Problème AD

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Problème AD

footeur81

Hello,

bon, je vous fait un peu l'historique :
environnement : annuaire AD avec deux DC, aucun changement récent ou ancien, pas de rétrogradation.
ce matin, j'essaye d'ajouter un compte AD. Résultat :"Windows ne peut pas créer l'objet *** car : Le service d'annuaire n'a pas pu allouer un identificateur relatif".

Sur ce, je vais jeter un œil aux événements système :
et je constate plein de requêtes pour nouveau pool d'identificateurs de comptes, avec de temps à autre un event 16551 :

Citation :

La demande de nouveau pool d’identificateurs de comptes a échoué. L’opération sera tentée jusqu’à ce que la demande réussisse. L’erreur est
" Impossible de lire l’attribut du propriétaire du rôle."

Ensuite, dans les journaux Directory service, j'ai (depuis un moment en fait), des events 2092 en pagaille :

Citation :

Ce serveur est le propriétaire du rôle FSMO suivant, mais ne le considère pas comme étant valide. Pour la partition qui contient FSMO, ce serveur n’a effectué de réplication correcte avec aucun de ses partenaires car ce serveur a été redémarré. Des erreurs de réplication empêchent la validation de ce rôle.

Les opérations nécessitant de contacter un maître d’opérations FSMO échoueront tant que cette condition n’est pas corrigée.

Rôle FSMO : DC=******,DC=local

Derrière un dcdiag qui me renvoie ceci :

Citation :

Exécution de l'installation initiale :
Tentative de recherche de serveur associé...
Serveur associé : SRV1
* Forêt AD identifiée.
Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

Test du serveur : Default-First-Site-Name\SRV1
Démarrage du test : Connectivity
......................... Le test Connectivity
de SRV1 a réussi

Exécution des tests principaux

Test du serveur : Default-First-Site-Name\SRV1
Démarrage du test : Advertising
......................... Le test Advertising
de SRV1 a réussi
Démarrage du test : FrsEvent
......................... Le test FrsEvent
de SRV1 a réussi
Démarrage du test : DFSREvent
Erreurs ou avertissements détectés au cours des dernières 24 heures
après le partage de SYSVOL. Des problèmes liés à l'échec de la
réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
groupe.
......................... Le test DFSREvent
de SRV1 a réussi
Démarrage du test : SysVolCheck
......................... Le test SysVolCheck
de SRV1 a réussi
Démarrage du test : KccEvent
Un événement d'avertissement s'est produit. ID de l'événement :
0x8000082C
Temps généré : 12/22/2017 11:32:47
Chaîne d'événement :
Un événement d'avertissement s'est produit. ID de l'événement :
0x8000082C
Temps généré : 12/22/2017 11:33:17
Chaîne d'événement :
......................... Le test KccEvent
de SRV1 a réussi
Démarrage du test : KnowsOfRoleHolders
......................... Le test KnowsOfRoleHolders
de SRV1 a réussi
Démarrage du test : MachineAccount
......................... Le test MachineAccount
de SRV1 a réussi
Démarrage du test : NCSecDesc
......................... Le test NCSecDesc
de SRV1 a réussi
Démarrage du test : NetLogons
......................... Le test NetLogons
de SRV1 a réussi
Démarrage du test : ObjectsReplicated
......................... Le test ObjectsReplicated
de SRV1 a réussi
Démarrage du test : Replications
[Replications Check,SRV1] Une tentative de réplication récente a
échoué :
De SRV2 vers SRV1
Contexte de nommage : DC=ForestDnsZones,DC=DOMAIN,DC=local
La réplication a généré une erreur (8456) :
Le serveur source rejette actuellement les demandes de réplication.
L'échec s'est produit à 2017-12-22 10:46:17.
La dernière réussite s'est produite à 2017-11-22 17:46:06.
709 échecs se sont produits depuis la dernière réussite.
La réplication a été explicitement désactivée via les options de
serveur.
[Replications Check,SRV1] Une tentative de réplication récente a
échoué :
De SRV2 vers SRV1
Contexte de nommage : DC=DomainDnsZones,DC=DOMAIN,DC=local
La réplication a généré une erreur (8456) :
Le serveur source rejette actuellement les demandes de réplication.
L'échec s'est produit à 2017-12-22 11:06:54.
La dernière réussite s'est produite à 2017-11-22 17:46:06.
892 échecs se sont produits depuis la dernière réussite.
La réplication a été explicitement désactivée via les options de
serveur.
[Replications Check,SRV1] Une tentative de réplication récente a
échoué :
De SRV2 vers SRV1
Contexte de nommage :
CN=Schema,CN=Configuration,DC=DOMAIN,DC=local
La réplication a généré une erreur (8456) :
Le serveur source rejette actuellement les demandes de réplication.
L'échec s'est produit à 2017-12-22 10:46:17.
La dernière réussite s'est produite à 2017-11-22 17:46:06.
688 échecs se sont produits depuis la dernière réussite.
La réplication a été explicitement désactivée via les options de
serveur.
[Replications Check,SRV1] Une tentative de réplication récente a
échoué :
De SRV2 vers SRV1
Contexte de nommage : CN=Configuration,DC=DOMAIN,DC=local
La réplication a généré une erreur (8456) :
Le serveur source rejette actuellement les demandes de réplication.
L'échec s'est produit à 2017-12-22 10:46:17.
La dernière réussite s'est produite à 2017-11-22 17:46:06.
714 échecs se sont produits depuis la dernière réussite.
La réplication a été explicitement désactivée via les options de
serveur.
[Replications Check,SRV1] Une tentative de réplication récente a
échoué :
De SRV2 vers SRV1
Contexte de nommage : DC=DOMAIN,DC=local
La réplication a généré une erreur (8456) :
Le serveur source rejette actuellement les demandes de réplication.
L'échec s'est produit à 2017-12-22 11:25:50.
La dernière réussite s'est produite à 2017-11-22 17:56:52.
5542 échecs se sont produits depuis la dernière réussite.
La réplication a été explicitement désactivée via les options de
serveur.
......................... Le test Replications
de SRV1 a échoué
Démarrage du test : RidManager
Données endommagées dans le service d'annuaire :
rIDPreviousAllocationPool n'est pas une valeur valide
Aucun RID n'est alloué -- vérifiez le journal des événements.
......................... Le test RidManager
de SRV1 a échoué
Démarrage du test : Services
......................... Le test Services
de SRV1 a réussi
Démarrage du test : SystemLog
Un événement d'erreur s'est produit. ID de l'événement : 0x0000410B
Temps généré : 12/22/2017 11:22:47
Chaîne d'événement :
La demande de nouveau pool d'identificateurs de comptes a échoué. L'
opération sera tentée jusqu'à ce que la demande réussisse. L'erreur est
......................... Le test SystemLog
de SRV1 a échoué
Démarrage du test : VerifyReferences
......................... Le test VerifyReferences
de SRV1 a réussi

Exécution de tests de partitions sur ForestDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de ForestDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de ForestDnsZones a réussi

Exécution de tests de partitions sur DomainDnsZones
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de DomainDnsZones a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de DomainDnsZones a réussi

Exécution de tests de partitions sur Schema
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Schema a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Schema a réussi

Exécution de tests de partitions sur Configuration
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de Configuration a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de Configuration a réussi

Exécution de tests de partitions sur DOMAIN
Démarrage du test : CheckSDRefDom
......................... Le test CheckSDRefDom
de DOMAIN a réussi
Démarrage du test : CrossRefValidation
......................... Le test CrossRefValidation
de DOMAIN a réussi

Exécution de tests d'entreprise sur DOMAIN.local
Démarrage du test : LocatorCheck
......................... Le test LocatorCheck
de DOMAIN.local a réussi
Démarrage du test : Intersite
......................... Le test Intersite
de DOMAIN.local a réussi

Donc pas de réplication, car pas de rôle de maître d'opération
Et ce qui m'inquiète pas mal, l'absence de RID.

Donc, dans l'ordre :
- première chose à tenter j'imagine, redémarrer mon DC
- s'occuper du problème du RID, mais comment ?
- deuxième manip : forcer une réplication initiale ou alors forcer l'attribution du rôle maitre d'opération (avec ntlsutil si j'ai bien lu) ?

vous prendriez le problème par quel bout ?

Message édité par footeur81 le 22-12-2017 à 12:19:36

Publicité

matsu92

Be Water My Friend

Salut,
Bah déjà,
1/ Sais-tu en temps normal quel DC est censé avoir les rôles FSMO? Et quel est celui de "backup"?
2/ Peux-tu nous dire ce que se partagent tes 2 DC au niveau des rôles actuellement?
3/ Bizarre que tu n'es pas de rôles RID attribué un de tes DC...

Message cité 1 fois

LaTeX_

Pôôôpaa !

"Donc pas de réplication, car pas de rôle de maître d'opération ."

Et non, c'est l'inverse, il ne valide pas le rôle FSMO car les réplications sont KO.
Ca fait un mois que tes réplications ne fonctionnent pas.

Message cité 1 fois

matsu92

Be Water My Friend

" La réplication a été explicitement désactivée via les options de
serveur."
cette phrase me laisse perplexe

Message cité 1 fois

Je@nb

Modérateur
Kindly give dime

+1, tu as du désactiver la réplication pour un upgrade "safe de schéma" et pas réactivé après.
Après regarde depuis qd tu as des erreurs. Là ton pool de SID est épuisé ton RID master veut/peut pas donner un nouveau pool au DC

Message cité 1 fois

footeur81

matsu92 a écrit :

SRV1 est celui ayant les rôles FSMO (un netdom me le confirme), et SRV2 peut-être considéré comme le backup
Roles sur srv1 : DHCP, DNS, IIS, AD DS, service activation en volume, fichiers et stockage
sur srv2 : DNS, IIS, AD DS, serveur impression, fichiers et stockage, WSUS

LaTeX_ a écrit :

"Donc pas de réplication, car pas de rôle de maître d'opération ."

Et non, c'est l'inverse, il ne valide pas le rôle FSMO car les réplications sont KO.
Ca fait un mois que tes réplications ne fonctionnent pas.

Pour moi, ça relève un peu de l'oeuf et de la poule
mais c'est bon à savoir :jap:

matsu92 a écrit :

" La réplication a été explicitement désactivée via les options de
serveur."
cette phrase me laisse perplexe

pourtant ça n'est pas le cas

Je@nb a écrit :

alors ça me parle pas des masses, mais je précise que l'ad a été créer avec les DC actuels qui ont toujours été sous 2012 R2.
là tout de suite j'épluche les journaux pour voir de quand ça date

merci pour vos réponses

Message édité par footeur81 le 22-12-2017 à 15:32:36

footeur81

le journal Directory service ne remonte pas assez loin (10 jours).
le journal système à commencer à relever les requêtes pour un pool d'identificateurs de comptes il y a 15 jours.

Ça correspond à une période ou j'ai eu besoin de recréer mes machine virtuelles pour de la gestion de datastore.

matsu92

Be Water My Friend

Tu parles de DC et AD et ensuite de machines virtuelles et gestion de datastore.
Je ne vois pas explicitement le rapport.
Peux-tu détailler?

Je@nb

Modérateur
Kindly give dime

Bah le rapport est que les dc sont des vm

Message cité 1 fois

footeur81

j'ai deux hyperviseurs en liaison SAS avec une baie SAN.
Sans rentrer dans le détail, j'ai du supprimer de l'inventaire les VM des DC, pour les recréer avec les disques virtuels redimensionnés à l'inférieur (en faisant du V2V)

Publicité

footeur81

Sinon, vous validez de d'abord redémarrer le DC posant problème, pour voir ensuite ce qu'il en est ?

Message cité 1 fois

matsu92

Be Water My Friend

Je@nb a écrit :

Bah le rapport est que les dc sont des vm

Je m'en doutais mais je demandais confirmation.

matsu92

Be Water My Friend

footeur81 a écrit :

Sinon, vous validez de d'abord redémarrer le DC posant problème, pour voir ensuite ce qu'il en est ?

Avant de faire ça, je serai plutôt d'avis de checker tous les paramètres de réplication de ton AD.

Quand tu dis que tu es prêt à rebooter ton DC, tu le fais dans l'immédiat ou tu le planifies en dehors des heures de boulot des utilisateurs?

Message édité par matsu92 le 22-12-2017 à 16:25:26

footeur81

l'idée serait de le faire d'ici quelques heures pour ne pas gêner qui que ce soit.

Pour ce qui est des replications, j'ai tenté à la mano, et pas moyen, ça ne passe pas, que ce soit en faisant la manip à partir du DC1 ou du DC2.
J'en suis arrivé à constaté la présence d'une clé registre sur le DC de backup :

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Dsa Not Writable avec une valeur à 4,
qui signifierait qu'il y a eu une tentative de rollback Usn, avec échec au bout. J'ai du effectivement restaurer cette VM à partir de veeam il y a quelques temps, et apparement un dc 2012 r2 ne tolère pas de restauration de ce type
J'essaye de voir ce que je peux faire avec ça.

Message édité par footeur81 le 22-12-2017 à 16:49:11

nebulios

On dirait que tu as peut-être bousillé ton AD en jouant avec les VM. Tu as des backup ?

Essaye un netdom query fsmo sur chaque DC.

Message cité 1 fois

Je@nb

Modérateur
Kindly give dime

ah ouais en fait tu as fait n'importe quoi avec tes DC

Message cité 1 fois

nebulios

J'espère que tu as les backup et l'expérience pour une forest recovery

matsu92

Be Water My Friend

Les Vm ca reste toujours sensible... c'est pour ca qu'il faut toujours avoir un serveur physique au minima.

Courage fouteur

dims

if it ain't brocken, mod it !

quand on dit que faire une resto de backup de VM de DC c'est pas une bonne idée, voici un bel exemple !!!

nebulios

Que ce soit VM ou physique, si tu le fais n'importe comment, tu auras toujours de la merde au bout.

dims

if it ain't brocken, mod it !

faire un restore de physique vu le temps/bordel que c'est tu réfléchis un peu plus longtemps avant de la faire.
du coup, ya moins de risque que ça en arrive la

footeur81

nebulios a écrit :

On dirait que tu as peut-être bousillé ton AD en jouant avec les VM. Tu as des backup ?
Essaye un netdom query fsmo sur chaque DC.

roulement sur 15 jours, donc c'est mort
j'ai déjà executer la commande netdom sur chaque dc, c'est le DC1 qui ressort pour les cinq rôles sur les deux DC

Je@nb a écrit :

ah ouais en fait tu as fait n'importe quoi avec tes DC

si on considère que restaurer une vm dc backup c'est faire n'importe quoi, alors oui j'ai fais n'importe quoi

Message édité par footeur81 le 22-12-2017 à 17:52:49

dims

if it ain't brocken, mod it !

ya des règles a respecter quand tu restore l'AD ou des VM de DC

demande a Google ce qu'est un "authoritative restore"

Message cité 1 fois

Micko77666

D'ailleurs les outils de sauvegarde (chez nous Acronis), ont des fonctions différentes si tu sauvegardes un AD, BDD, Exchange etc....

Perso je bloque la possibilité de snapshot sur mes DCs, car c'est tellement rapide de faire une connerie

footeur81

dims a écrit :

ya des règles a respecter quand tu restore l'AD ou des VM de DC

demande a Google ce qu'est un "authoritative restore"

je l'aurai appris à mes depens
et que le tableau de bord sous 2012 r2 ne sert à pas grand chose ...
observateur d’événements à voir régulièrement donc.

J'en reviens toujours pas qu'un DC de backup mal en point me paralyse l'ensemble de mon AD. Même si le fait d'avoir tarder à repérer le problème y est pour pas mal.

Bon, la chose à faire est, je pense, de voir ce qu'à balancer comme logs mon DC restauré, et j'ai trouvé ceci :

Citation :

Au cours d’une demande de réplication des services de domaine Active Directory, le contrôleur de domaine local a identifié un contrôleur de domaine distant qui a reçu des données de réplication du contrôleur de domaine local via des numéros de suivi USN déjà acquittés.

Le contrôleur de domaine distant croyant qu’il s’agit d’une base de données des services de domaine Active Directory plus à jour que le contrôleur de domaine local, il n’appliquera pas les modifications ultérieures à sa copie de la base de données des services de domaine Active Directory ou les répliquera vers ses partenaires de réplication directs ou intermédiaires qui utilisent ce contrôleur de domaine local comme source.

Si elle n’est pas résolue immédiatement, cette situation aboutira à des incohérences dans les bases de données des services de domaine Active Directory de ce contrôleur de domaine source et d’un ou plusieurs partenaires de réplication directs ou intermédiaires. En particulier, la cohérence des données des utilisateurs, des ordinateurs et de leurs relations d’approbation, de leurs mots de passe, des groupes de sécurité, de l’appartenance à des groupes de sécurité et d’autres données de configuration des services de domaine Active Directory peuvent varier, affectant la possibilité d’ouvrir des sessions, de rechercher des objets spécifiques et d’effectuer d’autres opérations importantes.

Pour déterminer si cette configuration incorrecte existe, recherchez cet ID d’événement à l’adresse http://support.microsoft.com ou contactez le Support technique de Microsoft.

La cause la plus probable de cette situation est la restauration incorrecte des services de domaine Active Directory sur le contrôleur de domaine.

Actions utilisateur :
Si cette situation s’est produite en raison d’une restauration incorrecte ou non intentionnelle, forcez la rétrogradation du contrôleur de domaine.

Contrôleur de domaine distant :
80c0f131-0564-46c5-a614-25b0d95e01b4 (SRV1.EDURSULE.local)
Partition :
DC=EDURSULE,DC=local
Numéro USN signalé par le contrôleur de domaine distant :
6447389
Numéro USN signalé par le contrôleur de domaine local :
6418520

comme conseillé, je vais certainement rétrograder le DC en question pour le "grader" dans la foulée

footeur81

sinon, dans la mesure ou mon outil de sauvegarde ne supporte pas la restauration de DC complète (veeam à jour), par quoi est ce qu'il est possible de compléter ma solution de sauvegarde,
pour que suite à la restauration d'une VM DC, je puisse faire également un rollback Usn ?

Message cité 1 fois

Micko77666

Moi j'utilise Acronis qui le fait très bien et facile d'utilisation

ShonGail

En phase de calmitude ...

footeur81 a écrit :

https://www.veeam.com/blog/how-to-r [...] ction.html

footeur81

OK, vu. C'est faisable, en mettant les mains dans le cambouis ...
Merci pour le lien.

bon sinon, j'ai pu rétrograder le DC restauré, et le redéclarer ensuite à nouveau DC (après dcpromo /forceremoval suivi d'une nettoyage des meta-données).
J'ai donc à nouveau la main sur mon domaine, et les réplications se font correctement.

Reste un autre problème à régler, au niveau DNS celui-ci, mais sans impact à priori.
Je vais pouvoir passer un réveillon l'esprit presque tranquille [:o_noel]

Message édité par footeur81 le 23-12-2017 à 16:36:57

Micko77666

Bonne nouvelle pour toi ! Bon noël aussi

footeur81

yep, bonnes nouvelles.
Les première réponses laissaient penser qu'il n y avait pas d'issue, finalement si !

bonnes fêtes de fin d'années à tous.

Publicité

FORUM HardWare.fr

Systèmes & Réseaux Pro

Infrastructures serveurs

Problème AD

Sujets relatifs
Problème réplication de l'AD	[Résolu] Pb lors de tentative de propotion d'un serveur 2012R2 en AD.
Problème avec un profil sur AD [résolu] merci tout seul	[AD] Problème de création utlisitateur
Problème de réplication DNS/AD	Problème de droits d'accès sur répertoire partagé dans un AD
Probleme d'horloge lié au compte utilisateur AD W2008 ?	Problème SSH & AD
Problème réplication AD suite à la migration du schéma AD	Problème de création echange 2007 valeur déja utilisé par l'AD
Plus de sujets relatifs à : Problème AD

Page générée en 0.063 secondes