suite panne temporaire du 1er DC, problème avec services DFS ... - Management du SI - Systèmes & Réseaux Pro
Marsh Posté le 16-05-2014 à 12:39:46
on a eu aussi quelques problemes avec ces services.
nous le probleme venait de résidus et d'incohérences dans le DNS (et comme tout le reste s'appuie sur DNS...)
tes AD répliquent bien? tes enregistrements DNS aussi?
je ne suis pas spécialiste mais il peut etre intéressant de regarder là en premier, je laisse la communauté continuer le diag plus finement
Marsh Posté le 16-05-2014 à 12:44:56
Ca dépend comment est configuré ton AD, mais sur une version à jour le WINS et le NTFRS sont désactivés. Vous n'avez pas transféré les rôles pendant la panne ? Commbien de temps à durer celle-ci ?
Marsh Posté le 16-05-2014 à 13:18:29
La panne a durée une semaine. Pas de transfert de rôle. Par contre, depuis qu'il a été remis en marche, j'ai basculé les roles sur l'eautre comme je voyais qu'il y avait des services HS sur le 1er. (et je comptais refaire le dcpromo mais ne l'ai pas fait par crainte de faire des bêtises).
wins est un service que j'avais installé. DFS aussi (pour repliquer des fichiers).
Quelles opérations de maintenance puis-je faire sur le DNS ?
Marsh Posté le 16-05-2014 à 16:44:01
Après vérification, il y a un beau bazar sur mon serveur. Je comprends pas ce qui s'est passé :
Message du gestionnaire AD DS :
"Ce contrôleur de domaine a migré vers l’utilisation du service de réplication DFS pour répliquer le partage SYSVOL. L’utilisation du service de réplication de fichiers pour la réplication des ensembles de contenu autres que SYSVOL a été désapprouvée et par conséquent, le service a été arrêté. Le service de réplication DFS est recommandé pour la réplication de dossiers, le partage SYSVOL sur les contrôleurs de domaine et les cibles des liens DFS."
Mais j'ai rien migré du tout, ou en tout cas, j'ai aps fait exprès !
Que faire ?
Marsh Posté le 16-05-2014 à 17:05:35
Je vais poster quelques logs. Je commence par le début : ipconfig
configuration IP de windows :
suffixe dns principal : toto.clg (le nom pleinement qualifié du domaine)
liste de recherche de suffixe dns : toto.clg
carte ethernet :
suffixe dns propre à la connexion : VIDE >> normal ?
...
Marsh Posté le 16-05-2014 à 17:15:59
Dans la console : "gestion du système de fichiers ditribuées DFS, j'ai
1 espace de nom : toto.clg\dossiers
> croix rouge : impossible d'interroger l'espace de nom, le serveur rpc n'est pas disponible.
et dans réplication (flèches vertes) :
Domain sytem volume (et dedans les sysvol des 2 serveurs)
toto.clg\dossiers\repertoire que je synchronise
Le service Replication DFS (RDFS) tourne...
Marsh Posté le 16-05-2014 à 18:01:34
Tu dis qu'il n'y pas eu de transfert de rôle et dans la phrase suivante tu dis que tu as transféré les rôles, j'ai un peu de mal à comprendre.
vérifie la réplication avec repadmin /showreps, ensuite fais un dcdiag, et regarde les erreurs dans l'observateur d’événements.
Marsh Posté le 16-05-2014 à 18:05:16
Le service "espace de noms DFS" tourne pas... quand je le démarre erreur sur le démarrage d'un service dépendant.
En fait, j'ai le problème depuis plusierus jours et j'ai en effet tranferré tous les rôles vers le serveur semblant le plus sain aujourd'hui, mais mes replication DFS & sysvol fonctionait déja pas avant cela.
Là j'ai supprimé le service wins.
Marsh Posté le 16-05-2014 à 18:16:52
Truc bizar :
J'ai fouillé dans la console DNS de serveur1 , je regarde les propriété de :
zone de recherche directe > _msdcs.toto;clg et dans serveur de noms, j'ai :
serveur2.toto.clg / adresse IP correct
serveur1.toto.clg / adresse IP inconnue -> je clique sur modifier, puis résoudre et là étrange :
il m'affiche 3 lignes:
"V" vert ::1 OK
"X" rouge : adresse bidon en 169.254.... une erreur....
"X rouge" : la bonne IP .... une erreur..
::1 cela signifie localhost ?? pourquoi il ne veut pas de mon IP ?
Je regarde sur le DNS du serveur2... j'ai aussi ce ::1 qui semble coreespondre à localhost, mais il a sa propre ip en vert par contre et pas de soucis non plus sur l'Ip du serveur1;
Bref, j'ai l'impression que le DNS du serveur1 a des soucis et que c'est à l'origine des autres.
Marsh Posté le 16-05-2014 à 18:20:13
il faut que tu prennes les problèmes dans l'ordre. D'abord occupe toi de la réplication AD et DNS, le wins et le DFS ne sont pas la priorité.
Je doute le transfert de rôle fonctionne avec une réplication défaillante, aurais tu utilisé la commande "seize" pour forcer la prise de rôles ?
Marsh Posté le 21-05-2014 à 01:15:31
oui, c'est l'autre serveur qui a tous les rôles à présent.
N'ai-jz pas la possibilité de réinstaller AD, DNS, ... sur le 1er serveur (qui contient les homes) maintenant ? sans rien casser ?
Marsh Posté le 21-05-2014 à 05:57:16
MLG a écrit : Après vérification, il y a un beau bazar sur mon serveur. Je comprends pas ce qui s'est passé : |
Tu as migré de NTFRS vers DFS ? A quel moment as-tu ce message d'erreur ?
Malheureusement d'après ce que tu dis c'est peut-être toute la couche AD/DNS qui est KO, et comme tu as attendu trop longtemps après la panne du premier DC, puis fais des manip que tu ne maîtrises pas (transfert (?) de rôles, WINS, etc...) tu as peut-être rajouter encore plus de problèmes.
Il faudrait diagnostiquer l'état de ton AD, du DNS et du second contrôleur, corriger les deux premiers premiers, vérifier que le second est sain et soit remettre en état soit démoter le premier DC. Pour ça il va falloir faire appel à une presta spécialisée à mon avis, via le forum ça va s'avérer compliqué.
Marsh Posté le 22-05-2014 à 21:04:54
Je n'ai pas tenté de fait de migration NTFRS vers DFS non. J'ai le message dans le gestionnaire de serveur.
la panne a duré 8 jours.
Un dcdiag pourrait me donner des bonnes infos ?
Marsh Posté le 26-05-2014 à 17:35:51
J'imagine que mon problème va être un peu coton à résoudre via le forum... En solution de facilité n°1 je voyais la "dépromotion" du DC et sa repromotion, (+ reinstall DNS).
sinon, j'ai une sauvegarde complète (fichiers, etat système) datant d'avant les problèmes.
Pourrais-je essayer sans risque de la restaurer ? Sur les 2 serveur, pour les remettre à des dates identiques ou presque ?
Est-ce sans risques ?
merci
Marsh Posté le 26-05-2014 à 21:50:47
Tu restaures de cette façon là et tu bousilles tout à coup sûr. Un DC se restaure de façon spécifique.
La dépromotion pourrait être un début de solution, mais à voir selon l'état de ton AD dont on ignore tout (cela ne sera certainement pas suffisant).
Bref fais-toi accompagner, c'est un sujet trop complexe et trop casse-gueule pour se la jouer cow-boy solitaire.
Marsh Posté le 27-05-2014 à 13:01:46
idem, que Nebulios, pas de restauration, elles sont trop anciennes et c'est trop risqué. Demande à un prestataire et n'attend pas trop longtemps, si tu as du DFS et des fichiers des 2 cotés, ça risque d'être le bordel.
Marsh Posté le 27-05-2014 à 15:56:30
OK.. je pense que je vais attendre les vacances.
Pour la réplication, cela concerne sysvol, et sinon, j'ai juste créé une réplication pour les msi à déployer.
Marsh Posté le 27-05-2014 à 22:29:17
Tu me fais peur à vouloir repousser, tu risques d'avoir plus de problèmes. Si jamais tu as besoin de restaurer des fichiers ce sera mort.
Marsh Posté le 30-05-2014 à 17:55:50
Quelques nouvelles... J'ai donc dépromu le DC1, supprimer DFS, DFSR... repromu dans la foulée et remis DFS DFSR
Le DNS va mieux
Le service de Replication DFS (DFSR) tourne
Le partage netlogon était pas là, il a fallu bidouiller... ca semble OK
L'espace de nom DFS (DFS) ne démarre pas !!! et sans cela pas de réplication apparemment.
Tout s'appuie la dessus non (DNS, AD, ..) ?
Tout est au vert, sauf ce fichu service. Registre à distance était à l'arret. J'ai du le remettrre en marche..
Une suggestion ?
Marsh Posté le 31-05-2014 à 16:48:03
Il y a un truc qui m'echappe...
Si on veux 2 DC, et qu'on ne souhaite pas mettre en place de réplication DFS pour les fichiers, on a pas besoin d'installer la replication DFS non ? ni l'espace de nom DFS ?
Le simple fait d'ajouter un 2nd DC n'ajoute pas ce qu'il faut ?
Il y aurais un moyen de recommencer ce que je viens de faire en supprimant au préalable (je ne sais pas quoi, ni comment) ce qui pourrait gêner le démarrage de l'espace de nom.
C'est étonnant d'avoir un serveur OK et un autre qui va mal, alors qu'ils se partageaient les mêmes config pour tout ce qui est DFS je pense.
Marsh Posté le 31-05-2014 à 18:32:57
quand tu as "dépromu" ton dc, tu as bien nettoyé ton AD apres? viré les "morceuax" qui trainent dans DNS et dans sites et services? les fameuses metadata du ntds....
nous ça avait foutu le merdier... mais finalement apres avoir supprimé, nettoyé et renommé le serveur puis l'avoir réintégré... ça s'est bien passé
Marsh Posté le 31-05-2014 à 19:31:35
Tu auras une réplication entre tes 2 AD en FRS ou DFS.
Ensuite tu peux installer le rôle DFS pour le partage de fichiers et les espaces de noms.
Ce second utilisera la réplication des AD pour se faire.
Fais ce qu'a dis Rodrigo35 pour commencer.
Marsh Posté le 31-05-2014 à 23:02:58
Si je nettoie (je ne sais pas comment) mon AD, je ne vire pas de "morceaux utile" ? Je ne tiens pas à perdre le contenu de mon annuaire.
Marsh Posté le 31-05-2014 à 23:17:31
il faut supprimer les anciennes entrées avec le nom du serveur dans l'ad, dns, adsiedit (si le nouveau serveur à un nom différent)
Marsh Posté le 01-06-2014 à 11:17:52
Là il n'y a pas de nouveau serveur. J'ai 1 de mes 2 DC qui a ce problème de service qui démarre pas.
C'est peut-être juste ce qui est propre à DFS qu'il faudrait que je supprime ? (espace de nom... ) . J'étais allé faire un tour dans adsiedit et j'avais trouvé l'espace de nom exista,t (car j'avais pas vu comment le supprimer à la main.
Dans les message d'erreur, il y en a un qui me conseille de sortir le DC du groupe de replication, puis de le remettre mais vu que c'est la replication sysvol qui est touché, on a pas la main pour faire cela. J'avais donc jeté un oeil dans adsiedit, mais comme les suppression par ce biais me semblait un peu violente, j'ai pas osé... Peut-être pourrais commenncer par suppriemr tout ce qui fait référence à ce DC dans tout ce qui est replication, espace de nom... non ?
Merci !
Marsh Posté le 01-06-2014 à 22:34:02
si la réplication du sysvol ne se fait pas bien, il y a un soucis de réplication entre les ad, utilise la commande repadmin /showreps pour vérifier son état.
Marsh Posté le 02-06-2014 à 10:50:34
Cette commande teste les 5 rôles fsmo, c'est ça ? Ils sont tous sur l'autre DC et j'obtiens "a réussi" pour tous.
Je n'ai vraiment plus que tout ce qui est réplication qui ne fonctionne pas (sysvol, ... ), en raison du non démarrage du service "Espace de nom DFS" sur un des 2 DC.
Marsh Posté le 02-06-2014 à 12:53:50
c'est netdom query fsmo qui te donnera les rôles FSMO.
Le repadmin /showreps te permet d'avoir l'état de la réplication.
Marsh Posté le 02-06-2014 à 17:21:35
La réponse à ce test parle des "instances voisines entrantes" et chaque s tentatives "a reussi", et c'est le cas, que je lance la commande du DC1 ou du DC2.
Petit test pratique :
Je déplace une machine d'une OU à une autre sur un DC, ca le déplace automatiquement sur l'autre, ouf, au moins un truc qui se synchronise.
2nd test :
Edition d'une GPO sur DC1 > Mise à jour sur DC2 > cool ! Je verrai deman si la gpo s'applique ou pas (deploiement applis).
Par contre si je modifie le contenu de \\DC1\netlogon cela ne se repercute pas sur le DC2 (et vice versa). Et mes reeplication DFS (j'avais que les msi heuresement) ne se font pas mieux.
Comme netlogon, pour moi c'est un sous dossier de sysvol, j'en avait conclu que la replication sysvol était HS, mais vu mes 2 tests, c'est peut-être pas le cas. Tant mieux ! Selon vous la replication de sysvol est OK ? C'est moins grave docteur ?
reste à trouver ce qui bloque le démarrage de ce fichu service "espace de nom". Qu'est-ce que je pourrais virer sans risque via adsiedit ? J'aimerais pourvoir casser tout ce qui est réplication de fichiers et pouvoir le refaire...
Merci pour votre obstination à vouloir m'aider
Marsh Posté le 02-06-2014 à 23:38:06
La réplication doit se passer si tu as "réussi" qui s'affiche.
Si les dossiers sysvol sont pas synchronisés, il y aura peut être la clé de registre Burflags à utiliser, mais c'est difficile de te dire si ce sera la bonne solution.
Marsh Posté le 03-06-2014 à 14:20:31
Est-ce que je suis censé utiliser NtFRS pour la réplication ?
Car là le service est arreté chez moi, et si je suis la procédure décrite ici :
http://support.microsoft.com/kb/290762/fr
La 1ère chose qu'on doit faire c'est arreter le service...
Sur 2012, ce n'est pas DFSR qui fait le boulot à la place de NTFrs ? Cela change quelqu chose pour l'utilisation de la clé Burflags ?
Cela serait pas plutôt cette procédure sur 2012 server : http://kpytko.pl/2013/12/12/non-au [...] ore-dfs-r/
Merci par avance
Marsh Posté le 03-06-2014 à 18:55:19
C'est bien le DFSR qui fait la réplication a la place du NTFRS sur 2012.
La procédure a l'air correcte, mais je n'ai jamais essayé cette technique sur le 2012. Je te conseille de faire cette technique qu'en dernier recours.
Marsh Posté le 04-06-2014 à 11:39:38
En dernier recours.. OK, mais avant cela, que puis-je tenter alors ?
Marsh Posté le 05-06-2014 à 19:43:31
Ca y est je me suis lancé... mais cela n'a rien donné, alors j'ai regardé d'un peu plus près le serveur qui me semblait ne pas avoir de problème et j'ai vu qu'il avait lui aussi des soucis de type que j'ai pu résoudre grâce à une commande du style : wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="<volume-GUID>" call ResumeReplication
Je ne sais pas si les manips d'avant ont eu une utilité mais en tout ca ma réplication sysvol fonctionne à nouveau correctement (AD, gpo aussi, pas regardé si le dns se répliquait.. )
Mais j'ai toujours ce fichu service d'espace de nom DFS qui refuse de démarrer sur le 1er DC.
Ce service ne sert donc que pour la replication des fichiers mis en place par l'administrateur ? (juste les msi chez moi, heureusement).
Cela serait chouette si vous aviez une piste à explorer encore pour ce problème. J'ai quand même l'impression de progresser
merci et a+
Marsh Posté le 06-06-2014 à 13:20:54
Pour essayer de faire simple, on a 2 DFS :
- le premier pour la réplication d'AD.
- le second pour faire du partage de fichiers. C'est intéressant si tu as plusieurs sites, cela te permet de synchroniser tes serveurs de fichiers (distants) entre eux. L'espace de nom est installé dans ce 2eme cas (mais il faut le sélectionner, sinon il n'est pas installé automatiquement.)
Par exemple, Supposons que tu as 2 sites Paris et Londres.
un serveur de fichier SRV-PARIS à Paris et un SRV-LONDRES à Londres.
Et ton espace de nom se nomme "serveur fichiers",
Si tu te connectes sur l'espace de nom "serveur fichiers" à Paris, ton poste ira se connecter sur le serveur de Paris, et tu le fais à Londres, il ira sur le serveur de Londres.
L'espace de nom n'est pas obligatoire pour une réplication AD, ni pour la réplication de fichiers, c'est juste un raccourci.
Cela ne sera pas gênant pour le fonctionnement, tu peux essayer de le désinstaller et réinstaller, mais garde toujours une sauvegarde au cas où.
Marsh Posté le 09-06-2014 à 14:30:48
Bonjour,
J'interviens un peu tard et aux vues de toutes les manip déjà réalisées ça ne servira pas à grand chose et ça n'aidera pas (des problèmes ont été ajouté aux problèmes initiaux, donc il doit y avoir maintenant une multitude de sources de problème).
Lorsqu'on installe un foret/domine Active Directory il y a des procédures spécifiques à réaliser pour les sauvegardes.
Idem, en cas de crash de DC, d'AD ou autre, il y a des procédures spécifiques pour les restaurations.
Rien de bien compliqué, mais si on respecte bien les recommandations Microsoft, on se protège de bien des galères.
Il faut maitriser un minimum:
- Un environnement Windows Server: http://www.labo-microsoft.org/mcp/70-290/
- L'implémentation, la gestion & maintenance d'un serveur Windows: http://www.labo-microsoft.org/mcp/70-291/
- L'infrastructure AD: http://www.labo-microsoft.org/mcp/70-294/
Les liens sont anciens (infra WK23) mais les principes de bases restent les mêmes.
Ca évite les galères décrites, de se lancer dans des manip à l'aveugle (car là c'est de la bidouille) et ce genre de post.
Et bien sure, se mettre à jour grâce au Technet: http://technet.microsoft.com/fr-FR/
Comme je le disais, ça n'aide pas et ça peut même avoir tendance à énerver car quand ça déconne on recherche une solution pas une leçon de morale (ce qui n'est pas le cas car je me contrefout totalement de la manière dont les gens s'occupent de leur réseau) mais gérer une infra informatique requière de respecter un minimum les procédures éditeurs (et de professionnalisme), autant que cette mauvaise Exp serve pour une prochaine fois en se préparant mieux.
Marsh Posté le 09-06-2014 à 18:32:52
Merci pour tes conseils,
Cela dit, si tout n'est pas fait dans les règles de l'art dans mon cas sans doute, c'est par ce q je fais cela en plus de mon métier, Je ne suis absolument pas un professionnel de l'informatique. Cela n'est pas du tout mon metier. Je gère tout cela (et les stations) pour 2000€ par an en heure sup, faites en plus de mon activité, (fiscalisées maintenant) et c'est à moi de me former seul. (2 DC, 1 proxy, 100 postes client, 700 users)
Je ne pense pas avoir agravé les problèmes non. J'en ai moins qu'au début du poste et pas sûre que cette littérature sur 2003 m'aide beaucoup pour mes problèmes de réplication DFS, vu les changements depuis ! Les commandes que j'ai lancées sont pour la plupart des commandes qui m'ont été indiquée par le journal des événements (ou liens microsoft selon les event id).
merci quand même (suite bientôt).
Je cherche une solution pour reconstruire toute la partie "escpace de nom - DFS" sans casser le reste. Là ca tourne pas à cause du service DFS qui refuse de démarrer. Du ménage à faire encore peut-être ?
Marsh Posté le 09-06-2014 à 20:12:36
Vu le contexte, je comprends.
Mais je pense qu'il serait temps que ton entreprise prenne soit une personne soit sous traite l'info.
Sinon il va être très difficile de donner des conseils vu de l'extérieur sans accès aux bécanes.
Tu peux te rendre sur le forum du technet et poser ta question en donnant toutes les infos comme ici:
http://social.technet.microsoft.co [...] -sysvolect
Commence par expliquer que c'est pas ton métier de base... certains sont bien plus virulent que moi
Et ça fait un moment que je fait plus d'admin donc pas trop envie de remettre le nez dedans pour tout dire(donc j'irai pas plus loin)
Marsh Posté le 16-05-2014 à 11:58:00
Bonjour,
Je gère un réseau doté de 2 contrôleur de domaines sous windows 2012 server.
Le 1er, qui avait les rôles FSMO, est tombé en panne suite à un problème de controleur raid pendant une semaine.
Pendant ce temps là on a travaillé (avec du mal) avec le 2ème DC... et ce qui était en cache.
On a réussi à redémarrer le 1er serveur en l'état, sauf que les services NtFrs et DFS n'ont pas redémarré et refuse de démarrer, ce qui évidemment engendre bien des désordres, même si en attendant on arrive à travailler quasiment comme avant. (services ne pouvant démarrer : wins ntfrs dfs)
Que faire ?
transferer les roles fsmo au 2nd puis "dépromouvoir" le 1er et refaire un dcpromo ? (risques ??? )
Autre solution ? commande ?
Merci par avance pour votre aide, car même si j'ai la responsabilité de tout cela, je ne suis pas du tout un pro ! (et j'espère poster dans la bonne catégorie)
Message édité par MLG le 16-05-2014 à 12:13:27