Problème de synchronisation entre deux contrôleurs de domaine [Résolu/Fermé]

Signaler
-
 vanderson -
Bien le bonjour,

Je travaille actuellement sur deux contrôleurs de domaines ( Windows Server 2012R2). Le premier contrôleur est sur une machine virtuelle (esxi version 6) et est promu (dcpromo); le second sur une machine physique. Sur ces deux contrôleurs sont installé un domaine Active Directory. Il se fait que suite à une fausse manipulation, j'ai eu à désactiver l’adaptateur "vmxnet3 ethernet adapter" sur le premier contrôleur. Le contrôleur de domaine n'était donc plus accessible via RDP ( bureau à distance) parce que plus de carte réseau. Il a fallu remonter ( à l'arrache) un snapshot du contrôleur en question à jour J-1.
Dès lors, les modifications sur le premier contrôleur ainsi que les stratégies de groupes ne fonctionnent pas tout le temps. Par contre les modifications sur le second contrôleur sont pris en compte ( l'ajout d'un ordinateur dans l'AD n'est pas pris en compte sur le premier Contrôleur mais est pris en compte sur le second). J'ai donc un problème de synchronisation entre les deux contrôleurs. A noter qu'il y a une réplication sur ces serveurs.

Ma question est la suivante: Quelle est la démarche pour pallier à ce problème de synchronisation.

Mercis pour les différentes réponses concrètes.

Cordialement.

4 réponses

Messages postés
139
Date d'inscription
lundi 11 juin 2012
Statut
Membre
Dernière intervention
9 juillet 2019
37
Bonjour,

je serais toi je tenterai de supprimer le rôle de contrôleur de domaine sur le premier puis de le réinstaller pour qu'il reparte sur une bonne base et qu'il se resynchronise correctement avec le deuxième.
Je pensais à cette solution. Mais je ne l'ai pas encore testé. Je me demande s'il n'y aura pas de répercussion irréversible par la suite.

Par exemple, actuellement j'ai un serveur Kaspersky Sécurity Center qui ne reconnait pas l'ordinateur nouvellement ajouté afin d'y installer l'agent. Il faut pour cela faire la manipulation manuellement. L'ordinateur est vu sur le premier contrôleur ( qui a été "snapshoté") mais pas sur le deuxième contrôleur.
Messages postés
139
Date d'inscription
lundi 11 juin 2012
Statut
Membre
Dernière intervention
9 juillet 2019
37
C'est assez logique, ton ordi a intégré le domaine à partir de ton DC01 (snapshot) et non répliqué sur le DC02. Il faut remédier à ta situation assez vite sinon tu vas avoir de plus en plus de différences entre les deux DC.
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
380
Hello,

Les snapshots ne doivent pas être utilisés avec Active Directory. C'est simplement à proscrire et bannir définitivement. Il ne fallait surtout pas faire ça.
Ce n'est d'ailleurs pas une méthode de sauvegarde ou de restauration supportée par Microsoft (ni fonctionnelle d'ailleurs).

Quand tu claques un snapshot de cette manière, tu fous la grouille sur ce qu'on appelle les "USN" et les "Invocation ID" , ça permet au serveur de savoir ce qu'il faut répliquer avec un autre DC.

Ce qui explique pourquoi il ne réplique plus, ça revient à cloner un DC. Si tu fais ça sur une grosse infra, dis toi que c'est très très chaud.

Première chose à faire : coupe ce DC cloné de suite et ne la rallume pas.(et enleve lui la carte réseau dans VMWare) -> il faudra à terme la supprimer de toute façon.

Si tu laisses le DC, les 2 machines vont diverger et ton annuaire ne sera pas sain.

-

La seule solution propre : faut nettoyer ce DC cloné.


! Fais attention aux rôles FSMO, connecte toi sur le second DC et regarde qui détient les rôles :
 netdom query fsmo


Si les rôles sont détenus par le serveur qui marche, alors tout va bien.
Si les rôles sont détenus par le DC Cloné, alors il faut forcer le transfert sur le DC propre. (on appelle cela un "Seize")


1. Tu déglingues le DC cloné du snapshot :

- Tu fais un
METADATA Cleanup
avec
 NTDSUTIL
pour supprimer toutes traces du DC cloné.
- Tu reconstruis une machine from scratch et tu en fais un nouveau DC mais avec un nom différent.

2. tu check les réplications :
repadmin /replsum
repadmin /showrepl

Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Bonjour @kelux,
Je vais tenter ton approche et je te ferais un retour.
Malheureusement, Le rôle FSMO est sur le DC cloné.

Je vous fais un retour dès que possible.

Cdt.
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
380
Malheureusement, Le rôle FSMO est sur le DC cloné.

Il faut absolument seize les rôles FSMO avant de faire le metadata cleanup.
Via powershell : Move-ADDirectoryServerOperationMasterRole et le paramètre -force
>
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020

Bonjour @kelux,
Ta méthode à l'air de fonctionner. j'ai fait comme expliqué et tout à l'air de mieux aller. Reste juste à refaire un nouveau contrôleur.
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
380 > vanderson
Hello,

Pour monter le nouveau contrôleur, change de nom; évite de reprendre l'ancien.
Pour l'adresse IP, tu peux reprendre l'ancienne , pour ça ce n'est pas un souci.

Il y aura probablement du nettoyage à faire sur la configuration des zones DNS (records NS notamment) intégrées à AD.
Idem, vérifier les records dans la zone _msdcs : ceux du DC nettoyé ne doivent plus y être.
Bonjour @kelux,

J'ai suivi ta démarche et réussi à transférer tous les rôle FSMO vers le second controleur.

J'ai également remonté un nouvel AD.

Je vous remercie encore podz49 et toi pour l'aide apportée.

Cdt.