Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory Restauration AD W2k

Restauration AD W2k

18 réponses
Avatar
Vincent DURAIN
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur w2k qui sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles fsmo) et DC2 .
J'ai ghosté les disques des serveurs originaux pour ma maquette, ça c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai fait un état du
système sur DC1 original et j'ai tenté de le restaurer sur DC1 de la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas initialisé
correctement. La donnée d'enregistrement contient le code d'erreur NT ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation jusqu'à ce que
l'opération réussisse ; avant cela, la création de comptes sera refusée sur
ce contrôleur de domaine. Recherchez d'autres journaux d'événements SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À
----------------------------------------------------------------------------
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres hôtes (A).
Afin de s'assurer que ses serveurs DNS homologues intégrés au service
d'annuaire peuvent effectuer des réplications avec ce serveur, une tentative
de mise à jour dynamique de ces serveurs avec les nouveaux enregistrements a
été faite. Une erreur a été rencontrée lors de cette mise à jour, les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce serveur DNS n'ont
pas la ou les adresses IP correctes pour ce serveur, ils ne pourront pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de ce serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque partenaire de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte (enregistrement A)
pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent pas à des
adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur, ajoutez au moins un
enregistrement A correspondant à une adresse sur ce serveur, afin que le
partenaire de réplication puisse le contacter. (En d'autres mots, s'il y a
des adresses IP multiples pour ce serveur DNS, ajoutez en au moins une qui
est sur le même réseau que le serveur DNS Active Directory que vous mettez à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les partenaires
de réplication. Il est uniquement nécessaire que les enregistrements soient
réparés sur suffisamment de partenaires de réplication afin que chaque
serveur opérant la réplication avec ce serveur, reçoive (par réplication)
les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.

----------------------------------------------------------------------------
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois pas ou ets
mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer correctement une
AD ?

Merci pour votre aide.


Vincent.
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
Thierry Frache [MVP]
Si c'était le cas, il ne serait pas possible de restaurer une forêt composée
d'un unique domaine lui-même composé d'un seul contrôleur de demaine (votre
deuxième contrôleur n'a pas de rôles, ce qui peut laisser supposer qu'il ne
joue pas dans le processus de restauration (d'autant que DC2 est éteint au
moment de la restauration)). Or cette opération est heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message de
news:
Si j'ai bien compris, il n'est pas possible de faire un état système et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les rôles fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui retransférer les
rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news: %23%
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.



"Emmanuel Dreux [MS]" a écrit dans le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la création de
comptes

est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC possédant
le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message
de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur w2k qui
sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles fsmo)
et




DC2
.
J'ai ghosté les disques des serveurs originaux pour ma maquette, ça
c'est


passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai fait un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur DC1 de
la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas initialisé
correctement. La donnée d'enregistrement contient le code d'erreur
NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes sera
refusée




sur
ce contrôleur de domaine. Recherchez d'autres journaux d'événements
SAM




pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À




-------------------------------------------------------------------------
-


--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce serveur, une
tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce serveur DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de ce
serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte (enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent pas à
des




adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur, ajoutez au
moins
un
enregistrement A correspondant à une adresse sur ce serveur, afin
que
le
partenaire de réplication puisse le contacter. (En d'autres mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au moins
une




qui
est sur le même réseau que le serveur DNS Active Directory que vous
mettez


à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin que
chaque




serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.





-------------------------------------------------------------------------
-


--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois pas
ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.






















Avatar
Emmanuel Dreux [MS]
Une forêt ou domaine doit forcément avoir les rôles existants disponibles,
et accessibles.
Si vous retirez un dc possédant un rôle particulier, il faut impérativement
transférer ce rôle sur un autre dc afin qu'il reste disponible dans le
domaine ou la forêt.

Pour restaurer un dc possédant un rôle:
Lorsque vous débranchez le dc possédant le rôle, celui ci doit être
transféré sur un dc accessible.
Après la la restauration de ce dc, vous pouvez transférer le rôle sur ce dc.

Le message d'erreur rencontré est dû au fait que lors du dcpromo, le dc
tente de récupérer un pool de SID auprès du RID master.
Le RID Master n'existant plus, le dc ne peut plus être promoté.

--
Cordialement,

Emmanuel Dreux


"Thierry Frache [MVP]" a écrit dans le message
de news:
Si c'était le cas, il ne serait pas possible de restaurer une forêt
composée d'un unique domaine lui-même composé d'un seul contrôleur de
demaine (votre deuxième contrôleur n'a pas de rôles, ce qui peut laisser
supposer qu'il ne joue pas dans le processus de restauration (d'autant que
DC2 est éteint au moment de la restauration)). Or cette opération est
heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message de
news:
Si j'ai bien compris, il n'est pas possible de faire un état système et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas
restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui retransférer les
rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news: %23%
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.



"Emmanuel Dreux [MS]" a écrit dans le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la création de
comptes

est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC possédant
le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message
de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur w2k qui
sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles fsmo)
et




DC2
.
J'ai ghosté les disques des serveurs originaux pour ma maquette, ça
c'est


passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai fait
un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur DC1 de
la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas initialisé
correctement. La donnée d'enregistrement contient le code d'erreur
NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation
jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes sera
refusée




sur
ce contrôleur de domaine. Recherchez d'autres journaux d'événements
SAM




pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À




-------------------------------------------------------------------------
-


--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres
hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce serveur, une
tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce serveur
DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de ce
serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent pas à
des




adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur, ajoutez au
moins
un
enregistrement A correspondant à une adresse sur ce serveur, afin
que
le
partenaire de réplication puisse le contacter. (En d'autres mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au moins
une




qui
est sur le même réseau que le serveur DNS Active Directory que vous
mettez


à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les
enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin que
chaque




serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.





-------------------------------------------------------------------------
-


--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois pas
ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.


























Avatar
Vincent DURAIN
D'accord, mais comment faites vous pour restaurer un domaine mono serveur
avec les outils fournis par MS ?

(voir mail de thierry Frache ci dessus)

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le message
de news:
Une forêt ou domaine doit forcément avoir les rôles existants disponibles,
et accessibles.
Si vous retirez un dc possédant un rôle particulier, il faut
impérativement

transférer ce rôle sur un autre dc afin qu'il reste disponible dans le
domaine ou la forêt.

Pour restaurer un dc possédant un rôle:
Lorsque vous débranchez le dc possédant le rôle, celui ci doit être
transféré sur un dc accessible.
Après la la restauration de ce dc, vous pouvez transférer le rôle sur ce
dc.


Le message d'erreur rencontré est dû au fait que lors du dcpromo, le dc
tente de récupérer un pool de SID auprès du RID master.
Le RID Master n'existant plus, le dc ne peut plus être promoté.

--
Cordialement,

Emmanuel Dreux


"Thierry Frache [MVP]" a écrit dans le message
de news:
Si c'était le cas, il ne serait pas possible de restaurer une forêt
composée d'un unique domaine lui-même composé d'un seul contrôleur de
demaine (votre deuxième contrôleur n'a pas de rôles, ce qui peut laisser
supposer qu'il ne joue pas dans le processus de restauration (d'autant
que


DC2 est éteint au moment de la restauration)). Or cette opération est
heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message de
news:
Si j'ai bien compris, il n'est pas possible de faire un état système et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas
restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui retransférer
les




rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message
de




news: %23%
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.



"Emmanuel Dreux [MS]" a écrit dans le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la création
de






comptes
est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC
possédant






le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur w2k
qui







sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles
fsmo)







et
DC2
.
J'ai ghosté les disques des serveurs originaux pour ma maquette,
ça







c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai fait
un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur DC1
de







la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas initialisé
correctement. La donnée d'enregistrement contient le code
d'erreur







NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation
jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes sera
refusée




sur
ce contrôleur de domaine. Recherchez d'autres journaux
d'événements







SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À






-----------------------------------------------------------------------
--




-
--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres
hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce serveur,
une







tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce serveur
DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de ce
serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent pas
à







des
adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur, ajoutez
au







moins
un
enregistrement A correspondant à une adresse sur ce serveur, afin
que
le
partenaire de réplication puisse le contacter. (En d'autres mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au
moins







une
qui
est sur le même réseau que le serveur DNS Active Directory que
vous







mettez
à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les
enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin que
chaque




serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.







-----------------------------------------------------------------------
--




-
--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois
pas







ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.






























Avatar
Emmanuel Dreux [MS]
system state backup / restore.

Lorsque vous créez un rôle sur un DC, ce rôle n'est actif qu'après une
réplication initiale.
En monodomain, monodc, il n'y a pas de réplication possible et donc le rôle
est activé automatiquement.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news:
D'accord, mais comment faites vous pour restaurer un domaine mono serveur
avec les outils fournis par MS ?

(voir mail de thierry Frache ci dessus)

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Une forêt ou domaine doit forcément avoir les rôles existants
disponibles,
et accessibles.
Si vous retirez un dc possédant un rôle particulier, il faut
impérativement

transférer ce rôle sur un autre dc afin qu'il reste disponible dans le
domaine ou la forêt.

Pour restaurer un dc possédant un rôle:
Lorsque vous débranchez le dc possédant le rôle, celui ci doit être
transféré sur un dc accessible.
Après la la restauration de ce dc, vous pouvez transférer le rôle sur ce
dc.


Le message d'erreur rencontré est dû au fait que lors du dcpromo, le dc
tente de récupérer un pool de SID auprès du RID master.
Le RID Master n'existant plus, le dc ne peut plus être promoté.

--
Cordialement,

Emmanuel Dreux


"Thierry Frache [MVP]" a écrit dans le
message
de news:
Si c'était le cas, il ne serait pas possible de restaurer une forêt
composée d'un unique domaine lui-même composé d'un seul contrôleur de
demaine (votre deuxième contrôleur n'a pas de rôles, ce qui peut
laisser
supposer qu'il ne joue pas dans le processus de restauration (d'autant
que


DC2 est éteint au moment de la restauration)). Or cette opération est
heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message de
news:
Si j'ai bien compris, il n'est pas possible de faire un état système
et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas
restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui retransférer
les




rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message
de




news: %23%
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.



"Emmanuel Dreux [MS]" a écrit dans
le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la création
de






comptes
est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC
possédant






le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur w2k
qui







sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles
fsmo)







et
DC2
.
J'ai ghosté les disques des serveurs originaux pour ma maquette,
ça







c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai
fait
un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur DC1
de







la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas initialisé
correctement. La donnée d'enregistrement contient le code
d'erreur







NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation
jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes sera
refusée




sur
ce contrôleur de domaine. Recherchez d'autres journaux
d'événements







SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À






-----------------------------------------------------------------------
--




-
--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres
hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce serveur,
une







tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à
jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce serveur
DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de ce
serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent pas
à







des
adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur, ajoutez
au







moins
un
enregistrement A correspondant à une adresse sur ce serveur,
afin
que
le
partenaire de réplication puisse le contacter. (En d'autres
mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au
moins







une
qui
est sur le même réseau que le serveur DNS Active Directory que
vous







mettez
à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les
enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin que
chaque




serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.







-----------------------------------------------------------------------
--




-
--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois
pas







ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.


































Avatar
Vincent DURAIN
Merci pour votre réponse, mais dans mon cas, il n'y a pas de création de
rôle, il y a restauration des rôles déjà existants par le biais de l'état
système.

Si je suis votre raisonnement dans le cas d'un état système du DC1, il faut
que je tranfère les rôles FSMO à DC2, que je fasse l'état système, puis que
je retransfère les rôles FSMO à DC1.

Mais si DC1 crashe, et si je cherche à restaurer l'AD sur celui ci par le
biais de l'état système, qui détient les rôles à ce moment là ?

Cordialement

"Emmanuel Dreux [MS]" a écrit dans le message
de news:%232N7$
system state backup / restore.

Lorsque vous créez un rôle sur un DC, ce rôle n'est actif qu'après une
réplication initiale.
En monodomain, monodc, il n'y a pas de réplication possible et donc le
rôle

est activé automatiquement.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news:
D'accord, mais comment faites vous pour restaurer un domaine mono
serveur


avec les outils fournis par MS ?

(voir mail de thierry Frache ci dessus)

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Une forêt ou domaine doit forcément avoir les rôles existants
disponibles,
et accessibles.
Si vous retirez un dc possédant un rôle particulier, il faut
impérativement

transférer ce rôle sur un autre dc afin qu'il reste disponible dans le
domaine ou la forêt.

Pour restaurer un dc possédant un rôle:
Lorsque vous débranchez le dc possédant le rôle, celui ci doit être
transféré sur un dc accessible.
Après la la restauration de ce dc, vous pouvez transférer le rôle sur
ce



dc.

Le message d'erreur rencontré est dû au fait que lors du dcpromo, le dc
tente de récupérer un pool de SID auprès du RID master.
Le RID Master n'existant plus, le dc ne peut plus être promoté.

--
Cordialement,

Emmanuel Dreux


"Thierry Frache [MVP]" a écrit dans le
message
de news:
Si c'était le cas, il ne serait pas possible de restaurer une forêt
composée d'un unique domaine lui-même composé d'un seul contrôleur de
demaine (votre deuxième contrôleur n'a pas de rôles, ce qui peut
laisser
supposer qu'il ne joue pas dans le processus de restauration
(d'autant




que
DC2 est éteint au moment de la restauration)). Or cette opération est
heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message
de




news:
Si j'ai bien compris, il n'est pas possible de faire un état système
et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les rôles
fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas
restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui
retransférer






les
rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news: %23%
Petite précision, le DC que j'essaye de restaurer possède les
rôles







fsmo.

"Emmanuel Dreux [MS]" a écrit dans
le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la
création








de
comptes
est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC
possédant






le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur
w2k









qui
sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles
fsmo)







et
DC2
.
J'ai ghosté les disques des serveurs originaux pour ma
maquette,









ça
c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai
fait
un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur
DC1









de
la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas
initialisé









correctement. La donnée d'enregistrement contient le code
d'erreur







NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation
jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes
sera









refusée
sur
ce contrôleur de domaine. Recherchez d'autres journaux
d'événements







SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À










----------------------------------------------------------------------
-





--
-
--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres
hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce serveur,
une







tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à
jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce
serveur









DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de
ce









serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent
pas









à
des
adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur,
ajoutez









au
moins
un
enregistrement A correspondant à une adresse sur ce serveur,
afin
que
le
partenaire de réplication puisse le contacter. (En d'autres
mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au
moins







une
qui
est sur le même réseau que le serveur DNS Active Directory que
vous







mettez
à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les
enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin
que









chaque
serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.











----------------------------------------------------------------------
-





--
-
--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois
pas







ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.






































Avatar
Emmanuel Dreux [MS]
Désolé, je n'ai pas été très clair j'ai confondu restore et dcpromo.

Si vous transférez le rôle sur un autre dc puis restaurez un system state
qui possède ce rôle, vous allez créer un doublon:
- Si vous retaurez un system state d'un dc qui vient juste de crasher et qui
possédait des rôles, il n'y a rien à faire de particulier.
Juste la restauration puis le reboot du DC.

- Si par contre, vous promotez un DC dans un domaine sans rôles, alors il y
aura problème et besoin de repositionner les rôles sur un dc existant avant
de promoter. ( cf Q254933 ).

Ici en l'ocurence, il semble que le rôle ai été "désactivé" suite au
restore.
Il se peut que ce soit dû à un problème de réplication après restauration du
dc1.
En général, après transfert d'un rôle, il faut que le dc ai répliqué au
moins une fois pour que le rôle soit actif.
Sans avoir creusé, il y a peut être un mécanisme qui a "désactivé" le rôle
après le restore.

Sur chaque DC, déterminez qui est vu comme possédant les rôles.
-Avec netdom query FSMO ( support tools) .
- Ou avec ntdsutil ( roles, select operation targets, list roles).

Pour que ce rôle soit actif, il faut que le dc ait répliqué correctemment 1
fois.
- sur le dc restauré, supprimez les objets de connection et relancez le kcc
( repadmin /kcc).
- vérifiez que les objets de connection sont recrées correctemment.
- Vérifiez qu'il n'est pas pas partenaire de réplication de dc non
accessibles.
- puis forcez la réplication.

Celà corrige-t-il le problème?

Si non, on pourra alors essayer de forcer le rôle sur DC2 ( seizure).
Ca devrait alors corriger le pb.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news:
Merci pour votre réponse, mais dans mon cas, il n'y a pas de création de
rôle, il y a restauration des rôles déjà existants par le biais de l'état
système.

Si je suis votre raisonnement dans le cas d'un état système du DC1, il
faut
que je tranfère les rôles FSMO à DC2, que je fasse l'état système, puis
que
je retransfère les rôles FSMO à DC1.

Mais si DC1 crashe, et si je cherche à restaurer l'AD sur celui ci par le
biais de l'état système, qui détient les rôles à ce moment là ?

Cordialement

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:%232N7$
system state backup / restore.

Lorsque vous créez un rôle sur un DC, ce rôle n'est actif qu'après une
réplication initiale.
En monodomain, monodc, il n'y a pas de réplication possible et donc le
rôle

est activé automatiquement.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news:
D'accord, mais comment faites vous pour restaurer un domaine mono
serveur


avec les outils fournis par MS ?

(voir mail de thierry Frache ci dessus)

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Une forêt ou domaine doit forcément avoir les rôles existants
disponibles,
et accessibles.
Si vous retirez un dc possédant un rôle particulier, il faut
impérativement

transférer ce rôle sur un autre dc afin qu'il reste disponible dans le
domaine ou la forêt.

Pour restaurer un dc possédant un rôle:
Lorsque vous débranchez le dc possédant le rôle, celui ci doit être
transféré sur un dc accessible.
Après la la restauration de ce dc, vous pouvez transférer le rôle sur
ce



dc.

Le message d'erreur rencontré est dû au fait que lors du dcpromo, le
dc
tente de récupérer un pool de SID auprès du RID master.
Le RID Master n'existant plus, le dc ne peut plus être promoté.

--
Cordialement,

Emmanuel Dreux


"Thierry Frache [MVP]" a écrit dans le
message
de news:
Si c'était le cas, il ne serait pas possible de restaurer une forêt
composée d'un unique domaine lui-même composé d'un seul contrôleur
de
demaine (votre deuxième contrôleur n'a pas de rôles, ce qui peut
laisser
supposer qu'il ne joue pas dans le processus de restauration
(d'autant




que
DC2 est éteint au moment de la restauration)). Or cette opération
est
heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message
de




news:
Si j'ai bien compris, il n'est pas possible de faire un état
système
et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans
le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les
rôles
fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas
restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui
retransférer






les
rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news: %23%
Petite précision, le DC que j'essaye de restaurer possède les
rôles







fsmo.

"Emmanuel Dreux [MS]" a écrit
dans
le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la
création








de
comptes
est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC
possédant






le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu
comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur
w2k









qui
sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles
fsmo)







et
DC2
.
J'ai ghosté les disques des serveurs originaux pour ma
maquette,









ça
c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai
fait
un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur
DC1









de
la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas
initialisé









correctement. La donnée d'enregistrement contient le code
d'erreur







NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation
jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes
sera









refusée
sur
ce contrôleur de domaine. Recherchez d'autres journaux
d'événements







SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À










----------------------------------------------------------------------
-





--
-
--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses
propres
hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce
serveur,
une







tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à
jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce
serveur









DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de
ce









serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent
pas









à
des
adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur,
ajoutez









au
moins
un
enregistrement A correspondant à une adresse sur ce serveur,
afin
que
le
partenaire de réplication puisse le contacter. (En d'autres
mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au
moins







une
qui
est sur le même réseau que le serveur DNS Active Directory
que
vous







mettez
à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les
enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin
que









chaque
serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.











----------------------------------------------------------------------
-





--
-
--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne
vois
pas







ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.










































Avatar
Vincent DURAIN
Bonjour,

Merci pour ces précisions. Je garde précieusement vos informations au cas
ou.

Hier soir, j'ai effectué la manip suivante sur mon dc2 de test :
- Etat système (le serveur fonctionnait normalement)
- Restauration de l'état système du dc2 d'origine qui n'a pas fonctionné
- Restauration de l'état système antérieur du dc2 de test suivant le kb
249694

Et là, surprise, j'obtiens les mêmes erreurs que sur dc1, inacessibilité de
la sam, etc...
Dans mon cas, ça ne pouvait pas ne pas fonctionner étant donné que j'étais
sur la même machine physique et logicielle.

Suite à ça, j'ai trouvé mon erreur. Dans ce fameux kb 249694, il est précisé
que dans la restauration de l'état système, il faut systématiquement
remplacer les fichiers d'origine du serveur. (section Move a Windows
Installation, section 5). Il ne faut visiblement pas le faire, ça casse la
SAM locale ainsi que tout un tas de paramètres au niveau de la gestion de
l'AD. Sur mes deux serveurs, sans rien changer, j'ai effectué une deuxième
restauration de l'état système, et là, les services d'annuaires fonctionnent
de nouveau. Seule la SAM locale reste définitivement cassée, ça ne m'étonne
pas. Mais les serveurs sont opérationnels de nouveau.

Si vous avez l'occasion de relire cet article, vous pourrez peut-être me
dire si j'ai commis une erreur d'interprétation.

Merci encore pour votre aide.

Cordialement.





"Emmanuel Dreux [MS]" a écrit dans le message
de news:O$gEO$
Désolé, je n'ai pas été très clair j'ai confondu restore et dcpromo.

Si vous transférez le rôle sur un autre dc puis restaurez un system state
qui possède ce rôle, vous allez créer un doublon:
- Si vous retaurez un system state d'un dc qui vient juste de crasher et
qui

possédait des rôles, il n'y a rien à faire de particulier.
Juste la restauration puis le reboot du DC.

- Si par contre, vous promotez un DC dans un domaine sans rôles, alors il
y

aura problème et besoin de repositionner les rôles sur un dc existant
avant

de promoter. ( cf Q254933 ).

Ici en l'ocurence, il semble que le rôle ai été "désactivé" suite au
restore.
Il se peut que ce soit dû à un problème de réplication après restauration
du

dc1.
En général, après transfert d'un rôle, il faut que le dc ai répliqué au
moins une fois pour que le rôle soit actif.
Sans avoir creusé, il y a peut être un mécanisme qui a "désactivé" le rôle
après le restore.

Sur chaque DC, déterminez qui est vu comme possédant les rôles.
-Avec netdom query FSMO ( support tools) .
- Ou avec ntdsutil ( roles, select operation targets, list roles).

Pour que ce rôle soit actif, il faut que le dc ait répliqué correctemment
1

fois.
- sur le dc restauré, supprimez les objets de connection et relancez le
kcc

( repadmin /kcc).
- vérifiez que les objets de connection sont recrées correctemment.
- Vérifiez qu'il n'est pas pas partenaire de réplication de dc non
accessibles.
- puis forcez la réplication.

Celà corrige-t-il le problème?

Si non, on pourra alors essayer de forcer le rôle sur DC2 ( seizure).
Ca devrait alors corriger le pb.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news:
Merci pour votre réponse, mais dans mon cas, il n'y a pas de création de
rôle, il y a restauration des rôles déjà existants par le biais de
l'état


système.

Si je suis votre raisonnement dans le cas d'un état système du DC1, il
faut
que je tranfère les rôles FSMO à DC2, que je fasse l'état système, puis
que
je retransfère les rôles FSMO à DC1.

Mais si DC1 crashe, et si je cherche à restaurer l'AD sur celui ci par
le


biais de l'état système, qui détient les rôles à ce moment là ?

Cordialement

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:%232N7$
system state backup / restore.

Lorsque vous créez un rôle sur un DC, ce rôle n'est actif qu'après une
réplication initiale.
En monodomain, monodc, il n'y a pas de réplication possible et donc le
rôle

est activé automatiquement.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le message de
news:
D'accord, mais comment faites vous pour restaurer un domaine mono
serveur


avec les outils fournis par MS ?

(voir mail de thierry Frache ci dessus)

Cordialement.

"Emmanuel Dreux [MS]" a écrit dans le
message
de news:
Une forêt ou domaine doit forcément avoir les rôles existants
disponibles,
et accessibles.
Si vous retirez un dc possédant un rôle particulier, il faut
impérativement

transférer ce rôle sur un autre dc afin qu'il reste disponible dans
le





domaine ou la forêt.

Pour restaurer un dc possédant un rôle:
Lorsque vous débranchez le dc possédant le rôle, celui ci doit être
transféré sur un dc accessible.
Après la la restauration de ce dc, vous pouvez transférer le rôle
sur





ce
dc.

Le message d'erreur rencontré est dû au fait que lors du dcpromo, le
dc
tente de récupérer un pool de SID auprès du RID master.
Le RID Master n'existant plus, le dc ne peut plus être promoté.

--
Cordialement,

Emmanuel Dreux


"Thierry Frache [MVP]" a écrit dans le
message
de news:
Si c'était le cas, il ne serait pas possible de restaurer une
forêt






composée d'un unique domaine lui-même composé d'un seul contrôleur
de
demaine (votre deuxième contrôleur n'a pas de rôles, ce qui peut
laisser
supposer qu'il ne joue pas dans le processus de restauration
(d'autant




que
DC2 est éteint au moment de la restauration)). Or cette opération
est
heureusement possible.
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le
message






de
news:
Si j'ai bien compris, il n'est pas possible de faire un état
système
et
restaurer un contrôleur ayant les rôles fsmo ?


"Emmanuel Dreux [MS]" a écrit dans
le
message
de news:
Petite précision, le DC que j'essaye de restaurer possède les
rôles
fsmo.

C'est donc pour ça.
Tu te retrouves dans un domaine sans rôles tant qu'il n'est pas
restauré.

Transfère les rôles ( ceize ) sur un dc existant.
Ensuite tu pourras promoter correctemment ton DC et lui
retransférer






les
rôles.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news: %23%
Petite précision, le DC que j'essaye de restaurer possède les
rôles







fsmo.

"Emmanuel Dreux [MS]" a écrit
dans
le
message
de news:u97wh$
Bonjour,

ce message indique que le pool de SID disponible pour la
création








de
comptes
est vide.
J'ai l'impression que ce DC n'arrive pas à contacter le DC
possédant






le
rôle

RID master afin d'obtenir un nouveau pool de sids.

Sur tes dcs, lance netdom /query fsmo pour voir qui est vu
comme
possédant
ce rôle.

--
Cordialement,

Emmanuel Dreux


"Vincent DURAIN" a écrit dans le
message






de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur
w2k









qui
sont
contrôleurs de domaine qui sont en exploitation : DC1
(roles











fsmo)
et
DC2
.
J'ai ghosté les disques des serveurs originaux pour ma
maquette,









ça
c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette,
j'ai











fait
un
état


du
système sur DC1 original et j'ai tenté de le restaurer sur
DC1









de
la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas
initialisé









correctement. La donnée d'enregistrement contient le code
d'erreur







NT
ayant
provoqué l'échec. Windows 2000 va réessayer
l'initialisation











jusqu'à
ce




que
l'opération réussisse ; avant cela, la création de comptes
sera









refusée
sur
ce contrôleur de domaine. Recherchez d'autres journaux
d'événements







SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À













---------------------------------------------------------------------
-






-
--
-
--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses
propres
hôtes
(A).


Afin de s'assurer que ses serveurs DNS homologues intégrés
au











service
d'annuaire peuvent effectuer des réplications avec ce
serveur,
une







tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à
jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce
serveur









DNS
n'ont


pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront
pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory
de











ce
serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour
chaque











partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement
A)




pour ce serveur.
4) Supprimez tous les enregistrements A qui ne
correspondent











pas
à
des
adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur,
ajoutez









au
moins
un
enregistrement A correspondant à une adresse sur ce
serveur,











afin
que
le
partenaire de réplication puisse le contacter. (En d'autres
mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en
au











moins
une
qui
est sur le même réseau que le serveur DNS Active Directory
que
vous







mettez
à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous
les











partenaires
de réplication. Il est uniquement nécessaire que les
enregistrements
soient
réparés sur suffisamment de partenaires de réplication afin
que









chaque
serveur opérant la réplication avec ce serveur, reçoive
(par











réplication)
les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.














---------------------------------------------------------------------
-






-
--
-
--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne
vois
pas







ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.














































Avatar
Vincent DURAIN
Bonjour,

Hier soir, j'ai effectué la manip suivante sur mon dc2 de test :
- Etat système (le serveur fonctionnait normalement)
- Restauration de l'état système du dc2 d'origine qui n'a pas fonctionné
- Restauration de l'état système antérieur du dc2 de test suivant le kb
249694

Et là, surprise, j'obtiens les mêmes erreurs que sur dc1, inacessibilité de
la sam, etc...
Dans mon cas, ça ne pouvait pas ne pas fonctionner étant donné que j'étais
sur la même machine physique et logicielle.

Suite à ça, j'ai trouvé mon erreur. Dans ce fameux kb 249694, il est précisé
que dans la restauration de l'état système, il faut systématiquement
remplacer les fichiers d'origine du serveur. (section Move a Windows
Installation, section 5). Il ne faut visiblement pas le faire, ça casse la
SAM locale ainsi que tout un tas de paramètres au niveau de la gestion de
l'AD. Sur mes deux serveurs, sans rien changer, j'ai effectué une deuxième
restauration de l'état système, et là, les services d'annuaires fonctionnent
de nouveau. Seule la SAM locale reste définitivement cassée, ça ne m'étonne
pas. Mais les serveurs sont opérationnels de nouveau.

Si vous avez l'occasion de relire cet article, vous pourrez peut-être me
dire si j'ai commis une erreur d'interprétation.

Merci encore pour votre aide.

Cordialement.


"Thierry Frache [MVP]" a écrit dans le message
de news:
Je vais tâcher de reproduire l'opération afin de vous dire de quoi il
retourne (mais je pense que la solution ne doit pas être très compliquée).
--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message de
news:
Bonjour,

J'ai fait à nouveau la même manip :

- J'ai installé un serveur w2k que j'ai paramétré et patché comme le
serveur
original
- Je l'ai promu contrôleur de domaine en respectant la configuration
d'origine (mêmes noms, même localisation de l'AD, etc...)
- Sur le serveur original, j'ai fait un état du système que j'ai
restauré


en
mode restauration annuaire sur le serveur de test.
- Suite à cette manip, je tombe invariablement sur la même erreur que
mon


premier post, à savoir l'erreur SAM 16650 etc.

Je suis dans une architecture à 2 serveurs DC, le serveur DC1 que
j'essaie


de recréer possédant les rôles FSMO.
Pour info :
- le serveur de test DC2 n'et pas en ligne lorsque je fais la
restauration


de l'annuaire de DC1. Est-ce que cela a une incidence ?
- le serveur de test DC1 n'est pas identique au niveau harware au DC1
d'origine, mis à part le contrôleur disque qui est un contrôleur raid.

Pour vérifier cette manip, je me suis appuyé sur le kb 249694 (que vous
aviez cité dans un autre post), sans succès malheureusement.
La seule fois ou j'ai pu réaliser correctement la manip sur ce serveur,
c'est en utilisant GHOST.
J'avoue être un peu perdu et à court de solution.

Si vous avez une autre piste ...

Cordialement et merci pour votre aide.





"Thierry Frache [MVP]" a écrit dans le
message


de news:%
Si vous n'avez qu'un seul contrôleur de domaine, vous n'avez pas à
réaliser

une restauration autoritaire (à proprement parlé). En effet, dans une
architecture à 2+ contrôleurs de domaine, il faut procéder à une
restauration autoritaire pour s'assurer que les objets ne seront pas
écrasés

par des versions plus récentes (entre autres). Cela ne peut pas se
produire

avec un seul contrôleur car il n'a aucun moyen de comparer ses objets
avec
un autre contrôleur. Il prend donc la restauration pour argent
comptant.




Ayant déjà remis en service des annuaires par la méthode indiquée,
j'aimerais comprendre ce qui n'a pas fonctionné (et si vous avez le
temps



de
nous l'expliquer).

--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message de
news: OX%
Bonjour,

Merci pour votre réponse.

Vous parlez sans doute d'une restauration d'annuaire en mode
restauration


active directory à partir d'un état système? Oui, mais ça n'a pas
fonctionné.

Cordialement.

"Thierry Frache [MVP]" a écrit dans le
message


de news:%
Bonsoir,

avez-vous essayer en procédant à une authoritative restore sur la
maquette?

--

Cordialement,

Thierry Frache [MVP] Windows Servers
http://mvp.support.microsoft.com
"Vincent DURAIN" a écrit dans le message
de
news:
Bonjour,

Pour test, j'ai créé une maquette reproduisant deux serveur w2k
qui






sont
contrôleurs de domaine qui sont en exploitation : DC1 (roles
fsmo)






et
DC2
.
J'ai ghosté les disques des serveurs originaux pour ma maquette,
ça






c'est
passé correctement.
Mon ad ayant évoluée depuis la création de la maquette, j'ai fait
un






état
du
système sur DC1 original et j'ai tenté de le restaurer sur DC1 de
la
maquette.
J'ai les messages suivants dans l'observateur d'évènement :

Type de l'événement : Erreur
Source de l'événement : SAM
Catégorie de l'événement : Aucun
ID de l'événement : 16650
Date : 09/11/2005
Heure : 15:28:29
Utilisateur : N/A
Ordinateur : DC1
Description :
L'allocateur d'identificateur de compte ne s'est pas initialisé
correctement. La donnée d'enregistrement contient le code d'erreur
NT
ayant
provoqué l'échec. Windows 2000 va réessayer l'initialisation
jusqu'à






ce
que
l'opération réussisse ; avant cela, la création de comptes sera
refusée




sur
ce contrôleur de domaine. Recherchez d'autres journaux
d'événements






SAM
pouvant indiquer la cause exacte de l'échec.
Données :
0000: a7 02 00 c0 §..À






------------------------------------------------------------------------
-



-
--
------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucun
ID de l'événement : 6702
Date : 07/11/2005
Heure : 09:36:14
Utilisateur : N/A
Ordinateur : DC1
Description :
Le serveur DNS a mis à jour ses enregistrements de ses propres
hôtes






(A).
Afin de s'assurer que ses serveurs DNS homologues intégrés au
service
d'annuaire peuvent effectuer des réplications avec ce serveur, une
tentative
de mise à jour dynamique de ces serveurs avec les nouveaux
enregistrements


a
été faite. Une erreur a été rencontrée lors de cette mise à jour,
les
données d'enregistrement sont le code d'erreur.

Si ce serveur DNS n'a pas d'homologue intégré à DS (Service
d'annuaire),
alors
cette erreur doit être ignorée.

Si les partenaires de réplication Active Directory de ce serveur
DNS






n'ont
pas la ou les adresses IP correctes pour ce serveur, ils ne
pourront






pas
effectuer de réplication avec celui-ci.

Pour vous assurez que la réplication est correcte :
1) Trouvez les partenaires de réplication Active Directory de ce
serveur
sur lesquels le serveur DNS fonctionne.
2) Ouvrez le Gestionnaire DNS et connectez tour à tour chaque
partenaire
de
réplication.
3) Sur chaque serveur, vérifiez l'inscription d'hôte
(enregistrement






A)
pour ce serveur.
4) Supprimez tous les enregistrements A qui ne correspondent pas à
des




adresses IP de ce serveur.
5) Si il n'y a pas d'enregistrements A pour ce serveur, ajoutez au
moins
un
enregistrement A correspondant à une adresse sur ce serveur, afin
que
le
partenaire de réplication puisse le contacter. (En d'autres mots,
s'il




y
a


des adresses IP multiples pour ce serveur DNS, ajoutez en au moins
une




qui
est sur le même réseau que le serveur DNS Active Directory que
vous






mettez
à
jour.)
6) Notez qu'il n'est pas nécessaire de mettre à jour tous les
partenaires


de réplication. Il est uniquement nécessaire que les
enregistrements






soient
réparés sur suffisamment de partenaires de réplication afin que
chaque




serveur opérant la réplication avec ce serveur, reçoive (par
réplication)


les nouvelles données.
Données :
0000: b4 05 00 00 ´...
------------------------------------------------------
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Catalogue global
ID de l'événement : 1126
Date : 09/11/2005
Heure : 15:04:00
Utilisateur : Tout le monde
Ordinateur : DISTRI
Description :
Impossible d'établir la connexion avec le catalogue global.







------------------------------------------------------------------------
-



-
--
-----------------

J'ai cherché sur la base de co et sur le newsgroup, je ne vois pas
ou
ets


mon erreur.

Quelle manip doit t-on respecter pour sauver et restaurer
correctement




une
AD ?

Merci pour votre aide.


Vincent.


























1 2