Visiblement, j'ai un problème d'AD sur un de mes DC (2008R2).
J'ai des erreurs 1173, 1084 et 2108 périodiquement.
Le dcdiag est propre sauf le test kccevent.
Visiblement, l'AD local de ce serveur n'arrive pas à supprimer une imprimante déclarée; sur un DC sain, cette imprimante n’apparaît plus dans ADexplorer ou Adsiedit...
 
Et quand je veux la supprimer de ce DC malade : "Windows ne peut pas supprimer l'objet car Active Directory a rencontré une défaillance inconnue"   (depuis la console UOAD).
Depuis Adsiedit : suppression idem avec code erreur 0x20ef...
 
La création d'objet AD sur ce DC fonctionne et se réplique bien sur les autres DC...
 
J'ai essayé une restauration de base AD avec une base que je savais saine et mise au chaud (dcdiag propre) mais aujourd'hui le serveur me dit que cette base est corrompue...    
 
Bref, quelqu'un a-t-il déjà eu ce problème ?

sLt,  
 
As tu essayé un Metadata cleanup de ton objet ?

Salut,
 
Non pas tenté ça... C'est avec ntdsutil ?
Mais j'ai l'impression que c'est uniquement en cas de problème de dcpromo... J'ai pas envie de supprimer mon DC juste une imprimante...

Non mais tu as pas fait une restauration de ton AD juste pour un objet quand même ?

Vu les messages d'erreur des event 1084 et 2108 avec des corruptions de base AD, si...

Oui avec cet utilitaire normalement je supprime les entrées de mes DCs lorsque je les dépromouvois.
 
cf : http://technet.microsoft.com/en-us [...] 10%29.aspx

en fait bas Idea, je pensai que tu pouvais rentrer le nom de n'importe quel objet mais non lol dsl....

Dans ce cas tu as potentiellement tout péter.
 
Ton AD fonctionne correctement à présent ? Tu as fait quel type de restauration ?

Non l'AD ne fonctionne toujours pas correctement sur ce DC, pas de problème pour les autres DC...
 
Restauration via logiciel de sauvegarde.  
 
Potentiellement tout péter ? Tu fais quoi quand les manips habituelles avec esentutl et ntdsutil échouent à part une restauration ? Pour l'instant je voudrais éviter de le rétrograder car ce DC est aussi autorité de certification.
 
Le semantic checker est OK mais la defrag offline échoue...

Potentiellement tout pêter --> faire une restauration sans savoir comment ça se restaure justement.
 
Un annuaire AD, ça ne se restaure pas comme on restaure un fichier, en particulier si tu as plusieurs contrôleurs qui se synchronisent.
Si un des contrôleurs pose problème, il est parfois plus simple et plus propre de le rétrograder, de le nettoyer, puis de le promouvoir de nouveau comme contrôleur. Comme ça, tu récupères une base propre depuis les autres contrôleurs.
 
En l'occurence, tu as créé des incohérences dans ton archi en restaurant des données non consistantes. Maintenant, soit tu rétrogrades ton contrôleur pour le remettre d'aplomb, soit tu fais une restauration autoritative (en serrant les fesses, en supposant que tu as une sauvegarde clean,  et en sachant que tu vas perdre les modifications AD faites depuis la sauvegarde).

Déjà tu ne colles jamais une PKI sur un DC, c'est la pire chose à faire (je pense que tu comprends pourquoi).
Ensuite avant d'attaquer l'AD à coup de ntdsutil tu commences par cerner exactement quel est le problème et sa cause

Pour la CA, c'est un prestataire externe qui s'en est occupé... Et ça ne l'a pas dérangé de la positionner sur un DC... C'est vrai qu'on n'était pas riche en serveur...
 
Et donc je ne peux pas rétrograder ce DC puisqu'il y a la CA et que je ne sais absolument pas gérer cette CA...  
 
Le problème et sa cause ont été exposés dans mon post initial, d'après les event 1084 une imprimante déclarée dans l'AD bloque l'update :
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
 
La suppression manuelle de cette imprimante avec ADSIEdit ou Adexplorer échoue.
 
Ensuite j'ai essayé, en vain, de réparer la base AD qui est donc corrompue...
D'ailleurs l'integrity de ntdsutil échoue car mon serveur a plus de 20 cpu logiques, j'ai un patch à passer   ...  (http://support.microsoft.com/kb/2121690)
 
Et enfin une restauration via mon soft de sauvegarde de l'Active Directory, puisque c'est un 2008R2, je fais ça en arrêtant les services AD et en recopiant le contenu de ma sauvegarde dans mon répertoire \NTDS

OK donc avec ce mode de restauration foireux tu n'as aucune chance de corriger ton souci.
 
Fais un dcdiag sur l'ensemble des DC, il est possible que ce soit l'ensemble de ton AD qui est KO maintenant.

Non les dcdiag sont toujours propres sur les autres DC...

Situation délicate . Tes manipulations ont surement aggravé la situation.
Déjà que ton problème initial pouvait déjà être un objet non répliqué pour cause de USN rollback .
 
Ce que tu peux faire dans un premier temps c'est vérifier les tables utdv de chaque contrôleur afin de vérifier un possible RollBack au vu de ta méthode de restauration.
Tu te mets sur tes contrôleurs : repadmin /showutdvec dc01 "dc=toto,dc=adds" (adapte le nom de serveur et le nom du contexte racine en fonction du DC où tu te trouves)
Montre nous les tables de sortie de chaque contrôleur en nous précisant celui qui est défectueux.
 
Pour résoudre ton problème , tu devras passer par un backup de ta CA,en prévoyant une migration ailleurs que sur un DC et enfin désinstaller le rôle CA pour pouvoir rétrograder ton serveur.
 
 
 

Alors c 'est ton DC qui serait en cause, et il est déjà isolé ce qui expliquerait tes erreurs de KCC (enfin j'espère que tu n'as d'autres soucis sur les DC sains).
 
Solution :
1) Désinstaller la PKI et la réinstaller sur un autre serveur non DC
2) Formater le DC défaillant
2) metadata cleanup du DC défaillant sur l'AD sain, seize des rôles éventuels etc...
 
Un conseil fais-toi aider là-dessus (et pas par le presta à 2 € qui t'a collé la PKI sur un DC).

Oui à priori c'est bien la seule issue envisageable...

Attention, si tu bouges la CA, le serveur doit avoir le même nom que l'ancien

Non plus forcément maintenant, Microsoft a revu sa copie...

En effet, ça semble supporté mais pas recommandé vu les reparamétrages à faire

J'ai des "(retired)" pour mon DC malade sur les résultats des repadmin /showutdvec...

Ceux sont les usn que tu as restaurer (surement avec des restaurations antérieurs). Par contre les USN en cours pour tes dcs nous aiderait bien

Pas de rollback, et tes 2 autres DC fonctionnent correctement.
J'ai consulté tes tables et effectivement ce DC échoue sur les réplications entrantes.
Que donne la commande repadmin /showrepl * sur ce DC .
Je vois qu'il n'a pas reçu les modifications d'objets des 2 autres DC depuis le 02/03.
Les event id 1084 et 2108 laissent supposer que ton DC n'arrive pas à écrire les modifications transactionnelles sur ta base de donnée locale.
Pour t'aider commence par suivre ce KB , http://support.microsoft.com/kb/837932.
Vérifie que ce serveur ne possède aucun rôle.
Décoches le global catalogue sur ce DC -- methode 2 du KB
Teste une Defrag offline de la base de donnée.
Si réussite, tu peux lancer une réplication manuelle de tout les partitions d'annuaire pour gagner du temps .

Si tout échoue , va falloir passer par un demote complet et donc une migration de la CA.
Il aurait été préférable d'avoir une sauvegarde complète de ce serveur, faites avec un outil recommandé pour le backup de DC .

Je suis arrivé au même diag que toi et le defrag offline échoue...
 
showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

Que donne le dcdiag sur ce DC ?
Si c'est juste un problème de réplication,tu peux essayer de vérifier la cohérence des objets NTDS avec la console site&domaine et Adsiedit au niveau de la partition d'annuaire "Configuration".
Mais à mon avis tu dois avoir pas mal d'incohérences et la solution la plus simple reste un demote du serveur .
 

dcdiag propre sauf test kccevent

repadmin /showrepl * /all ou repadmin /showreps /all pour afficher le statut des réplications.

Normal ta topologie échoue du au fait que les réplications entrantes ne se font plus.
La commande ci-dessus devrait te donner un indice sur un éventuel problème de topologie au cas où.