Suppression objet AD impossible

Suppression objet AD impossible - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 05-03-2013 à 08:44:50    

:hello:  
 
Visiblement, j'ai un problème d'AD sur un de mes DC (2008R2).
J'ai des erreurs 1173, 1084 et 2108 périodiquement.
Le dcdiag est propre sauf le test kccevent.
Visiblement, l'AD local de ce serveur n'arrive pas à supprimer une imprimante déclarée; sur un DC sain, cette imprimante n’apparaît plus dans ADexplorer ou Adsiedit...
 
Et quand je veux la supprimer de ce DC malade : "Windows ne peut pas supprimer l'objet car Active Directory a rencontré une défaillance inconnue"  :whistle: (depuis la console UOAD).
Depuis Adsiedit : suppression idem avec code erreur 0x20ef...
 
La création d'objet AD sur ce DC fonctionne et se réplique bien sur les autres DC...
 
J'ai essayé une restauration de base AD avec une base que je savais saine et mise au chaud (dcdiag propre) mais aujourd'hui le serveur me dit que cette base est corrompue...  :heink:  
 
Bref, quelqu'un a-t-il déjà eu ce problème ?


Message édité par ArthurB le 05-03-2013 à 09:24:13
Reply

Marsh Posté le 05-03-2013 à 08:44:50   

Reply

Marsh Posté le 05-03-2013 à 10:10:39    

sLt,  
 
As tu essayé un Metadata cleanup de ton objet ?

Reply

Marsh Posté le 05-03-2013 à 10:35:30    

Salut,
 
Non pas tenté ça... C'est avec ntdsutil ?
Mais j'ai l'impression que c'est uniquement en cas de problème de dcpromo... J'ai pas envie de supprimer mon DC juste une imprimante...


Message édité par ArthurB le 05-03-2013 à 10:40:14
Reply

Marsh Posté le 05-03-2013 à 10:41:07    

Non mais tu as pas fait une restauration de ton AD juste pour un objet quand même ?

Reply

Marsh Posté le 05-03-2013 à 11:44:44    

Vu les messages d'erreur des event 1084 et 2108 avec des corruptions de base AD, si...

Reply

Marsh Posté le 05-03-2013 à 18:25:59    

Oui avec cet utilitaire normalement je supprime les entrées de mes DCs lorsque je les dépromouvois.
 
cf : http://technet.microsoft.com/en-us [...] 10%29.aspx

Reply

Marsh Posté le 05-03-2013 à 18:27:51    

en fait bas Idea, je pensai que tu pouvais rentrer le nom de n'importe quel objet mais non lol dsl....

Reply

Marsh Posté le 05-03-2013 à 18:44:25    

ArthurB a écrit :

Vu les messages d'erreur des event 1084 et 2108 avec des corruptions de base AD, si...


Dans ce cas tu as potentiellement tout péter.
 
Ton AD fonctionne correctement à présent ? Tu as fait quel type de restauration ?

Reply

Marsh Posté le 05-03-2013 à 20:21:39    

Non l'AD ne fonctionne toujours pas correctement sur ce DC, pas de problème pour les autres DC...
 
Restauration via logiciel de sauvegarde.  
 
Potentiellement tout péter ? Tu fais quoi quand les manips habituelles avec esentutl et ntdsutil échouent à part une restauration ? Pour l'instant je voudrais éviter de le rétrograder car ce DC est aussi autorité de certification.
 
Le semantic checker est OK mais la defrag offline échoue...

Message cité 1 fois
Message édité par ArthurB le 05-03-2013 à 20:23:10
Reply

Marsh Posté le 06-03-2013 à 10:03:29    

Potentiellement tout pêter --> faire une restauration sans savoir comment ça se restaure justement.
 
Un annuaire AD, ça ne se restaure pas comme on restaure un fichier, en particulier si tu as plusieurs contrôleurs qui se synchronisent.
Si un des contrôleurs pose problème, il est parfois plus simple et plus propre de le rétrograder, de le nettoyer, puis de le promouvoir de nouveau comme contrôleur. Comme ça, tu récupères une base propre depuis les autres contrôleurs.
 
En l'occurence, tu as créé des incohérences dans ton archi en restaurant des données non consistantes. Maintenant, soit tu rétrogrades ton contrôleur pour le remettre d'aplomb, soit tu fais une restauration autoritative (en serrant les fesses, en supposant que tu as une sauvegarde clean,  et en sachant que tu vas perdre les modifications AD faites depuis la sauvegarde).

Reply

Marsh Posté le 06-03-2013 à 10:03:29   

Reply

Marsh Posté le 06-03-2013 à 10:31:30    

ArthurB a écrit :

Non l'AD ne fonctionne toujours pas correctement sur ce DC, pas de problème pour les autres DC...
 
Restauration via logiciel de sauvegarde. [/quote]
Je te demande pas avec quoi, je te demande si tu as fait une restauration authoritative ou non par exemple.
 
[quote]
Potentiellement tout péter ? Tu fais quoi quand les manips habituelles avec esentutl et ntdsutil échouent à part une restauration ? Pour l'instant je voudrais éviter de le rétrograder car ce DC est aussi autorité de certification.
 
Le semantic checker est OK mais la defrag offline échoue...


Déjà tu ne colles jamais une PKI sur un DC, c'est la pire chose à faire (je pense que tu comprends pourquoi).
Ensuite avant d'attaquer l'AD à coup de ntdsutil tu commences par cerner exactement quel est le problème et sa cause :/

Reply

Marsh Posté le 06-03-2013 à 11:07:04    

Pour la CA, c'est un prestataire externe qui s'en est occupé... Et ça ne l'a pas dérangé de la positionner sur un DC... C'est vrai qu'on n'était pas riche en serveur...
 
Et donc je ne peux pas rétrograder ce DC puisqu'il y a la CA et que je ne sais absolument pas gérer cette CA...  
 
Le problème et sa cause ont été exposés dans mon post initial, d'après les event 1084 une imprimante déclarée dans l'AD bloque l'update :
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.  
 
La suppression manuelle de cette imprimante avec ADSIEdit ou Adexplorer échoue.
 
Ensuite j'ai essayé, en vain, de réparer la base AD qui est donc corrompue...
D'ailleurs l'integrity de ntdsutil échoue car mon serveur a plus de 20 cpu logiques, j'ai un patch à passer  :heink: ...  (http://support.microsoft.com/kb/2121690)
 
Et enfin une restauration via mon soft de sauvegarde de l'Active Directory, puisque c'est un 2008R2, je fais ça en arrêtant les services AD et en recopiant le contenu de ma sauvegarde dans mon répertoire \NTDS

Reply

Marsh Posté le 06-03-2013 à 15:50:04    

OK donc avec ce mode de restauration foireux tu n'as aucune chance de corriger ton souci.
 
Fais un dcdiag sur l'ensemble des DC, il est possible que ce soit l'ensemble de ton AD qui est KO maintenant.

Reply

Marsh Posté le 06-03-2013 à 16:14:13    

Non les dcdiag sont toujours propres sur les autres DC...

Reply

Marsh Posté le 06-03-2013 à 20:59:04    

Situation délicate . Tes manipulations ont surement aggravé la situation.
Déjà que ton problème initial pouvait déjà être un objet non répliqué pour cause de USN rollback .
 
Ce que tu peux faire dans un premier temps c'est vérifier les tables utdv de chaque contrôleur afin de vérifier un possible RollBack au vu de ta méthode de restauration.
Tu te mets sur tes contrôleurs : repadmin /showutdvec dc01 "dc=toto,dc=adds" (adapte le nom de serveur et le nom du contexte racine en fonction du DC où tu te trouves)
Montre nous les tables de sortie de chaque contrôleur en nous précisant celui qui est défectueux.
 
Pour résoudre ton problème , tu devras passer par un backup de ta CA,en prévoyant une migration ailleurs que sur un DC et enfin désinstaller le rôle CA pour pouvoir rétrograder ton serveur.
 
 
 

Reply

Marsh Posté le 06-03-2013 à 23:07:10    

ArthurB a écrit :

Non les dcdiag sont toujours propres sur les autres DC...


Alors c 'est ton DC qui serait en cause, et il est déjà isolé ce qui expliquerait tes erreurs de KCC (enfin j'espère que tu n'as d'autres soucis sur les DC sains).
 
Solution :
1) Désinstaller la PKI et la réinstaller sur un autre serveur non DC
2) Formater le DC défaillant
2) metadata cleanup du DC défaillant sur l'AD sain, seize des rôles éventuels etc...
 
Un conseil fais-toi aider là-dessus (et pas par le presta à 2 € qui t'a collé la PKI sur un DC).

Reply

Marsh Posté le 07-03-2013 à 08:30:42    

Oui à priori c'est bien la seule issue envisageable...

Reply

Marsh Posté le 07-03-2013 à 09:09:24    

Attention, si tu bouges la CA, le serveur doit avoir le même nom que l'ancien ;)

Reply

Marsh Posté le 07-03-2013 à 09:52:13    

Non plus forcément maintenant, Microsoft a revu sa copie...

Reply

Marsh Posté le 07-03-2013 à 11:43:34    

En effet, ça semble supporté mais pas recommandé vu les reparamétrages à faire

Reply

Marsh Posté le 07-03-2013 à 12:00:27    

statoon54 a écrit :

Situation délicate . Tes manipulations ont surement aggravé la situation.
Déjà que ton problème initial pouvait déjà être un objet non répliqué pour cause de USN rollback .
 
Ce que tu peux faire dans un premier temps c'est vérifier les tables utdv de chaque contrôleur afin de vérifier un possible RollBack au vu de ta méthode de restauration.
Tu te mets sur tes contrôleurs : repadmin /showutdvec dc01 "dc=toto,dc=adds" (adapte le nom de serveur et le nom du contexte racine en fonction du DC où tu te trouves)
Montre nous les tables de sortie de chaque contrôleur en nous précisant celui qui est défectueux.
 
Pour résoudre ton problème , tu devras passer par un backup de ta CA,en prévoyant une migration ailleurs que sur un DC et enfin désinstaller le rôle CA pour pouvoir rétrograder ton serveur.
 
 
 


J'ai des "(retired)" pour mon DC malade sur les résultats des repadmin /showutdvec...

Reply

Marsh Posté le 07-03-2013 à 12:53:27    

ArthurB a écrit :


J'ai des "(retired)" pour mon DC malade sur les résultats des repadmin /showutdvec...

 

Ceux sont les usn que tu as restaurer (surement avec des restaurations antérieurs). Par contre les USN en cours pour tes dcs nous aiderait bien ;)


Message édité par statoon54 le 07-03-2013 à 13:23:11
Reply

Marsh Posté le 08-03-2013 à 07:31:59    

Pas de rollback, et tes 2 autres DC fonctionnent correctement.
J'ai consulté tes tables et effectivement ce DC échoue sur les réplications entrantes.
Que donne la commande repadmin /showrepl * sur ce DC .
Je vois qu'il n'a pas reçu les modifications d'objets des 2 autres DC depuis le 02/03.
Les event id 1084 et 2108 laissent supposer que ton DC n'arrive pas à écrire les modifications transactionnelles sur ta base de donnée locale.
Pour t'aider commence par suivre ce KB , http://support.microsoft.com/kb/837932.
Vérifie que ce serveur ne possède aucun rôle.
Décoches le global catalogue sur ce DC -- methode 2 du KB
Teste une Defrag offline de la base de donnée.
Si réussite, tu peux lancer une réplication manuelle de tout les partitions d'annuaire pour gagner du temps .

 

Si tout échoue , va falloir passer par un demote complet et donc une migration de la CA.
Il aurait été préférable d'avoir une sauvegarde complète de ce serveur, faites avec un outil recommandé pour le backup de DC .

 


Message édité par statoon54 le 08-03-2013 à 19:19:08
Reply

Marsh Posté le 08-03-2013 à 08:37:24    

Je suis arrivé au même diag que toi et le defrag offline échoue...
 
showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

Message cité 2 fois
Message édité par ArthurB le 08-03-2013 à 08:55:01
Reply

Marsh Posté le 08-03-2013 à 13:33:30    

ArthurB a écrit :

Je suis arrivé au même diag que toi et le defrag offline échoue...

 

showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

 

Que donne le dcdiag sur ce DC ?
Si c'est juste un problème de réplication,tu peux essayer de vérifier la cohérence des objets NTDS avec la console site&domaine et Adsiedit au niveau de la partition d'annuaire "Configuration".
Mais à mon avis tu dois avoir pas mal d'incohérences et la solution la plus simple reste un demote du serveur .
 

 



Message édité par statoon54 le 08-03-2013 à 13:36:08
Reply

Marsh Posté le 08-03-2013 à 13:34:17    

dcdiag propre sauf test kccevent

Message cité 1 fois
Message édité par ArthurB le 08-03-2013 à 13:34:32
Reply

Marsh Posté le 08-03-2013 à 19:18:49    

ArthurB a écrit :

Je suis arrivé au même diag que toi et le defrag offline échoue...

 

showreps * :
[d:\nt\ds\ds\src\util\repadmin\repbind.c, 154] LDAP error 81 (Serveur hors service) Win32 Err 58.

 

repadmin /showrepl * /all ou repadmin /showreps /all pour afficher le statut des réplications.

 
ArthurB a écrit :

dcdiag propre sauf test kccevent


Normal ta topologie échoue du au fait que les réplications entrantes ne se font plus.
La commande ci-dessus devrait te donner un indice sur un éventuel problème de topologie au cas où.

  


Message édité par statoon54 le 10-03-2013 à 17:04:23
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed