Date/heure, DC crashé et réplication

[xavier8854]

Bonjour,

Je suis nouveau sur ce forum, alors je me présente rapidement : Xavier 57 ans, admin système Linux/FreeBSD depuis 20 ans, Windows Serveur depuis 10 ans.

Tout d'abord, je précise que mon DNS est correct, les noms de machines entre parenthèses sont de moi. Le reverse fonctionne aussi.
Les trois DC sont du 2008R2, niveau fonctionnel 2003.

PS C:\Users\xavier> nslookup creps-idf.fr
Serveur : ns.creps-idf.fr
Address: 172.16.214.251

Nom : creps-idf.fr
Addresses: 172.16.214.115 (srv-dc)
            172.16.214.212 (concha)
            172.16.214.168 (srvaccueil)

En fait, tout marchait jusque vendredi, où le DC "srvaccueil" a crashé. Le nettoyage d'AD n'est pas possible :
"Sites & Services Active Directory" me renvoie "Accès refusé" lorsque je veux supprimer le serveur fautif. Même erreur avec ntdsutil.

Du coup, tout mon AD refuse de se répliquer :

PS C:\Users\xavier> dcdiag

Diagnostic du serveur d'annuaire

Exécution de l'installation initiale :
   Tentative de recherche de serveur associé...
   Serveur associé : SRV-DC
   * Forêt AD identifiée.
   Collecte des informations initiales terminée.

Exécution des tests initiaux nécessaires

   Test du serveur : CREPS-IDF\SRV-DC
      Démarrage du test : Connectivity
         ......................... Le test Connectivity de SRV-DC a réussi

Exécution des tests principaux

   Test du serveur : CREPS-IDF\SRV-DC
      Démarrage du test : Advertising
         ......................... Le test Advertising de SRV-DC a réussi
      Démarrage du test : FrsEvent
         Erreurs ou avertissements détectés au cours des dernières 24 heures après le partage de SYSVOL. Des problèmes liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes de Stratégie de groupe.
         ......................... Le test FrsEvent de SRV-DC a réussi
      Démarrage du test : DFSREvent
         ......................... Le test DFSREvent de SRV-DC a réussi
      Démarrage du test : SysVolCheck
         ......................... Le test SysVolCheck de SRV-DC a réussi
      Démarrage du test : KccEvent
         Un événement d'avertissement s'est produit. ID de l'événement : 0x80000785
            Temps généré : 10/05/2015 18:27:58
            Chaîne d'événement :
            Échec de la tentative d'établissement d'un lien de réplication pour la partition de répertoire inscriptible

         Un événement d'avertissement s'est produit. ID de l'événement : 0x8000082C
            Temps généré : 10/05/2015 18:28:47
            Chaîne d'événement :
         ......................... Le test KccEvent de SRV-DC a réussi
      Démarrage du test : KnowsOfRoleHolders
         ......................... Le test KnowsOfRoleHolders de SRV-DC a réussi
      Démarrage du test : MachineAccount
         ......................... Le test MachineAccount de SRV-DC a réussi
      Démarrage du test : NCSecDesc
         ......................... Le test NCSecDesc de SRV-DC a réussi
      Démarrage du test : NetLogons
         ......................... Le test NetLogons de SRV-DC a réussi
      Démarrage du test : ObjectsReplicated
         ......................... Le test ObjectsReplicated de SRV-DC a réussi
      Démarrage du test : Replications
         [Replications Check,SRV-DC] Une tentative de réplication récente a échoué :
            De CONCHA vers SRV-DC
            Contexte de nommage : CN=Schema,CN=Configuration,DC=creps-idf,DC=fr
            La réplication a généré une erreur (1398) :
            L'heure et la date ne sont pas les mêmes entre le client et le serveur.
            L'échec s'est produit à 2015-10-05 17:57:47.
            La dernière réussite s'est produite à 2015-09-30 13:58:17.
            54 échecs se sont produits depuis la dernière réussite.
            Erreur Kerberos.
            Vérifiez que l'heure système entre les deux serveurs est suffisamment proche. Vérifiez aussi que le service de temps fonctionne.
         [Replications Check,SRV-DC] Une tentative de réplication récente a échoué :
            De CONCHA vers SRV-DC
            Contexte de nommage : CN=Configuration,DC=creps-idf,DC=fr
            La réplication a généré une erreur (1398) :
            L'heure et la date ne sont pas les mêmes entre le client et le serveur.
            L'échec s'est produit à 2015-10-05 17:57:47.
            La dernière réussite s'est produite à 2015-09-30 13:58:17.
            66 échecs se sont produits depuis la dernière réussite.
            Erreur Kerberos.
            Vérifiez que l'heure système entre les deux serveurs est suffisamment proche. Vérifiez aussi que le service de temps fonctionne.
         [Replications Check,SRV-DC] Une tentative de réplication récente a échoué :
            De CONCHA vers SRV-DC
            Contexte de nommage : DC=creps-idf,DC=fr
            La réplication a généré une erreur (1398) :
            L'heure et la date ne sont pas les mêmes entre le client et le serveur.
            L'échec s'est produit à 2015-10-05 17:57:47.
            La dernière réussite s'est produite à 2015-09-30 15:44:33.
            414 échecs se sont produits depuis la dernière réussite.
            Erreur Kerberos.
            Vérifiez que l'heure système entre les deux serveurs est suffisamment proche. Vérifiez aussi que le service de temps fonctionne.
         ......................... Le test Replications de SRV-DC a échoué
      Démarrage du test : RidManager
         ......................... Le test RidManager de SRV-DC a réussi
      Démarrage du test : Services
         ......................... Le test Services de SRV-DC a réussi
      Démarrage du test : SystemLog
         Un événement d'erreur s'est produit. ID de l'événement : 0xC000042B
            Temps généré : 10/05/2015 17:32:14
            Chaîne d'événement :
            Le serveur Terminal Server ne peut pas inscrire « TERMSRV » comme nom principal du service pour l'authentifcation du serveur. L'erreur suivante s'est produite : L'heure et la date ne sont pas les mêmes entre le client et le serveur.
         Un événement d'erreur s'est produit. ID de l'événement : 0xC000042B
            Temps généré : 10/05/2015 18:28:48
            Chaîne d'événement :
            Le serveur Terminal Server ne peut pas inscrire « TERMSRV » comme nom principal du service pour l'authentifcation du serveur. L'erreur suivante s'est produite : L'heure et la date ne sont pas les mêmes entre le client et le serveur.
         ......................... Le test SystemLog de SRV-DC a échoué
      Démarrage du test : VerifyReferences
         ......................... Le test VerifyReferences de SRV-DC a réussi


   Exécution de tests de partitions sur Schema
      Démarrage du test : CheckSDRefDom
         ......................... Le test CheckSDRefDom de Schema a réussi
      Démarrage du test : CrossRefValidation
         ......................... Le test CrossRefValidation de Schema a réussi

   Exécution de tests de partitions sur Configuration
      Démarrage du test : CheckSDRefDom
         ......................... Le test CheckSDRefDom de Configuration a réussi
      Démarrage du test : CrossRefValidation
         ......................... Le test CrossRefValidation de Configuration a réussi

   Exécution de tests de partitions sur creps-idf
      Démarrage du test : CheckSDRefDom
         ......................... Le test CheckSDRefDom de creps-idf a réussi
      Démarrage du test : CrossRefValidation
         ......................... Le test CrossRefValidation de creps-idf a réussi

   Exécution de tests d'entreprise sur creps-idf.fr
      Démarrage du test : LocatorCheck
         ......................... Le test LocatorCheck de creps-idf.fr a réussi
      Démarrage du test : Intersite
         ......................... Le test Intersite de creps-idf.fr a réussi

Bon le coup de la date me titille, d'autant que depuis le crash, 1 utilisateur sur 10 a le même message à l'ouverture de session.
Je règle ça sur "concha", c'est OK, que ce sopit par AD, ou par SNTP. Par contre, sur "srv-dc", aucune méthode de mise à l'heure ne fonctionne :

PS C:\Users\xavier> w32tm /config /syncfromflags:manual /manualpeerlist:"ntp.creps-idf.fr" <-- machine Linux synchronisée par un NTP racine
La commande s'est terminée correctement.
PS C:\Users\xavier> w32tm /query /status
Indicateur de dérive : 0(Aucun avertissement)
Couche : 1 (Référence principale, synchronisée par l'horloge du réveil)
Précision : -6 (15.625ms par battement)
Délai de racine : 0.0000000s
Dispersion de racine : 10.0000000s
ID de référence : 0x4C4F434C (Nom de la source : "LOCL")
Heure de la dernière synchronisation réussie : 05/10/2015 17:03:52
Source : Local CMOS Clock
Intervalle d'interrogation : 6 (64s)

Ce serveur est une machine virtuelle, dont l'heure de l'hôte est correctement synchronisée, mais d'autres VMs synchronisent leur heure sur l'AD (ou SNTP) sans souci.

Que se passe-t-il ? Que puis-je faire d'autre comme tests ? Et comment me débarasser du serveur crashé, si c'est lui le responsable du bazar ?

Et n'hésitez pas à me rediriger sur le bon forum si celui-ci n'est pas approprié.

Merci de votre aide,

Xav

[magnancc51]

Bonjour,

J'ai pas trop compris ce que tu as fait.

Ton serveur a crashé mais qu'as tu fait par la suite avec ntdsutil ?
Un metadata cleanup ?

Pourquoi ne ps avoir tenté de restauration ?

[xavier8854]

Bonjour,

J'ai pas trop compris ce que tu as fait.

Ton serveur a crashé mais qu'as tu fait par la suite avec ntdsutil ?
Un metadata cleanup ?

Oui, j'ai suivi scrupuleusement la technote MS pour supprimer un serveur crashé. Ou celle de l'excellent petri : https://www.petri.com/delete_failed_dcs_from_ad.

PS C:\Users\xavier> ntdsutil
C:\Windows\system32\ntdsutil.exe: metadata cleanup
metadata cleanup: connections
server connections: connect to server srv-dc
Liaison à srv-dc...
Connecté à srv-dc en utilisant les informations d'identification d'un
utilisateur connecté localement.
server connections: q
metadata cleanup: select operation target
select operation target: list domains
1 domaine(s) trouvé(s)
0 - DC=creps-idf,DC=fr
select operation target: select domain 0
Aucun site actuellement
Domaine - DC=creps-idf,DC=fr
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: list sites
1 site(s) trouvé(s)
0 - CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
select operation target: select site 0
Site - CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
Domaine - DC=creps-idf,DC=fr
Aucun serveur actuellement
Pas de contexte de nommage en cours
select operation target: List servers in site
3 serveur(s) trouvé(s)
0 - CN=SRVACCUEIL,CN=Servers,CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
1 - CN=SRV-DC,CN=Servers,CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
2 - CN=CONCHA,CN=Servers,CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
select operation target: select server 0
Site - CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
Domaine - DC=creps-idf,DC=fr
Serveur - CN=SRVACCUEIL,CN=Servers,CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
Objet DSA - CN=NTDS Settings,CN=SRVACCUEIL,CN=Servers,CN=CREPS-IDF,CN=Sites,CN=Configuration,DC=creps-idf,DC=fr
Nom d'hôte DNS - srvaccueil.creps-idf.fr
Pas de contexte de nommage en cours
select operation target: q
metadata cleanup: remove selected server Boite de dialogue
Transfert ou prise des rôles FSMO depuis le serveur sélectionné.
DsRemoveDsServerW erreur 0x5(Accès refusé.)
metadata cleanup: q
C:\Windows\system32\ntdsutil.exe: q
PS C:\Users\xavier>

Pour ce qui est de restaurer, je ne sauvegarde pas les DC, puisque la réplication est censée le faire.

D'autre part, si je veux créer un nouveau DC, physique celui-là sous Windows 2012R2, dans Gestionnaire de serveur, je sélectionne "Promouvoir ce serveur en contrôleur de domaine", je reçois : "Echec de la vérification du replica. L'assistant ne peut pas accéder à la liste des domaines dans la forêt. Accès refusé."

A noter que le serveur srv-dc avait la clé HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writable poitionnée à 4. MS recommande soit un demote/promote (impossible dans mon cas) ou d'effacer purement et simplement cette clé. Ce qui ne change rien.

Merci,

Xav

[anexus]

Je retirerai ton ancien DC du DNS déjà pour éviter que des requêtes lui soit envoyées.
Après t'es deux autres serveurs on est d'accord ils le sont pas RODC ?

Je vérifierai également les serveurs DNS des deux restants il faut qu'il y ait eux même dans les DNS.

[xavier8854]

anexus » Mar 06 Oct 2015, 7:40 :

Je retirerai ton ancien DC du DNS déjà pour éviter que des requêtes lui soit envoyées.

C'est fait. J'ai un DNS non Microsoft (BIND) et j'ai commenté les entrées le concernant

Après t'es deux autres serveurs on est d'accord ils le sont pas RODC ?

Ce n'est théoriquement pas possible, puisque cette fonctionnalité n'existe que dans un niveau fonctionnel >= 2008, et je suis en 2003.

Je vérifierai également les serveurs DNS des deux restants il faut qu'il y ait eux même dans les DNS.

Ça, c'est bon. Je n'ai rien touché concernant les deux restants, et jusqu'au crash du 3ième, ça fonctionnait parfaitement, et ça répliquait.

Merci

Xav

[xavier8854]

La technote https://support.microsoft.com/en-us/kb/2023007 décrit assez exactement mon problème.

La solution https://support.microsoft.com/en-us/kb/875495 me semble trop dangereuse pour mon cas, et de toutes façons, dcpromo, dans un sens ou dans l'autre échoue.

[kazer]

Quels roles avaient le DC qui a crashé?