Dissocié multi maitres AD [WinServer] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 17-07-2012 à 12:40:47
Et a quel moment dois je redefinir le maitre d'opération qui est actuellement l'AD1 ?
J'aimerai donc qu'a terme les 2 soit maitre d'opération vu qu'ils seront séparés
edit : et cette opération peut elle se faire depuis l'AD2 alors que l'AD1 est offline ?
Marsh Posté le 17-07-2012 à 13:28:50
micky78 a écrit : |
Mais quel est l'intérêt de cette chose ? Quel est ton besoin ? Car à part une scission d'entreprises je ne vois pas.
Marsh Posté le 17-07-2012 à 13:43:39
ReplyMarsh Posté le 17-07-2012 à 13:46:01
J ai lu que transférer le role de maitre d'opération pouvait se faire alors que le MO est offline (en cas de gros crash par exemple) mais qu il fallait ensuite a tout prix éviter que ce DC réapparaisse ensuite dans l'AD pour éviter de gros problèmes (je pense qu en supprimant les réplications dans les Sites AD on évitera ce problème)
Marsh Posté le 17-07-2012 à 13:49:13
Voici le schéma que je me suis fait dans la tête pour l'opération :
-Suppression des tranches horaires de réplication inter sites
-Suppression du 2eme site dans chaque site respectivement (et du subnet)
-Sur l'AD2 passage en maitre d'opérations pour les 5 FSMO (normalement cela ne devrait pas impacter l'AD1 puisque la connexion inter site sera effacée?!)
-Suppression des transferts de zone DNS et des zones de recherches inversées respectives
-Nettoyage manuel des enregistrements DNS afin d'épurer les serveurs DNS
Qu'en pensez vous ?
edit : sachant qu au niveau des DHCP j'ai déjà virer les seconds serveurs DNS que j'avais mis en backup au cas où (ainsi que de la config TCP/IP des connexions LAN)
edit 2 : J ai oublié de préciser que le VPN sera maintenu pendant quelques temps (condition non négociable) donc les 2 machines en questions auront toujours la possibilité de communiquer .. je ne sais pas si c'est un avantage (transfert des maitres d'opération plus simples car communication possible .. même si le lien inter site est supprimé) ou un inconvénient (cas critique ou l'AD1 pourrait se retrouver a nouveau visible par l'AD2 et soucis éventuels que j'évoquais)
Marsh Posté le 17-07-2012 à 14:09:26
Oublie ça, ce dont tu as besoin c'est une migration inter-forêt.
Marsh Posté le 17-07-2012 à 14:23:33
Pourquoi tu me conseilles d oublier ?
Dans le cas d une migration inter foret, sur le second site j'imagine que l on va devoir recreer une session sur tous les workstations ?
Marsh Posté le 17-07-2012 à 16:05:27
C'est du grand n'importe quoi tout ça.
Le mieux étant effectivement de faire une migration inter forêt.
Utilises ADMT pour migrer d'une forêt à l'autre les différents objets que tu souhaites conserver.
Marsh Posté le 17-07-2012 à 16:16:17
Mais j'ai besoin sur les 2 sites de conserver le domaine actuel car sinon cela va impliquer le reparamétrage de l’authentification de notre ERP qui est basé sur notre AD
Marsh Posté le 17-07-2012 à 16:35:47
micky78 a écrit : Mais j'ai besoin sur les 2 sites de conserver le domaine actuel car sinon cela va impliquer le reparamétrage de l’authentification de notre ERP qui est basé sur notre AD |
Malheureusement c'est toujours un passage obligatoire de devoir reconfigurer les applications lié à l'AD.
Maintenant et même si c'est pas recommandé tu peux essayer de remonter ton AD à partir d'un backup de ton site sur le site distant en offline.
Si tu as le même hardware ça pourrait le faire.
Marsh Posté le 17-07-2012 à 17:27:40
ReplyMarsh Posté le 17-07-2012 à 19:17:02
Bah si les 2 sociétés se séparent, ya bien un côté qui n'aura plus accès à l'ERP donc byebye
Marsh Posté le 17-07-2012 à 20:46:21
Je@nb a écrit : Bah si les 2 sociétés se séparent, ya bien un côté qui n'aura plus accès à l'ERP donc byebye |
Il veut simplement garder le même AD en simulant un crash d'un des 2 DCs de chaque coté et passer en primary DC le contrôleur restant de chaque coté. Effectivement pour son ERP ça peut poser problème tout comme l'ensemble des enregistrements à nettoyer,forcer Le transfert des rôles , mettre à jour l'adressage, nettoyer les metadata, DHCP à mettre à jour ainsi que le DNS etc...
Je ne ferai jamais cette méthode avec de la production vu le délai de mise en arrêt nécessaire à cette manipulation. Maintenant si il veut s'y risquer faudra pas se plaindre si ça merde par la suite .
Un recovery BareMetal sur le site distant de son primary DC en offline, c'est moins risquer , il garde son AD et peux tester sa migration sans toucher à la production.
Ne jamais faire des migrations de la production directement sans avoir tester au préalablement . Pour cela on utilise le plus souvent une VM en secondary DC ça permet d'exporter la machine dans un minilab isolé afin de tester les manipulations de migration.
Marsh Posté le 18-07-2012 à 09:17:11
statoon54 a écrit : |
C'est aussi bien le fond que la forme qui pose problème.
Pour ajouter une forêt ou en dissocier une en deux différentes on ne met pas en place des bidouillages à base de sauvegarde/restaurations ou de crash de DC
Marsh Posté le 18-07-2012 à 09:51:39
statoon54 a écrit : |
Non mais t'inquiète hein, j'ai bien compris ce qu'il veut faire et non ça se fait pas.
Au pire comme tu dis tu fais un snapshot de l'environnement et tu l'exportes et l'isole mais dans aucun cas il faut qu'il y ait communication future.
Dans tous les cas qd il y a une cission il y a du boulot et ça doit passer par des refonte d'annuaire pour l'instant.
Marsh Posté le 18-07-2012 à 10:48:12
Je@nb a écrit : Bah si les 2 sociétés se séparent, ya bien un côté qui n'aura plus accès à l'ERP donc byebye |
Non non les 2 utiliseront le même ERP justement (en cloud .. avec un serveur différent et chaque serveur sera interfacé avec un des deux AD .. mais le truc ce qu'on aimerait simplement déployer une copie de la VM actuelle et donc garder le même AD des 2 côtés afin de ne pas avoir a refaire l interfacage ERP/AD)
statoon54 a écrit : |
En fait j'ai du mal a comprendre en quoi l'arrêt de prod sera plus long .. si ça marche .. c'est la méthode la plus rapide
Si ca déconne .. derriere suffit de désinstaller l'AD et le DNS et de repartir sur une installe propre des deux .. ensuite j importe les objets que j aurai au préalable exporter .. qu'est ce que je gagnerai en temps a faire directement une migration inter foret ?
Je@nb a écrit : |
Pour éviter toute communication future j'ai aussi pensé au fait de simplement empêcher la communication des 2 serveurs via le VPN tant que celui ci reste en place (nécessaire pour d'autres appli)
Marsh Posté le 18-07-2012 à 10:58:42
Pour la restauration d environnement, les 2 systemes sont différents, aussi bien d un point de vue matériel que logiciel (2K3 vs 2K8)
Par contre puis je utiliser la sauvegarde "état du systeme" de backup exec de l'AD 1 vers l'AD 2 ?
Marsh Posté le 18-07-2012 à 12:15:34
Tu fais une cission mais tu partages l'ERP ?
Non mais même faut pas être déconnant ton truc ça se fait pas ou ta rien compris au concept d'AD.
Tu as 3 choix :
- Repartir de 0 sur un site
- Faire une migration interforêt
- Ne pas faire de migration et gérer les 2 dans le même AD
Dans tous les cas tu as du boulot et c'est normal mais ton truc c'est la merde assurée
Marsh Posté le 18-07-2012 à 12:34:39
D'ailleurs ça me fait penser a un truc
Si je coupe simplement la com entre les 2 serveurs sans rien toucher, à part avoir des messages d'erreur dans le journal du type qu un des DC est injoignable .. qu est ce que je risque ?
Puisqu en multi maitre ils peuvent tres bien fonctionner de manière autonome
Marsh Posté le 18-07-2012 à 14:41:01
tu pourras pas modifier les mdp (users et computers) puisque le pdc sera injoignable pour un des sites.
Marsh Posté le 19-07-2012 à 07:55:02
A noter que si tu te lance dans cette conneries tu aura 2 AD qui ont les mêmes SID de domaine et idem pour les objets AD.
Tu ne pourra jamais faire fonctionner d'approbation entre les 2 domaines ou vers un même autre domaine, et tu risque entre autre des pb de sécurité et cela c'est juste le minimum si tu ne fais pas d'erreur supplémentaire (donc bonne maitrise pour nettoyer proprement les AD après la sission)
Si tu n'es pas patron de la boite et au vue de ton manque de maitrise de l'AD (sinon tu n'aurais pas posé la question), tu risques de devoir faire appel à un extérieur pour t'en sortir et qui lui ne te loupera pas pour gagner un client de plus en infogérance.
Il y a quelques années lorsque j'étais en SSII j'ai récupéré quelques clients grace a ce genre de mauvaise idée. Quoi que dans ma position i l'idée était bonne car j'ai vendu des heures de boulots et récupéré un client.
Micky78 : ce que tu risques ? Finir à l'ANPE, quand la boite ne tournera plus, car si ton patron demande l'avis sur la méthode que tu as utilisé à un prestataire, il ne te loupera pas.
Marsh Posté le 19-07-2012 à 10:49:49
Merci pour les réponses techniques, pour le reste merci de ne pas parler de choses que vous ne connaissez pas
Marsh Posté le 19-07-2012 à 19:37:30
Désolé si cela te vexe, mais je n'ai pas dit que tu étais incompétent pour effectuer les taches quotidienne de gestion d'un réseau.
Dans beaucoup de domaine il y a plein de personne qui sont compétent pour leur travail, sans être obligé d'être expert sur tous les domaines.
MAintenant si je reprends ton idée de départ tes explications sur la suppression de site, on voit bien que tu as besoin d'info supplémentaire sur la réplication AD entre autre, sinon il n'y aurai pas cette question. Et je crois que c'est une bonne idée de la partager sur un forum.
Mais quand tu as plein de retour qui te dise que c'est un mauvais choix et tu as l'air de vraiment y tenir, je préfère être brutal même a être désagréable pour être sur que tu comprennes.
Le mode de fonctionnement des DC permettent effectivement de continuer lors d'une coupure, mais bon il faut qu'il y ai un GC dispo sur chaque site sinon pas de login (j'ai vu plein de client qui n'avait oublié ce point), mais certaine fonctionnalité comme la modif de mot de passe qui entraîne une réplication urgente ne peuvent plus être faites. Ce mode c'est juste une méthode palliative pendant une panne et surement pas pour ce que tu veux en faire.
Marsh Posté le 19-07-2012 à 19:57:32
Ca plus, lorsque plus de SID dispo dans le pool, faut demander au RID master une nouvelle plage.
Mais ouais, ya pas 10 000 façons de faire
Marsh Posté le 21-07-2012 à 21:03:17
Comme l'a dit phil, tu as 3 choix, ta solution n'en fait pas partie; c'est vraiment infame et c'est se foutre bien dans la merde sur le moyen-long terme.
Je devrais pas dire ca, mais d'un point de vue technique il est possible de seize les roles FSMO
Marsh Posté le 17-07-2012 à 12:25:17
J ai 2 serveurs(un 2003 et un 2008) sur le même AD sur 2 sites distants
Ces 2 sites sont reliés via un VPN et partagent donc le même AD
J aimerai dissocier les 2 serveurs pour qu ils deviennent indépendant et garde la même image a l'instant T de la séparation
Comment m'y prendre ?
Je pensais en tout premier lieu a supprimer les liens "Sites et services AD" et garder un site unique sur chaque serveur .. mais dans ce cas j imagine que je dois aller très vite pour le faire afin d'éviter que la réplication ne se propage et écrase aussi le site supprimé de l'AD1 vers l'AD2 ?
Thanks
---------------
Vends volant Logitech G29