Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
865 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Suppression objet AD impossible

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Suppression objet AD impossible

n°107502
ArthurB
Posté le 05-03-2013 à 08:44:50  profilanswer
 

:hello:  
 
Visiblement, j'ai un problème d'AD sur un de mes DC (2008R2).
J'ai des erreurs 1173, 1084 et 2108 périodiquement.
Le dcdiag est propre sauf le test kccevent.
Visiblement, l'AD local de ce serveur n'arrive pas à supprimer une imprimante déclarée; sur un DC sain, cette imprimante n’apparaît plus dans ADexplorer ou Adsiedit...
 
Et quand je veux la supprimer de ce DC malade : "Windows ne peut pas supprimer l'objet car Active Directory a rencontré une défaillance inconnue"  :whistle: (depuis la console UOAD).
Depuis Adsiedit : suppression idem avec code erreur 0x20ef...
 
La création d'objet AD sur ce DC fonctionne et se réplique bien sur les autres DC...
 
J'ai essayé une restauration de base AD avec une base que je savais saine et mise au chaud (dcdiag propre) mais aujourd'hui le serveur me dit que cette base est corrompue...  :heink:  
 
Bref, quelqu'un a-t-il déjà eu ce problème ?


Message édité par ArthurB le 05-03-2013 à 09:24:13
mood
Publicité
Posté le 05-03-2013 à 08:44:50  profilanswer
 

n°107511
g36c
Posté le 05-03-2013 à 10:10:39  profilanswer
 

sLt,  
 
As tu essayé un Metadata cleanup de ton objet ?

n°107513
ArthurB
Posté le 05-03-2013 à 10:35:30  profilanswer
 

Salut,
 
Non pas tenté ça... C'est avec ntdsutil ?
Mais j'ai l'impression que c'est uniquement en cas de problème de dcpromo... J'ai pas envie de supprimer mon DC juste une imprimante...


Message édité par ArthurB le 05-03-2013 à 10:40:14
n°107514
nebulios
Posté le 05-03-2013 à 10:41:07  profilanswer
 

Non mais tu as pas fait une restauration de ton AD juste pour un objet quand même ?

n°107527
ArthurB
Posté le 05-03-2013 à 11:44:44  profilanswer
 

Vu les messages d'erreur des event 1084 et 2108 avec des corruptions de base AD, si...

n°107564
g36c
Posté le 05-03-2013 à 18:25:59  profilanswer
 

Oui avec cet utilitaire normalement je supprime les entrées de mes DCs lorsque je les dépromouvois.
 
cf : http://technet.microsoft.com/en-us [...] 10%29.aspx

n°107565
g36c
Posté le 05-03-2013 à 18:27:51  profilanswer
 

en fait bas Idea, je pensai que tu pouvais rentrer le nom de n'importe quel objet mais non lol dsl....

n°107566
nebulios
Posté le 05-03-2013 à 18:44:25  profilanswer
 

ArthurB a écrit :

Vu les messages d'erreur des event 1084 et 2108 avec des corruptions de base AD, si...


Dans ce cas tu as potentiellement tout péter.
 
Ton AD fonctionne correctement à présent ? Tu as fait quel type de restauration ?

n°107576
ArthurB
Posté le 05-03-2013 à 20:21:39  profilanswer
 

Non l'AD ne fonctionne toujours pas correctement sur ce DC, pas de problème pour les autres DC...
 
Restauration via logiciel de sauvegarde.  
 
Potentiellement tout péter ? Tu fais quoi quand les manips habituelles avec esentutl et ntdsutil échouent à part une restauration ? Pour l'instant je voudrais éviter de le rétrograder car ce DC est aussi autorité de certification.
 
Le semantic checker est OK mais la defrag offline échoue...

Message cité 1 fois
Message édité par ArthurB le 05-03-2013 à 20:23:10
n°107588
Wolfman
Modérateur
Lobo'tomizado
Posté le 06-03-2013 à 10:03:29  profilanswer
 

Potentiellement tout pêter --> faire une restauration sans savoir comment ça se restaure justement.
 
Un annuaire AD, ça ne se restaure pas comme on restaure un fichier, en particulier si tu as plusieurs contrôleurs qui se synchronisent.
Si un des contrôleurs pose problème, il est parfois plus simple et plus propre de le rétrograder, de le nettoyer, puis de le promouvoir de nouveau comme contrôleur. Comme ça, tu récupères une base propre depuis les autres contrôleurs.
 
En l'occurence, tu as créé des incohérences dans ton archi en restaurant des données non consistantes. Maintenant, soit tu rétrogrades ton contrôleur pour le remettre d'aplomb, soit tu fais une restauration autoritative (en serrant les fesses, en supposant que tu as une sauvegarde clean,  et en sachant que tu vas perdre les modifications AD faites depuis la sauvegarde).

mood
Publicité
Posté le 06-03-2013 à 10:03:29  profilanswer
 

n°107589
nebulios
Posté le 06-03-2013 à 10:31:30  profilanswer
 

ArthurB a écrit :

Non l'AD ne fonctionne toujours pas correctement sur ce DC, pas de problème pour les autres DC...
 
Restauration via logiciel de sauvegarde. [/quote]
Je te demande pas avec quoi, je te demande si tu as fait une restauration authoritative ou non par exemple.
 
[quote]
Potentiellement tout péter ? Tu fais quoi quand les manips habituelles avec esentutl et ntdsutil échouent à part une restauration ? Pour l'instant je voudrais éviter de le rétrograder car ce DC est aussi autorité de certification.
 
Le semantic checker est OK mais la defrag offline échoue...


Déjà tu ne colles jamais une PKI sur un DC, c'est la pire chose à faire (je pense que tu comprends pourquoi).
Ensuite avant d'attaquer l'AD à coup de ntdsutil tu commences par cerner exactement quel est le problème et sa cause :/

n°107590
ArthurB
Posté le 06-03-2013 à 11:07:04  profilanswer
 

Pour la CA, c'est un prestataire externe qui s'en est occupé... Et ça ne l'a pas dérangé de la positionner sur un DC... C'est vrai qu'on n'était pas riche en serveur...
 
Et donc je ne peux pas rétrograder ce DC puisqu'il y a la CA et que je ne sais absolument pas gérer cette CA...  
 
Le problème et sa cause ont été exposés dans mon post initial, d'après les event 1084 une imprimante déclarée dans l'AD bloque l'update :
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
 
La suppression manuelle de cette imprimante avec ADSIEdit ou Adexplorer échoue.
 
Ensuite j'ai essayé, en vain, de réparer la base AD qui est donc corrompue...
D'ailleurs l'integrity de ntdsutil échoue car mon serveur a plus de 20 cpu logiques, j'ai un patch à passer  :heink: ...  (http://support.microsoft.com/kb/2121690)
 
Et enfin une restauration via mon soft de sauvegarde de l'Active Directory, puisque c'est un 2008R2, je fais ça en arrêtant les services AD et en recopiant le contenu de ma sauvegarde dans mon répertoire \NTDS

n°107608
nebulios
Posté le 06-03-2013 à 15:50:04  profilanswer
 

OK donc avec ce mode de restauration foireux tu n'as aucune chance de corriger ton souci.
 
Fais un dcdiag sur l'ensemble des DC, il est possible que ce soit l'ensemble de ton AD qui est KO maintenant.

n°107612
ArthurB
Posté le 06-03-2013 à 16:14:13  profilanswer
 

Non les dcdiag sont toujours propres sur les autres DC...

n°107627
statoon54
Posté le 06-03-2013 à 20:59:04  profilanswer
 

Situation délicate . Tes manipulations ont surement aggravé la situation.
Déjà que ton problème initial pouvait déjà être un objet non répliqué pour cause de USN rollback .
 
Ce que tu peux faire dans un premier temps c'est vérifier les tables utdv de chaque contrôleur afin de vérifier un possible RollBack au vu de ta méthode de restauration.
Tu te mets sur tes contrôleurs : repadmin /showutdvec dc01 "dc=toto,dc=adds" (adapte le nom de serveur et le nom du contexte racine en fonction du DC où tu te trouves)
Montre nous les tables de sortie de chaque contrôleur en nous précisant celui qui est défectueux.
 
Pour résoudre ton problème , tu devras passer par un backup de ta CA,en prévoyant une migration ailleurs que sur un DC et enfin désinstaller le rôle CA pour pouvoir rétrograder ton serveur.
 
 
 

n°107631
nebulios
Posté le 06-03-2013 à 23:07:10  profilanswer
 

ArthurB a écrit :

Non les dcdiag sont toujours propres sur les autres DC...


Alors c 'est ton DC qui serait en cause, et il est déjà isolé ce qui expliquerait tes erreurs de KCC (enfin j'espère que tu n'as d'autres soucis sur les DC sains).
 
Solution :
1) Désinstaller la PKI et la réinstaller sur un autre serveur non DC
2) Formater le DC défaillant
2) metadata cleanup du DC défaillant sur l'AD sain, seize des rôles éventuels etc...
 
Un conseil fais-toi aider là-dessus (et pas par le presta à 2 € qui t'a collé la PKI sur un DC).

n°107634
ArthurB
Posté le 07-03-2013 à 08:30:42  profilanswer
 

Oui à priori c'est bien la seule issue envisageable...

n°107635
Je@nb
Modérateur
Kindly give dime
Posté le 07-03-2013 à 09:09:24  profilanswer
 

Attention, si tu bouges la CA, le serveur doit avoir le même nom que l'ancien ;)

n°107639
ArthurB
Posté le 07-03-2013 à 09:52:13  profilanswer
 

Non plus forcément maintenant, Microsoft a revu sa copie...

n°107645
Je@nb
Modérateur
Kindly give dime
Posté le 07-03-2013 à 11:43:34  profilanswer
 

En effet, ça semble supporté mais pas recommandé vu les reparamétrages à faire

n°107648
ArthurB
Posté le 07-03-2013 à 12:00:27  profilanswer
 

statoon54 a écrit :

Situation délicate . Tes manipulations ont surement aggravé la situation.
Déjà que ton problème initial pouvait déjà être un objet non répliqué pour cause de USN rollback .
 
Ce que tu peux faire dans un premier temps c'est vérifier les tables utdv de chaque contrôleur afin de vérifier un possible RollBack au vu de ta méthode de restauration.
Tu te mets sur tes contrôleurs : repadmin /showutdvec dc01 "dc=toto,dc=adds" (adapte le nom de serveur et le nom du contexte racine en fonction du DC où tu te trouves)
Montre nous les tables de sortie de chaque contrôleur en nous précisant celui qui est défectueux.
 
Pour résoudre ton problème , tu devras passer par un backup de ta CA,en prévoyant une migration ailleurs que sur un DC et enfin désinstaller le rôle CA pour pouvoir rétrograder ton serveur.
 
 
 


J'ai des "(retired)" pour mon DC malade sur les résultats des repadmin /showutdvec...

n°107650
statoon54
Posté le 07-03-2013 à 12:53:27  profilanswer
 

ArthurB a écrit :


J'ai des "(retired)" pour mon DC malade sur les résultats des repadmin /showutdvec...

 

Ceux sont les usn que tu as restaurer (surement avec des restaurations antérieurs). Par contre les USN en cours pour tes dcs nous aiderait bien ;)


Message édité par statoon54 le 07-03-2013 à 13:23:11
n°107680
statoon54
Posté le 08-03-2013 à 07:31:59  profilanswer
 

Pas de rollback, et tes 2 autres DC fonctionnent correctement.
J'ai consulté tes tables et effectivement ce DC échoue sur les réplications entrantes.
Que donne la commande repadmin /showrepl * sur ce DC .
Je vois qu'il n'a pas reçu les modifications d'objets des 2 autres DC depuis le 02/03.
Les event id 1084 et 2108 laissent supposer que ton DC n'arrive pas à écrire les modifications transactionnelles sur ta base de donnée locale.
Pour t'aider commence par suivre ce KB , http://support.microsoft.com/kb/837932.
Vérifie que ce serveur ne possède aucun rôle.
Décoches le global catalogue sur ce DC -- methode 2 du KB
Teste une Defrag offline de la base de donnée.
Si réussite, tu peux lancer une réplication manuelle de tout les partitions d'annuaire pour gagner du temps .

 

Si tout échoue , va falloir passer par un demote complet et donc une migration de la CA.
Il aurait été préférable d'avoir une sauvegarde complète de ce serveur, faites avec un outil recommandé pour le backup de DC .

 


Message édité par statoon54 le 08-03-2013 à 19:19:08
n°107682
ArthurB
Posté le 08-03-2013 à 08:37:24  profilanswer
 

Je suis arrivé au même diag que toi et le defrag offline échoue...
 
showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

Message cité 2 fois
Message édité par ArthurB le 08-03-2013 à 08:55:01
n°107702
statoon54
Posté le 08-03-2013 à 13:33:30  profilanswer
 

ArthurB a écrit :

Je suis arrivé au même diag que toi et le defrag offline échoue...

 

showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

 

Que donne le dcdiag sur ce DC ?
Si c'est juste un problème de réplication,tu peux essayer de vérifier la cohérence des objets NTDS avec la console site&domaine et Adsiedit au niveau de la partition d'annuaire "Configuration".
Mais à mon avis tu dois avoir pas mal d'incohérences et la solution la plus simple reste un demote du serveur .
 

 



Message édité par statoon54 le 08-03-2013 à 13:36:08
n°107703
ArthurB
Posté le 08-03-2013 à 13:34:17  profilanswer
 

dcdiag propre sauf test kccevent

Message cité 1 fois
Message édité par ArthurB le 08-03-2013 à 13:34:32
n°107734
statoon54
Posté le 08-03-2013 à 19:18:49  profilanswer
 

ArthurB a écrit :

Je suis arrivé au même diag que toi et le defrag offline échoue...

 

showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

 

repadmin /showrepl * /all ou repadmin /showreps /all pour afficher le statut des réplications.

 
ArthurB a écrit :

dcdiag propre sauf test kccevent


Normal ta topologie échoue du au fait que les réplications entrantes ne se font plus.
La commande ci-dessus devrait te donner un indice sur un éventuel problème de topologie au cas où.

  


Message édité par statoon54 le 10-03-2013 à 17:04:23
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Suppression objet AD impossible

 

Sujets relatifs
RV042 dual wan... gestion trafic impossible [HELP][RESOLU] Perte mdp Administrateur suite a la suppression de AD
AD entre deux réseaux distincts !Cisco VPN distant monte mais impossible de pinger quoi que ce soit !
impossible d'accéder à un serveur microsoft exchange[Résolu] ACL NAS en multi-domaine AD
Copie d'utilisateurs d'un groupe AD à un autre[lag réseau] Ancien serveur AD remonte dans ipconfig /displaydns
Plus de sujets relatifs à : Suppression objet AD impossible


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR