Dégrader un contrôleur de domaine mal promu afin de solutionner un problème d'approbation et de réplication AD
Le
Maurice POLARD
Bonjour,
Je suis actuellement confronté à un problème épineux vraisemblablement du à
une mauvaise promotion d'un contrôleur de domaine.
Le réseau que je gère sur un site est constitué de 2 domaines - appelons
les : "papa" et "fiston".
Lors de l'installation d'un contrôleur de domaine supplémentaire dans le
domaine "fiston" la promotion par DCPROMO semble d'être mal passé - ce
contrôleur ne possède pas les partages système "SYSVOL" et "NETLOGON" alors
que ces connecteurs de réplication automatiques KCC existent et que la
vérification de la topologie de réplication semble correcte dans chaque
domaine J'ajoute qu'il n'est cependant possible de vérifier la topologie
réplication que depuis les serveurs d'un domaine donné vers les serveurs du
même domaine.
J'ai suivi à la lettre les recommandations de l'article F257338 de la base
de connaissance de Microsoft afin de solutionner le problème, sans
succès Cet article consttue mon livre de chevetr depuis 1 mois
J'ajoute que ce contrôleur de domaine est multirésident - il était destiné
à faire office de serveur de VPN, serveur qui a d'ailleurs parfaitement
fonctionné pendant 7 jours
Le problème se traduit actuellement pas une perte de l'approbation dans un
sens : du domaine "père" vers le fils pour les machines w2k et wxp (celles
qui utilisent la résolution DNS à titre principal) ; les stations de
travail XP de ce domaine ne peuvent plus accéder aux ressources du domaine
fils alors que celles du fils accèdent sans problème à celle du père.
Ce problème a bien sûr son pendant sur la résolution DNS :
- depuis le père il est possible de pinguer les autres serveurs du domaine
père en utilisant leurs FQND
(ping machine.papa.dom -> OK). En revanche il n'est pas possible de pinguer
les machines du domaine enfant (ping machine.fiston.papa.dom > pas ok).
- depuis le domaine fils, il est possible de pinguer toutes les machines
des 2 domaines en utilisant leur FQDN.
Les redirecteurs fonctionnent mais la délégation de zone du père vers le
fils semble avoir été perdue et il est impossible de la recréer car il est
impossible, depuis la console DNS des contrôleurs du père, d'accéder aux
serveurs du domaine enfant.
NB Les zones DNS sont intégrées à l'AD
Pour conclure, depuis la mauvaise promotion de ce contrôleur de domaine, je
suis confronté à un problème de réplication AD intrasite et interdomaine.
Puis-je dégrader le serveur à l'origine de ce problème alors qu'il ne
possède pas de partage SYSVOL ? J'ajoute qu'il ne joue aucun rôle de FSMO.
La dégradation de ce contrôleur résoudra-elle le problème où s'agit-il d'un
problème préexistant ? J'ai déjà été confronté à ce problème antéieurement
mais il se solutionnait de lui même après quelques heures ou en redémarrant
les serveurs. Depuis l'installation de ce contrôleur le problème est
persistant - rien ne semble pouvoir le corriger
Merci de m'aider. Ca fait un mois que suis contronté au bug et je ne sais
plus à quel saint me vouer Mes utilisateurs vont finir par me lyncher
Maurice POLARD
Je suis actuellement confronté à un problème épineux vraisemblablement du à
une mauvaise promotion d'un contrôleur de domaine.
Le réseau que je gère sur un site est constitué de 2 domaines - appelons
les : "papa" et "fiston".
Lors de l'installation d'un contrôleur de domaine supplémentaire dans le
domaine "fiston" la promotion par DCPROMO semble d'être mal passé - ce
contrôleur ne possède pas les partages système "SYSVOL" et "NETLOGON" alors
que ces connecteurs de réplication automatiques KCC existent et que la
vérification de la topologie de réplication semble correcte dans chaque
domaine J'ajoute qu'il n'est cependant possible de vérifier la topologie
réplication que depuis les serveurs d'un domaine donné vers les serveurs du
même domaine.
J'ai suivi à la lettre les recommandations de l'article F257338 de la base
de connaissance de Microsoft afin de solutionner le problème, sans
succès Cet article consttue mon livre de chevetr depuis 1 mois
J'ajoute que ce contrôleur de domaine est multirésident - il était destiné
à faire office de serveur de VPN, serveur qui a d'ailleurs parfaitement
fonctionné pendant 7 jours
Le problème se traduit actuellement pas une perte de l'approbation dans un
sens : du domaine "père" vers le fils pour les machines w2k et wxp (celles
qui utilisent la résolution DNS à titre principal) ; les stations de
travail XP de ce domaine ne peuvent plus accéder aux ressources du domaine
fils alors que celles du fils accèdent sans problème à celle du père.
Ce problème a bien sûr son pendant sur la résolution DNS :
- depuis le père il est possible de pinguer les autres serveurs du domaine
père en utilisant leurs FQND
(ping machine.papa.dom -> OK). En revanche il n'est pas possible de pinguer
les machines du domaine enfant (ping machine.fiston.papa.dom > pas ok).
- depuis le domaine fils, il est possible de pinguer toutes les machines
des 2 domaines en utilisant leur FQDN.
Les redirecteurs fonctionnent mais la délégation de zone du père vers le
fils semble avoir été perdue et il est impossible de la recréer car il est
impossible, depuis la console DNS des contrôleurs du père, d'accéder aux
serveurs du domaine enfant.
NB Les zones DNS sont intégrées à l'AD
Pour conclure, depuis la mauvaise promotion de ce contrôleur de domaine, je
suis confronté à un problème de réplication AD intrasite et interdomaine.
Puis-je dégrader le serveur à l'origine de ce problème alors qu'il ne
possède pas de partage SYSVOL ? J'ajoute qu'il ne joue aucun rôle de FSMO.
La dégradation de ce contrôleur résoudra-elle le problème où s'agit-il d'un
problème préexistant ? J'ai déjà été confronté à ce problème antéieurement
mais il se solutionnait de lui même après quelques heures ou en redémarrant
les serveurs. Depuis l'installation de ce contrôleur le problème est
persistant - rien ne semble pouvoir le corriger
Merci de m'aider. Ca fait un mois que suis contronté au bug et je ne sais
plus à quel saint me vouer Mes utilisateurs vont finir par me lyncher
Maurice POLARD
Poser une question
ton domaine enfant "fiston" fonctionnait il correctement
apres l'installation de ton 1er controleur? puisqu'ici le
probleme vient du rajout de ce second controleur...
ton domaine enfant "fiston" fonctionnait il correctement
apres l'installation de ton 1er controleur? puisqu'ici le
probleme vient du rajout de ce second controleur...
Bonjour et merci de votre aide,
Oui la réplication AD fonctionnait normalement ainsi que la résolution DNS
et ceci dans les 2 sens.
J'avais parfois ce type de problème mais l'incident se resolvait de lui
même en quelques heures ou immédiatement en redémarrant les serveurs du
domaine "père".
Le contrôleur de domaine ajouté n'est pas le second du domaine "enfant"
mais le 3ème - 6 au total (3 dans chaque domaine + plusieurs serveurs
membres et machines spéciales (NAS W2K embarqués par exemple).
Les 2 domaines gèrent plus de 400 stations de travail et une cinquantaine
de périphériques d'impression de masse.
Maurice