Bonjour à tous,
 
Un de nos controleur de domaine a laché. Le disque dur est mort.
 
Que dois je exactement faire sans rien oublier ?
 
Dans un premier temps, je vais prendre les roles FSMO sur un autre controleur avec NTDSUTIL.
 
Et apres que dois je faire au niveau d'AD ? Est ce que je peux réinstaller la machine avec un autre disque et restaurer la sauvegarde (je devrais en avoir une récente) ?
 
Merci d'avance à vous tous !

Bon j'ai pris les roles grace à NTDSUTIL mais je voudrais pas me manquer pour le reste...

tu dois faire un nettoyage de l'ad avec ntdsutil

Pourquoi nettoyer AD si il restaure sa sauvegarde ?
 
Je suppose que dans ta sauvegarde tu as le système et les dossiers de AD et que tu as utilisé un logiciel de sauvegarde récent (c'est à dire capable de backuper AD et l'état du système).
 
Change le HD, réinstalle un windows (si ton logiciel de backup n'a pas un agent "disaster recovery" pemrettant de lire directement la sauvegarde), redescend ta sauvegarde, reboot le serveur et ca devrait être bon.

Merci pour vos réponses.
Le backup a été fait avec NTbackup.
 
J'ai lu chez microsoft qu'il fallait faire une restauration non-authoritative. Pouvez vous me dire pourquoi ?

parce que si tu fais une resto authoritative, l'AD que tu vas restaurer va écraser ton AD actuel.
la resto authoritative sert à revenir en arriere suite par exemple, à un mauvaise manip sur l'AD, ce qui n'est pas ton cas

Ah ok je comprends mieux.
Merci beaucoup
 
Je vais tenter ça demain matin.

Dans ce cas,   , pas de restauration possible!
 
Ta sauvegarde contient le System State donc les rôles que tenait ce défunt DC.  
Si tu restaures, quel que soit le mode, autoritaire ou non autoritaire, ton domaine/forêt se retrouveront avec des rôles en double, ce qui laisse présager pas mal de dysfonctionnements et de dégâts    
Avant de promouvoir le serveur réparé, applique la procédure comme si c'était une rétrogradation en échec suivant la procédure présentée ici... sans oublier les *prep si domaine 2k3.
 
Une restauration à partir d'une sauvegarde, par l'outil NTbackup, est toujours non-autoritaire. C'est à dire; qu'après reboot en mode normal, les données d’AD restaurées:

• Restent en l'état si c'est un poor alone DC. (on perd toutes les modifications apportées depuis la sauvegarde.)
• Sont mises à jour, par le biais de la réplication, par le(s) autre(s) DC (partenaire(s) de réplication). (On récupère les modifications apportées depuis la sauvegarde)

non-autoritaire -> autoritaire
Après restauration d'une sauvegarde, avant reboot mode normal, reboot en mode restauration d'AD.
Par le biais de l'utilisation de ntdsutil on rend tout ou partie de la base de données d'AD non-autoritaire en autoritaire -> incrément des numéros de version de tous les enregistrements ou ceux désignés.  
A partir de là, lorsque le DC reboot en mode normal, par le biais de la réplication, tous les enregistrements, dont le numéro de version a été augmenté: de la valeur fournie * nombre de jours écoulés depuis la sauvegarde (verinc) ou automatiquement (verinc) d'une valeur par défaut (100 000), écraseront ceux des partenaires de réplication (On récupère, ainsi, les objets modifiés/supprimés à partir de la sauvegarde)  
 
Dans ton cas, la méthode qu'il aurait fallu appliquer, est celle exposée par Requin avec les restrictions relatives au disque (taille,  %WinDir%...), mais sans seize des rôles, sous réserves de réactivité sinon, gel de la prod.
Comme le seize a eu lieu, considère que le DC réparé comme nouveau.

Merci beaucoup dahlo !!
Heureusement que tu m'as dit ça car j'aurais visiblement fait une grave erreur lundi matin ...    
 
Ton explication est bien faite et je t'en remercie. Toutefois, j'ai peut de ne pas avoir bien saisit la manip    
 
Dois je donc faire comme si je n'avais pas de sauvegarde ?  
Sur le lien que tu me donnes, ils parlent du metada cleanup... Cette opération va donc supprimer toutes les infos dans l'AD de mon DC ?!  
 
Juste à savoir, ce DC est juste controleur de domaine. Il n'héberge aucun service bien important (à part serveur WINS), pas d'exchange ni autre.  
Le seul truc qu'il faut, c'est que le controleur que je vais remettre (que ce soit cette machine ou une autre), doit avoir le même nom.  
En effet, nous faisons parti d'un assez grande foret (domaine enfant). Nous ne gérons pas le DNS, qui est en partie sous UNIX et une autre sous windows...
 
A la limite, je peux me passer de la sauvegarde si c'est moins contraignant

effectivement, tu as déjà récupéré les roles, donc, la restau, c'est pas la bonne solution.
tu dois supprimer les infos du DC perdu avec ntdsutil puis formater et remonter ton DC (tu peux remettre le même nom) puis redistribuer les roles si nécessaire.

Merci beaucoup à vous tous !!
 
Je suis en train de faire ça, je vous tiens au courant

Bon, j'ai un petit problème ...
 
J'ai réinstallé la machine. J'en profite pour la passer en DC2003.
 
J'ai fait un nettoyage de l'AD avec metada cleanup comme indiquait sur ce lien:
http://support.microsoft.com/?id=216498
 
Tout s'est visiblement bien passé.
 
Je me suis ensuite servi de ADSIEdit comme expliqué aussi.
 
Le DC était serveur DNS. J'ai donc supprimé dans l'onglet Serveur de Noms dans la console DNS son nom.
 
 
Donc visiblement, toutes les manips se sont bien passées.
 
Cependant, lorsque je veux promouvoir ma machine en DC avec DCPROMO, j'ai ce message d'erreur:
 

 
J'ai regardé dans les consoles Users & Computers AD et Sites et Services, il n'y a plus de références à ce DC...
 
J'espère que vous pourrez m'aider, merci.

Notes:
- Si dans sites et services, il existe une liaison de réplication n'appartenant pas à KCC, dans laquelle le défunt DC est partenaire -> il faut supprimer la liaison (KCC ne s'en occupera pas).
- Après suppression de l'objet (1 à 16 de la procédure ntdsutil), avec les précautions d'usage sur l'activité réseau, une petite réplication soit par la console SSAD ou un repadmin /syns/force.
- Pour ce qui est de Wins, cela dépend des modifs wins et clients apportées depuis le crash et savoir si tu veux remettre Wins? En général, pour éviter que des inscriptions appartenant à l'ancien serveur wins (ton défunt DC) continuent à se répliquer entre partenaires wins, il faut appliquer une procédure consistant à supprimer ces enregistrements (propriétaire) en blocant leurs réplications sur les partenaires WINS.
- Pour ce qui est de DNS, la question à se poser est: qui fait autorité sur la zone?
Si c'est un DNS n'acceptant pas le DDNS, avant de promouvoir le DC réparé, il faut agir sur le registre: là... et après dcpromo, récupérer le fichier netlogon.dns pour apporter les modifs nécessaires (mano) dans le DNS ne supportant pas les enregistrements dynamiques (Si, si ça existe encore!). Après promo, un nslookup, >set q=srv, >_ldap._tcp.dc_msdcs.<Monfils.Dudomaine.com> devrait te conforter sur l'inscription des services de ton DC réparé, promu, auprès du DNS faisant autorité.
...
 
Bon courage!

Arg! le temps de l'édition 25 min    
Force une réplique et essaie...

dahlo => Je te remercie vraiment énormément pour tout le temps que tu as prit pour m'aider !!
 
 
J'ai enfin trouvé ce qu'il y avait. Le controleur sur lequel je me suis connecté pour le metada cleanup ne parvenait plus à se répliquer.
Après quelques recherches, je me suis apperçut qu'il était client DNS du DC qui a crashé... J'ai corrigé l'adresse et ai mis un autre serveur DNS puis la réplication a pu avoir lieu
 
J'ai retenté un DCPROMO et ça a marché
 
Je suis en train de vérifier maintenant que tout marche correctement.
 
Y a t il une chose en particulier à vérifier ?  
 
PS: Vraiment, encore un gros merci dahlo !!!

Tout semble bien fonctionner.
Merci à vous tous

Cool !    
-Tu t'en sors bien. La prochaine fois balance toutes les infos en une passe parce que là on est parti d'un DC 2000 crashé, seizé. Apprendre après qu'il était aussi WINS avec un DNS de sais pas qui? et enfin qu'il était aussi DNS (intégré ou pas?) avec en final un DC 2k3. Enfin...
- Sinon, vérifs d'usages, *diag, config serveur DHCP, l'histoire des enregistrements wins proprio ...
- Et pas de seize hein! sinon avec les implications maitrisées. Par exemple, si maintenant c'est au moins un dom 2k3 SP1 et que le prob se reproduit! alors tu pourras (pas vérifié) faire une resto nonautoritaire même avec les rôles pris car depuis 2k3 SP1:

C'est ti pas beau!
 
La facture, je l'adresse à qui ?  Bonne continuation!

Désolé pour les explications...    
 
Pour le DNS, nous sommes dans une architecture très spéciale... Tellement que je n'arrive pas à comprendre. Il y a à la base des serveurs DNS Unix.  
Lors de la conception de la forêt, les serveurs DNS windows ont été créés avec des zones primaires puis reconfigurés dans les temps en zone AD.  
Tout un gros bordel pour faire cohabiter un parc hétérogène de machines Windows et Unix. De plus, je ne gère pas le DNS donc...
 
Pour le DC finalement en 2003, spa ma faute    
Je commence ce matin à réinstaller la machine en 2000 vers 7h30. A 8h30, mon responsable arrive et me dit qu'il est possible d'acheter un licence 2003 donc...
 
D'ici quelques temps, quand je serai sûr qu'il n'y a pas de problème avec ce nouveau DC et sur le domaine, j'enlèverai le DC 2000 et passerai en natif 2003
 
Je vais tout de même faire les *diag mais tout à l'air correct.
Merci à vous tous pour votre aide. Vous m'avez sorti d'une sacrée galère.