Bonjour à tous,
 
j'ai un probleme tordu...
 
un de mes sites distant a eu de gros problemes électriques aujourd'hui, le serveur la bas (qui est DC + DNS + DHCP ...) a redémarré moultes fois...
 
résultat lorsque je veux ouvrir une session dessus il me jette car "la base de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail" -> sauf que c'est un DC ... donc il n'y a pas de compte local auquel je peux me connecter pour pousser les tests ....
 
mon DC1 voit toujours ce DC-distant, idem dans sites et services AD
par contre quand j'essaye de forcer la réplication depuis DC1 vers DC-distant -> l'erreur suivante s'est produite en tentant de contacter le DC-distant: le nom principal de la cible n'est pas correct.
 
coté logs, je n'ai pas acces à ceux de DC-distant, mais sur DC1 j'ai:
 
15h51 - event 1226 - L’objet suivant a été créé sur un service d’annuaire distant avec un nom d’objet qui existe déjà sur le service d’annuaire local.  
 
16h02 - event 1411 - Les services de domaine Active Directory n’ont pas pu créer un nom principal de service d’authentification mutuelle pour le service d’annuaire suivant.  Service d’annuaire : fa99f8a7-a789-4d5c-9a58-6b025d7bdbfb._msdcs.mondomaine.local  
 
 
 
fait étrange, le DC-distant répond toujours aux demandes AD, j'ai un script php qui interroge les comptes AD et tous les comptes users sont biens là, à jour d'aujourd'hui vers 17H environ, seul un compte test créé apres l'identification de cette anomalie est manquant (alors qu'il est bien présent sur les autres DC)
 
 
auriez vous une piste pour:
 
- reprendre la main sur le DC-distant (je dois avoir l'acces en mode console sans echec, ou en mode de restauration AD mais je ne suis pas tres au fait de cette console)
ou
- virer ce DC-distant (mode console dcpromo /forceremoval ??) puis nettoyer l'ad pour ensuite le réintégrer (ntdsutil pour clean les metadata, mais là encore je suis moins à l'aise -> un tuto bien fait à me conseiller ? le technet est un peu rustre sur ce sujet... j'ai peur de faire une connerie)
 
 
d'avance merci pour votre aide

commence par un redémarrage en mode sans échec et normal ensuite.

@nnwldx: redémarrages deja fait, c'est l'un des 1ers trucs testés ^^
 
bilan de ce matin apres un reboot général de tous les DC (23 serveurs):
 
- j'ai a nouveau acces à DC-distant
- je n'ai plus de réplication AD ...............
 
 
 
 
j'ai lancé des outils de diagnostique qui ont retourné l'erreur suivante :
 
 
 
DCDIAG reports that the Active Directory Replications test has failed with error -2146893022: “The target principal name is incorrect."
 
En français : le nom principal de la cible est incorrect
 
Ce message d'erreur m'a orienté vers ce KB microsoft :
 
https://support.microsoft.com/en-us/kb/2090913
 
 
 
 
a priori donc je dois utiliser la commande netdom resetpwd mais je n'ai pas saisi sur quels serveurs...
 
 
 
voici les echanges qui fonctionnent et ceux qui déconnent:
 
site principal (2 DC dont celui qui a les roles FSMO) -> les 2 DC dialoguent bien dans les 2 sens
 
tous les autres sites (1DC par site): le DC dialogue bien avec un DC d'un site distant MAIS PAS avec le DC principal (roles FSMO)
 
 
 
du coup il faut que je reset les PWD des dc distant ou seulement celui du site principal ? (ou de tous les DC et je redémarre tout ??)

tu configures quoi comme serveurs dns sur tes dc ?

classiquement en 1er DNS lui même et en 2 le DC secondaire du site principal

Ouais donc l'opposé de ce qu'il faut faire en fait

tu préconises quoi du coup ? que je profite de tout ce bordel pour remettre du propre ....
 
j'avoue que sur ce coup là j'ai pris l'existant et j'ai continué dans le même sens (ça fonctionnait jusque là...)

Mettre :
- IP d'un autre DC du même site (s'il existe sinon une IP d'un site hub)
- IP d'un site "hub"
- localhost
 

ok je corrige ça merci de l'info.

Bien, maintenant que mes DNS sont correctement configurés:
 
pour contourner le probleme de réplication j'ai ajouté un lien de site entre le DC2 du site principal (qui lui dialogue toujours tres bien avec DC1) et un autre DC pour que les replications passent par là le temps de corriger mon erreur de nom de cible  
 
ça fonctionne, mes comptes se sont biens répliqués partout, mais le diag de AD replication status tool reste en rouge...
 
une idée ?

Tes fichiers host n'ont pas été trafiqués ? Pas de config bizarre sur tes cartes réseau ?
 
Sinon tu as tout ce qu'il faut sur le KB que tu as indiqué.
 
Si c'est toujours KO il faudra faire un seize des rôles FSMO puis un dcpromo /forceremoval. Sous 2008 R2 le metada cleanup est pris en charge automatiquement (il suffit de préciser que le DC est off pour de bon dans l'ADUC).

nop pas de modif host, pas de conf ip exotique (je viens de les repasser toutes en revue)
 
j'ai lu le kb et j'en arrive à la conclusion de devoir utiliser le netdom /resetpwd mais je n'ai bien saisi dans quel sens il s'utilise: sur DC1 vers tous les autres DC? ou depuis les autres DC en indiquant DC1...

Tu réinitialises le mot de passe machine du DC qui pose problème, donc DC1

Bon, j'ai à nouveau tout redémarré ce midi et laissé tourner entre 12 et 14 bilan: tout est ok sans avoir recours à rien de spécial.... c'est tombé en marche ...
 
par contre je remarque que les liens dans sites et services se sont aussi réorganisés:
 
- avant chaque serveur avait un lien direct entre lui et DC1 et un autre entre lui et un DC à lyon
 
- maintenant chaque serveur n'a plus que le lien vers DC1
 
(une préco particuliere sur ces liens de sites justement ? une action à faire pour sécuriser/redonder les liens ?)

Quel est ta topologie niveau sites ? Un principal, deux ? Plusieurs sites distants ? Comment sont ils connectés au premiers, avec quelle bande passante ?
 
Avec les réponses tu pourras modifier les poids de chaque liaison dans la console sites et services. Ensuite le KCC se chargera du reste automatiquement - éviter les actions manuelles au maximum.
 
Et vérifie tous les logs pour être sûr que ta synchro est OK et que le DC1 ne bosse pas de façon split-brain (isolée).

 
L'AD c'est pas super rapide. Faut surtout pas faire des trucs dans la précipitation.
Tu as bien fait de tout redémarrer, enfin faut redémarrer chaque serveur chacun son tour. Attendre que la topologie se recalcule, que les réplications se mettent en place et c'est bon.
 
Pour ta topologie, ça va dépendre de la topologie de site que tu as fait, les coûts, les schedule, les bridgehead etc.

Je tiens juste à préciser que le KCC n'est pas le seul à jouer un rôle dans la réplication.
Il n'agit que pour la réplication intra site.
Pour l'intersite, c'est l'ISTG .

Après j'ai du mal à comprendre que les reboot corrigent le problème...

le KCC par défaut c'est calculé toutes les 5 min et l'istg mini 15 de mémoire.

Par contre, je serai curieux d'avoir un imprim écran de ta console site et service ainsi que tu nous en dise plus sur la configuration de chaque site ou tu as un DC présent.
En principe, on crée 1 site AD par site géographique.

La base AD était probablement en dirty shutdown, et un reboot (avec des bons DNS) suffit souvent à la remettre d'aplomb.

Il a tout redémarrer 2 fois si j ai bien suivi.  
Sur un seul reboot j aurai compris mais 2...