16-01-2006 à 11:49:06
Reply

Marsh Posté le 16-01-2006 à 11:52:10    

Arg! le temps de l'édition 25 min  :heink:  
Force une réplique et essaie...

Reply

Marsh Posté le 16-01-2006 à 12:13:53    

dahlo => Je te remercie vraiment énormément pour tout le temps que tu as prit pour m'aider !!
 
 
J'ai enfin trouvé ce qu'il y avait. Le controleur sur lequel je me suis connecté pour le metada cleanup ne parvenait plus à se répliquer.
Après quelques recherches, je me suis apperçut qu'il était client DNS du DC qui a crashé... J'ai corrigé l'adresse et ai mis un autre serveur DNS puis la réplication a pu avoir lieu :)
 
J'ai retenté un DCPROMO et ça a marché :)
 
Je suis en train de vérifier maintenant que tout marche correctement.
 
Y a t il une chose en particulier à vérifier ?  
 
PS: Vraiment, encore un gros merci dahlo !!!

Reply

Marsh Posté le 16-01-2006 à 12:44:47    

Tout semble bien fonctionner.
Merci à vous tous :)

Reply

Marsh Posté le 16-01-2006 à 13:06:14    

Cool !  :)  
-Tu t'en sors bien. La prochaine fois balance toutes les infos en une passe parce que là on est parti d'un DC 2000 crashé, seizé. Apprendre après qu'il était aussi WINS avec un DNS de sais pas qui? et enfin qu'il était aussi DNS (intégré ou pas?) avec en final un DC 2k3. Enfin...
- Sinon, vérifs d'usages, *diag, config serveur DHCP, l'histoire des enregistrements wins proprio ...
- Et pas de seize hein! sinon avec les implications maitrisées. Par exemple, si maintenant c'est au moins un dom 2k3 SP1 et que le prob se reproduit! alors tu pourras (pas vérifié) faire une resto nonautoritaire même avec les rôles pris car depuis 2k3 SP1:

Citation :

La cessation est requise lorsqu'un serveur qui détient un rôle connaît une défaillance et que vous ne prévoyez pas de le restaurer. Même dans le cas d'un serveur récupéré à partir d'une sauvegarde, le serveur ne considère pas qu'il possède un rôle (même si la bande de sauvegarde l'indique), car il ne peut pas déterminer si le rôle a été légitimement transféré à un autre serveur au cours de la période entre la sauvegarde et la récupération du serveur. Le serveur restauré considère qu'il détient le rôle uniquement si un quorum de serveurs existants est disponible au cours de la récupération et qu'ils sont tous d'accord pour affirmer que le serveur restauré est toujours détenteur du rôle


C'est ti pas beau!
 
La facture, je l'adresse à qui ? :lol:  Bonne continuation!

Reply

Marsh Posté le 16-01-2006 à 14:19:03    

Désolé pour les explications...  :sweat:  
 
Pour le DNS, nous sommes dans une architecture très spéciale... Tellement que je n'arrive pas à comprendre. Il y a à la base des serveurs DNS Unix.  
Lors de la conception de la forêt, les serveurs DNS windows ont été créés avec des zones primaires puis reconfigurés dans les temps en zone AD.  
Tout un gros bordel pour faire cohabiter un parc hétérogène de machines Windows et Unix. De plus, je ne gère pas le DNS donc...
 
Pour le DC finalement en 2003, spa ma faute  :ange:  
Je commence ce matin à réinstaller la machine en 2000 vers 7h30. A 8h30, mon responsable arrive et me dit qu'il est possible d'acheter un licence 2003 donc... [:spamafote]
 
D'ici quelques temps, quand je serai sûr qu'il n'y a pas de problème avec ce nouveau DC et sur le domaine, j'enlèverai le DC 2000 et passerai en natif 2003 :)
 
Je vais tout de même faire les *diag mais tout à l'air correct.
Merci à vous tous pour votre aide. Vous m'avez sorti d'une sacrée galère.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed