modification domaines AD win2k

modification domaines AD win2k - Windows & Software

Marsh Posté le 06-01-2006 à 11:37:44    

Bonjour,
 
J'ai une question concernant les domaines sur les contrôleurs de domaine Windows 2000.
 
1) Etat des lieux:
J'ai 2 contrôleurs à la racine du domaine truc.foo.fr et 9 serveurs enfants xxx.truc.foo.fr.
Tous les contrôleurs sont en win2k avec AD.
 
2) Problème:
Il faudrait sortir un des contrôleurs enfant (machin.truc.foo.fr) du domaine (le passer en .local), sans le rétrograder (il faut garder tous les comptes utilisateurs etc...).
Est-ce que c'est seulement possible, ça? J'ai beau chercher, je ne trouve aucune info à ce sujet et je n'en ai jamais entendu parler.
 
3) Problème supplémentaire:
J'ai un b*rdel monstre dans mon domaine AD: sur les 9 serveurs enfants, 3 ne se répliquent pas et je n'arrive pas à forcer la réplication. Les erreurs annoncées sont diverses (mappeur de point final qui n'a plus de point final disponible, serveur RPC non disponible) mais toujours les mêmes pour chaque serveur qui plante (toto.truc.foo.fr fait toujours une erreur RPC, tata.truc.foo.fr fait toujours une erreur de mappeur de point final). Tant que je n'aurai pas résolu ce problème, je ne peux migrer personne vers 2003 server or c'est le but de la manip. Et comme le serveur qu'il faudrait sortir du domaine est un de ceux qui plante à la réplication AD, si on ne le sort pas proprement du domaine, je serais définitivement coincé non? J'espère que non, mais je crains le pire...
 
En ce qui me concerne, le nec plus ultra serait de résoudre les problèmes de réplication AD et de migrer tout le monde vers 2003 server. Pour ça il faut que je trouve ce qui coince la réplication et là, j'avoue que je sèche...
 
Merci d'avance à ceux qui pourront m'aider.
 
a+
 
rocks

Reply

Marsh Posté le 06-01-2006 à 11:37:44   

Reply

Marsh Posté le 07-01-2006 à 09:18:50    

pour les replic, a verifier :
 
- l'horloge pas identique de partout (un décalage de temps de quelques minutes entre 2 serveurs, et c'est la merde)
- un paramétre de GPO (acceder à cet ordinateur depuis le reseau) mal configuré ...> voir la default domain controler policy (config machine)
- firewall mal configuré (au passage, firewall sur un serveur = mauvaise idée)
 
sinon, je doute fortement que tu puisses sortir ton DC du domaine sans le rétrograder.
une fois, ton probleme de replication résolue, tu peux intégrer un DC supplementaire sur ton domaine enfant et sortir le DC que tu voulais enlever

Message cité 1 fois
Message édité par i'm philou le 07-01-2006 à 09:21:35
Reply

Marsh Posté le 07-01-2006 à 10:54:49    

Salut,
 
Pour l'horloge, normalement tous les serveurs utilisent le même serveur ntp donc ça devrait aller mais je quand même vérifier au cas ou, on ne sait jamais...
 
Pour les GPO, je crains qu'en effet ça puisse être le cas, au moins sur un des serveurs. Mon problème c'est que je suis pas bon en GPO (je suis pas informaticien, j'apprends, mais ça prend du temps...) alors ça risque d'être compliqué (faire un connerie avec les GPO sur un serveur, c'est pas cool).
 
On a pas de firewall sur les serveurs, par contre, il sont dans des vlans différents, par fois avec un routage assez complexe et tous les filtres qui s'en suivent. De ce point de vue là, c'est le bazar en effet, parceque d'une part il manquait un paquet de ports importants dans les acl quand j'ai pris le problème en main et que d'autre part, les ports utilisés sont pas toujours faciles à identifier...
 
Je suis tout à fait d'accord avec ton analyse quant à la sortie du DC du domaine. Va falloir que je persuade l'admin du serveur enfant qu'il ne faut pas qu'il retire avant qu'on ait réglé le problème de replication...
 
Merci beaucoup pour ta réponse :-)

Reply

Marsh Posté le 12-01-2006 à 11:41:04    

i'm philou a écrit :

pour les replic, a verifier :
 
- l'horloge pas identique de partout (un décalage de temps de quelques minutes entre 2 serveurs, et c'est la merde)
 
En effet, j'ai un serveur qui avait été éteint (sympa de la part de l'admin qui l'avait éteint sans me prévenir...) et qui au reboot a un décalage de temps avec le serveur parent. C'est un joli foutoir...
 
- un paramétre de GPO (acceder à cet ordinateur depuis le reseau) mal configuré ...> voir la default domain controler policy (config machine)
- firewall mal configuré (au passage, firewall sur un serveur = mauvaise idée)
 
Heureusement qu'on a pas de firewall sur les serveurs, c'est déjà assez casse-gueule avec les filtres sur les routeurs. J'ai au moins un des trois serveurs qui se réplique dès qu'on vire tous les filtres existants et qui ne se réplique plus dès qu'on les remet. Pourtant on a ouvert tous les ports connus imaginables (42, 53, 135, 389, 443, 445, 1026 et 1054 en TCP, 42, 53, 123, 137, 138 et 389 en UDP) mais rien n'y fait  :heink:
 
sinon, je doute fortement que tu puisses sortir ton DC du domaine sans le rétrograder.
une fois, ton probleme de replication résolue, tu peux intégrer un DC supplementaire sur ton domaine enfant et sortir le DC que tu voulais enlever


Reply

Marsh Posté le 12-01-2006 à 12:54:07    

Citation :

Heureusement qu'on a pas de firewall sur les serveurs, c'est déjà assez casse-gueule avec les filtres sur les routeurs. J'ai au moins un des trois serveurs qui se réplique dès qu'on vire tous les filtres existants et qui ne se réplique plus dès qu'on les remet. Pourtant on a ouvert tous les ports connus imaginables (42, 53, 135, 389, 443, 445, 1026 et 1054 en TCP, 42, 53, 123, 137, 138 et 389 en UDP) mais rien n'y fait :heink:


Outre le retrait des filtres:
Tu peux forcer le port de réplication AD/FRS, dynamique, retourné par RPC (via 135) en statique:http://support.microsoft.com/kb/224196/en-us.
 
Si tu veux te conformer à l'IANA :D

Citation :

You must decide upon a fixed port number for RPC replication. The Internet Assigned Numbers Authority (IANA) has set aside the range 49152 through 65535 for use by private and dynamic assignments

 
A coup de portqry, outre le port statique, tu peux vérifier que les différents ports nécessaires pour une replication AD sont ouverts.

Reply

Marsh Posté le 13-01-2006 à 21:38:11    

Salut dahlo,
 
Merci beaucoup pour ces infos. J'avais cherché des docs sur les ports utilisés pour la réplication AD mais seulement dans les docs de 2000 server, j'aurais dù aller chercher dans les docs de 2003 server...
C'est cool en tout cas, merci  :)  
 
a+
 
Rocks

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed