Bonjour,
 
J'ai une question concernant les domaines sur les contrôleurs de domaine Windows 2000.
 
1) Etat des lieux:
J'ai 2 contrôleurs à la racine du domaine truc.foo.fr et 9 serveurs enfants xxx.truc.foo.fr.
Tous les contrôleurs sont en win2k avec AD.
 
2) Problème:
Il faudrait sortir un des contrôleurs enfant (machin.truc.foo.fr) du domaine (le passer en .local), sans le rétrograder (il faut garder tous les comptes utilisateurs etc...).
Est-ce que c'est seulement possible, ça? J'ai beau chercher, je ne trouve aucune info à ce sujet et je n'en ai jamais entendu parler.
 
3) Problème supplémentaire:
J'ai un b*rdel monstre dans mon domaine AD: sur les 9 serveurs enfants, 3 ne se répliquent pas et je n'arrive pas à forcer la réplication. Les erreurs annoncées sont diverses (mappeur de point final qui n'a plus de point final disponible, serveur RPC non disponible) mais toujours les mêmes pour chaque serveur qui plante (toto.truc.foo.fr fait toujours une erreur RPC, tata.truc.foo.fr fait toujours une erreur de mappeur de point final). Tant que je n'aurai pas résolu ce problème, je ne peux migrer personne vers 2003 server or c'est le but de la manip. Et comme le serveur qu'il faudrait sortir du domaine est un de ceux qui plante à la réplication AD, si on ne le sort pas proprement du domaine, je serais définitivement coincé non? J'espère que non, mais je crains le pire...
 
En ce qui me concerne, le nec plus ultra serait de résoudre les problèmes de réplication AD et de migrer tout le monde vers 2003 server. Pour ça il faut que je trouve ce qui coince la réplication et là, j'avoue que je sèche...
 
Merci d'avance à ceux qui pourront m'aider.
 
a+
 
rocks

pour les replic, a verifier :
 
- l'horloge pas identique de partout (un décalage de temps de quelques minutes entre 2 serveurs, et c'est la merde)
- un paramétre de GPO (acceder à cet ordinateur depuis le reseau) mal configuré ...> voir la default domain controler policy (config machine)
- firewall mal configuré (au passage, firewall sur un serveur = mauvaise idée)
 
sinon, je doute fortement que tu puisses sortir ton DC du domaine sans le rétrograder.
une fois, ton probleme de replication résolue, tu peux intégrer un DC supplementaire sur ton domaine enfant et sortir le DC que tu voulais enlever

Salut,
 
Pour l'horloge, normalement tous les serveurs utilisent le même serveur ntp donc ça devrait aller mais je quand même vérifier au cas ou, on ne sait jamais...
 
Pour les GPO, je crains qu'en effet ça puisse être le cas, au moins sur un des serveurs. Mon problème c'est que je suis pas bon en GPO (je suis pas informaticien, j'apprends, mais ça prend du temps...) alors ça risque d'être compliqué (faire un connerie avec les GPO sur un serveur, c'est pas cool).
 
On a pas de firewall sur les serveurs, par contre, il sont dans des vlans différents, par fois avec un routage assez complexe et tous les filtres qui s'en suivent. De ce point de vue là, c'est le bazar en effet, parceque d'une part il manquait un paquet de ports importants dans les acl quand j'ai pris le problème en main et que d'autre part, les ports utilisés sont pas toujours faciles à identifier...
 
Je suis tout à fait d'accord avec ton analyse quant à la sortie du DC du domaine. Va falloir que je persuade l'admin du serveur enfant qu'il ne faut pas qu'il retire avant qu'on ait réglé le problème de replication...
 
Merci beaucoup pour ta réponse :-)

Outre le retrait des filtres:
Tu peux forcer le port de réplication AD/FRS, dynamique, retourné par RPC (via 135) en statique:http://support.microsoft.com/kb/224196/en-us.
 
Si tu veux te conformer à l'IANA

 
A coup de portqry, outre le port statique, tu peux vérifier que les différents ports nécessaires pour une replication AD sont ouverts.

Salut dahlo,
 
Merci beaucoup pour ces infos. J'avais cherché des docs sur les ports utilisés pour la réplication AD mais seulement dans les docs de 2000 server, j'aurais dù aller chercher dans les docs de 2003 server...
C'est cool en tout cas, merci    
 
a+
 
Rocks