Bonjour à tous,
 
dites moi, j'ai un problème dans mon archi AD ....
 
--------------------------------------------------------------------------------------------------------------------------------------------------
voila le topo:
 
- 20 sites géographiques
- 1 serveur par site
- chaque serveur est un ESXi 5.5 qui héberge une VM 2008R2 à jour
- chaque VM est AD/DNS/DHCP/DFSR
- chaque site a un sous réseau IP en /24 différent
 
- les sites sont reliés entre eux via MPLS OBS (débit allant de 4Mb à 10Mb suivant le nombre de users)
- pas de surcharge réseau ni interne, ni externe
 
- le site principal (nantes) dispose du DC: un "primaire" physique ayant tous les roles FSMO (confirmé par netdom query fsmo)
--------------------------------------------------------------------------------------------------------------------------------------------------
 
 
--------------------------------------------------------------------------------------------------------------------------------------------------
voila le problème:
 
dans les consoles AD des serveurs, j'ai des event qui reviennent en boucle:
 
- 1865
"la vérification de cohérence des données n'a pas pu former de topologie réseau d'arborescence complète. En conséquence, les sites suivants ne peuvent pas etre atteints à partir du site local."
le site concerné est à roanne
 
- 1566
"tous les serveurs d'annuaire du site suivant qui répliquent la partition d'annuaire via ce transport sont actuellement indisponibles."
le site concerné est à roanne
 
- 1311
"le vérificateur de cohérence des données a détecté des problèmes avec la partition d’annuaire suivante"
la partition concernée est CONFIGURATION
 
--------------------------------------------------------------------------------------------------------------------------------------------------
 
coté conf, chaque serveur a pour DNS principal lui-même et en secondaire le DC n°2 de nantes
coté redirecteur, chaque serveur a pour redirecteur un DNS OBS, puis DNS google, puis DNS opendns
 
 
coté sites et services AD là c'est un peu le bordel....
 
- DC1 et DC2 -> se voient entre eux (généré automatiquement)
- DC1 et DC2 -> voient tous les autres serveurs (ajoutés manuellement)
 
- les autres serveurs -> voient roanne et mions (généré automatiquement)
- les autres serveurs -> voient DC1 et DC2 (ajoutés manuellement)
 
- roanne et mions -> voient DC1 et DC2 (ajouté manuellement)
- roanne et mions -> voient les autres serveurs (généré automatiquement)
 
--------------------------------------------------------------------------------------------------------------------------------------------------
 
 
mes questions:
 
- comment résoudre ces EVENT ?
- pourquoi les sites et services ont été générés de façon si étrange en automatique ?
- y a t'il une bonne pratique pour gérer les sites et services ?
- y a t'il un outil pour vérifier la cohérence de l'AD
 
 
en vous remerciant par avance de l'aide que vous pourrez m'apporter

ne pas faire des liens manuels
faire une topologie de site adaptée
 
ne pas mettre des DC partout

nous avons placé un DC sur chaque site afin d'éviter, en cas de coupure réseau WAN, que les users ne puissent plus se connecter.
et nous ne voulions pas passer par des RODC.
 
je ne comprends pas pourquoi ce sont les sites de mions et roanne qui ont été choisi par l'AD pour les connexions générées automatiquement, ce qui d'ailleurs n'est pas souhaitable car ces sites ne sont pas aussi stables que celui de nantes. (d'où la création manuelle des liaisons sur les autres serveurs)
 
aurais tu une piste pour résoudre ces perturbations avec le site de roanne ?
 
le serveur est bien UP et il n'y a pas de contrainte de blocage de port ou autre. pas de firewall non plus.

même sans DC on peut se connecter
 
parce que tu as mal configuré ta réplication AD
 
là comme ça non

Salut
Change l'ordre des dns sur les serveurs.
en 1 celui de nante et en 2 lui même.
A+

si il change l'ordre des dns et que le wan plante, entre ces sites la, il est marron....
 
Donc de ce coté la pas spécialement une mauvaise practice par rapport a l'archi... Puis voila aussi comment surcharger la bande
 
tien je suis a lyon je veux aller sur google bé je vais contacter le dc de lille voila j'ai ma réponse tu peux aller la bas.... bref pas bon du tout a mon avis ca.....
 
Par contre, tu as à priori un problème de configuration au niveau de la console sites et services en effet....
Tu as bien créer les réseaux correctement?  avec les bonnes assignations ?  
c'est la ou j'ai des doutes !  
une fois ca fait correctement, normalement tu peux positionner tes DCs sans qu'il n'y ait de problème.
Ce problème, tu l'as détecté quand ? suite à quelle manipulation ? il y a pas des soucis de firewall suite à une maj ou une modif ? etc etc
il peut y avoir pas mal de possibilité mais manque un peu d'info la ^^

Bah j'espère qu'il ne va pas sur Google depuis les dc quand même ...
Pour moi utiliser sur un dc, lui même ou un distant en premier est kiffé kiffe; je vois les 2 et ça marche bien. J'ai aussi tendance à préférer le croisé.

dans sites et services j'ai bien:
- l'ensemble de mes sous-réseaux
- l'ensemble de mes sites ayant chacun le defaultipsitelink
 
chaque site a son sous-réseau attribué
chaque site a son serveur attribué
 
 
pour le firewall, il est disable par GPO
 
je vais refaire une passe d'update sur tous les serveurs, des fois que j'ai raté une MAJ (mais là encore c'est via WSUS normalement après phase de validation)

coté conf, chaque serveur a pour DNS principal lui-même et en secondaire le DC n°2 de nantes
 
-> Ca c'est un premier problème de configuration, tu génères du DNS islanding ici
 
coté sites et services AD là c'est un peu le bordel....
 
-> c'est du n'importe quoi. Remets la conf par défaut (full auto) pour commencer
 
Et vérifie la conf réseau/parefeu du site de Roanne après.

si tous tes sites sont dans le default ip site link, c'est donc normal que tes dc parlent entre eux un peu au hasard.
 
si tu veux une topologie où chaque site parle avec un site principal il faut configurer des site link avec les 2 sites à chaque fois (le regional et le hub)

J'ai l'impression que c'est la raison d'être des liens manuels en fait un lien = un site séparé dans la tête du gars qui a mis ça en place

ouais, il a créé les connexions manuellement au lieu de faire ça proprement avec les site links

OK donc concrêtement je dois:
 
- supprimer mes liens créés manuellement
- créer des liens de sites (1 par site, composé de DC1 et du local, ayant un poids inférieur au lien par défaut)
 
c'est ça l'idée ?

et supprimer tous les sites du defaultsitelink

OK j'ai procédé au:
 
- retrait des liens manuels
- création des liens de site avec attribution des participants (tous du type nantes-sitedistant1, nantes-sitedistant2...)
- suppression du defaultipsitelink
 
plus qu'a attendre que ça replique.

des news du front:
 
- DC1 nantes dispose maintenant des connexions en mode "généré automatiquement"
 
- roanne voit uniquement nantes en "généré automatiquement"
 
par contre, étonnament, les autres sites ont DC1 et roanne en généré automatiquement ... -> c'est normal d'apres vous ? (peut être que tout n'a pas fini de répliquer?)

peut être oui, après à voir mais je crois me souvenir qu'il y a toujours 2 connexions mini

Oui je confirme minimum 2 liens créés automatiquement dès que c'est possible. Ca peut monter jusqu'à 5 ou 6 dans de très grandes forêts.

C est la topologie de réplication qui s adapte en fonction du nombre de dc il me semble (pour kcc c est ça toujours .... Pour l istg je suppose que ça repose un peu sur le même principe )