Plusieurs DC mais non redondant

Le Forum Windows Server 2008
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Plusieurs DC mais non redondant

Messagepar Nplify » 03 Mar 2011, 15:15

Bonjour

Je viens chercher un peu de lumière ici; J'ai un réseau où j'ai 3 controleurs de domaine (pour l'instant tous sur le même réseau).
J'ai eu un problème hier à savoir que :

le 1er était éteins volontairement.(AD)
le 2eme (DC+DNS+AD) et le 3ème était en re démarrage. (AD)

Et la bam. Impossible d'avoir une session sur le 3eme. (là on peut se dire que les dns n'étaient pas prets - pour l'occasion il n'y avait qu'un seul serveur dns).
Ok. Mais le 2ème qui a toutes les options (DC/DNS/AD) => ouverture de session OK mais impossible d'aller dans l'AD.

Je regarde alors les logs ... je m'aperçois que la réplication AD ne s'est pas faite et que tant qu'elle ne s'est pas faite l'AD ne serait pas dispo. Le message :
Le serveur DNS attend que les services de domaine Active Directory indiquent que la synchronisation initiale du répertoire est terminée. Ce service du serveur DNS ne peut pas démarrer tant que la synchronisation initiale n’est pas terminée car les données DNS essentielles ne sont peut-être pas encore répliquées sur ce contrôleur de domaine. Si les événements du journal des événements des services de domaine Active Directory indiquent un problème de résolution de nom DNS, envisagez d’ajouter l’adresse IP d’un autre serveur DNS de ce domaine à la liste des serveurs DNS dans les propriétés de protocole Internet de cet ordinateur. Cet événement sera consigné toutes les deux minutes jusqu’à ce que les services de domaine Active Directory indiquent que la synchronisation initiale est terminée.


N'était ce qu'une malchance de DNS ?
Est ce qu'un serveur DC/DNS/AD ne peut pas se suffire à lui même ??

Merci d'avance.

Ps : d'ailleurs , conseillez vous plutôt pour des sites séparés, un domaine avec plusieurs DC, ou alors créer un autre domaine ? (les comptes utilisateurs ne sont pas si nombreux que ca ... env.70 pcs.)
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 04 Mar 2011, 17:37

Salut,

nan , mais en faite , tu devrais aussi penser aux serveurs roles ... les roles FSMO. Normalement tu as 1h30... max pour le controle de domaine principale (initial) à être éteint . Tu as fermer le premier ... le 3 eme n'as pas eu le temps de se synchroniser .. (toutes les 15 minutes pour les gpo etc ) (dns , tu devrais pouvoir synchroniser manuellement alors . clic droit etc .. ) rallume les tous , laissent les faire leur travaille , transfers les roles sur le troisieme si c'est possible .. (mais pourquoi éteindre le premier ???) . Wouais en fait , c'est plutôt ça l'idée (puisque tu va avoir plusieurs sites .) garde le premier ouvert non ?
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Plusieurs DC mais non redondant

Messagepar Nplify » 07 Mar 2011, 12:50

le 1er n'était pas destiné à rester la éternellement.
Sinon je ne sais comment déplacer les rôles. Je pensais que chacun prenait le relais automatiquement.
le domaine principale (initial) c'est le maitre des opérations comme il est appelé dans w2008 ?
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 08 Mar 2011, 22:29

et bien le premier contrôleur de domaine possède tous les roles , soit les 5 .
Tu peux transférer par ligne de commande avec ntds util . Tu peux aussi les prendre par les commandes seize (lorsque le contrôleur de domaine qui possède les rôles est éteint .) . :

http://support.microsoft.com/kb/255504


je fais court , car je bosse 18/24 en ce moment , mais tout est là , ça devrait bien se passer . je repasse sur le forum bient . Bon courage .
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Plusieurs DC mais non redondant

Messagepar Nplify » 09 Mar 2011, 15:21

le 1er n'était pas destiné à rester la éternellement.
Sinon je ne sais comment déplacer les rôles. Je pensais que chacun prenait le relais automatiquement.
le domaine principale (initial) c'est le maitre des opérations comme il est appelé dans w2008 ?


et bien le premier contrôleur de domaine possède tous les roles , soit les 5 .
Tu peux transférer par ligne de commande avec ntds util . Tu peux aussi les prendre par les commandes seize (lorsque le contrôleur de domaine qui possède les rôles est éteint .) . :

http://support.microsoft.com/kb/255504


je fais court , car je bosse 18/24 en ce moment , mais tout est là , ça devrait bien se passer . je repasse sur le forum bient . Bon courage .


Je pense avoir compris le fait qu'il avait tout les rôles . OK. Mais pourquoi ne sont -ils pas tranférés sur un autre DC du même réseau automatiquement ?
Je vais creuser l'utilisation de la commande ntds util.
Le 1er DC que j'ai éteind est destiné à un réseau distant relié par vpn. Celà voudra dire qu'ils seront dépendants l'un de l'autre ? (une AD commune, un domaine commun, mais un plan d'adressage different).
Bon courage pour le boulot et merci
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 10 Mar 2011, 02:27

Je pense avoir compris le fait qu'il avait tout les rôles . OK. Mais pourquoi ne sont -ils pas tranférés sur un autre DC du même réseau automatiquement ? : Il faudra demander à microsoft ...

oui je sais ... ça va te faire une drole de révélation ... "Celà voudra dire qu'ils seront dépendants l'un de l'autre ?", la réponse est .. accroche toi bien ... : oui . oui et oui . le serveur contenant le role (je sais plus quoi ...) doit être contacté au moin une fois en 1h30 exactement .

le rodc quand a lui , je ne pense pas . Nous sommes en train d'installer ça sur des sites déporté justement . France telec à quatre heures pour réparer notre ligne spé . , mais 4h c'est trop loong si l'on pense 1h30. un rodc peut palier , doit palier en principe ce problème . => il faut cependant d'autres raisons en plus pour en installer un . => site distant , bla bla bla bla ...

bref. voilà . oui. Maintenant en cas de panne , dans un cas general , tu as 1h30 .avant que celà ne devienne critique . (c'est pas grave on coupe l'autre et puis voilà .. ou alors on recupere les roles en ligne de commande ! ntdsutil et seize [voir le lien du message précédant ] en cas de panne de l'autre srv . )

(d'autres personnes pour confirmer mes dires , j'ai la flemme d'ouvrir mes livres là ... 2h30 du mat ..; je viens de battre mon record de taff d'hier : 24/24h. ha bravo ..... dodo maintenant .. demain 9h ... ils sont dinguent dans l'infos ... :)
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Plusieurs DC mais non redondant

Messagepar Nplify » 10 Mar 2011, 09:18

J'opterais plutot pour un nouveau domaine alors, comme ca si la liaison vpn casse, les gens pourront toujours une session etc etc.
En tout cas merci pour tout ces renseignements précieux alors surtout si c'est posté apres 24h de boulot :) bonne nuit :p
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 13 Mar 2011, 14:17

salut,

ha oui , ca me parait une bonne stratégie . Je n'y avait pas pensé . Nous en parlons beaucoup avec mon chef , il me disait qu'une heure est demie est très certainement une donnée théorique , et que pour de vrai, ça devrait bien tenir au moins 8heures ..; bref, c'est du non documenté tout celà . Reste à savoir qu'elle est ce role justement qui a besoin d'être contacté . (je vais chercher . ) est ce un rôle de foret ou de domaine ?
si domaine ta stratégie est parfaite sinon ... Mon chef disait que de toute manière on n'oserai penser que les serveurs plantent du faite qu'ils n'arrivent pas a se contacter toutes les heures et demie . Microsoft prendrai des procès un peu partout dans le monde ...;
en fait il faudrait que l'on teste tout ça en virtu ... puis nous de notre coté nous optons sur les rodc, plus approprié à notre infra .

see ya .
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Plusieurs DC mais non redondant

Messagepar Nplify » 14 Mar 2011, 17:15

le truc c'est que par la suite les gens du site 1 vont acceder via vpn a des fichiers du site 2.
Donc je voulais eviter d'avoir une double identification (devoir retapper des identifiants d'un domaine different) je voulais que ce soit transparant.
C'est pour cela que je voulais relier les deux sites avec le meme nom de domaine ...
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 15 Mar 2011, 01:24

ou là là ... nan mais là ... tu sais , deux domaines , provenant de la même foret, possèdent des approbations transitifs bidirectionnel . de plus ... renseigne toi sur les groupes du domaine local , les groupes global, et les groupes universel . tout ça pour te faire comprendre que les utilisateurs sont bien acceptés sur les 2 domaines, si tu sais jongler avec les groupes.
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Plusieurs DC mais non redondant

Messagepar Nplify » 15 Mar 2011, 09:38

:wall:
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar Nplify » 17 Mar 2011, 13:03

Je viens de trouver une option dans utlisateurs active directory.
Clic droit sur le nom de la foret .
Modifier le controlleur de domaine
==> on peut choisir "tout controlleur de domaine disponible" au lieu d'un seul.
Nplify
 
Messages: 9
Inscrit le: 12 Jan 2011, 11:24

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 17 Mar 2011, 20:15

salut,

pas compris ? pour quoi faire ce menu ?, bidirectionnel transitif , veux dire , que l'un peux acceder à l'autre (même foret!) . sans problème , du moment que les groupes que tu choisis (global , domaine local et universel ) le permettent . imaginons :

microsoft.com , domaine .
informatique.microsoft.com
et un sous domaine avec une arborescense differente :
marketing.microsoft.com .

les utilisateurs de marketing.microsoft.com peuvent acceder aux données qui sont dans informatique.microsoft.com .

imaginons encore un dossier nommé : siteweb , qui se trouve sur le domaine informatique.microsoft.com .

je crée deux groupe : un groupe global de securité : administrateur ( dans user active directory du domaine informatique.microsoft.com) .
je mets mes membre à l'interieur , ils font tous partie du même domaine : informatique.microsoft.com
je cree un deuxième groupe : marketingpeople , ( dans user active directory du domaine marketing.microsoft.com) .


ok ,

le dossier se trouvant sur le domaine informatique.microsoft.com, je creer un groupe de securité domaine locale nommé : modifierdossiersiteweb (toujours sur le user active directory de informatique.microsoft.com)

ok ,

je rajoute (accroche toi : ) je rajoute , dans les membres de ce compte : administrateur, et aussi marketingpeople (donc là tu viens de rajouter des groupes global dans un groupe du domaine local , n'est ce pas ?).

ok ,

dernière etape :

je mets en partage mon dossier siteweb, je rajoute en droit modifier le groupe du domaine locale : modifierdossiersiteweb .

voilà . les gens , de ces deux domaines, vont pouvoir modifier , dans le dossier siteweb .



la théorie (le pourquoi ) : il s'agit d'une procédure pas facile , cependant une bonne pratique . )

un groupe du domaine locale peut être lié à des données provenant du même domaine (son domaine ou sont situé les données , mais des utilisateurs, ou des groupes d'utilisateurs provenant de plusieurs domaine (autres domaines de la même foret .) .

un groupe global peut être lié à des données lié à plusieurs domaines (d'autres domaines de la même foret) , mais doit contenir des utilisateurs (ou des groupe d'utilisateurs) provenant d'un seul domaine (le domaine d'origine , c'est à dire dans le domaine ou sont créé les utilisateur . ) .



voilà , je voulais faire un point avec toi sur ça . déjà . que ce soit compris . ensuite on reprend le problème depuis le début . si tu as le courage de tout me ré expliquer . peut etre à la lumière de ce que je viens d'écrire tu expliqueras mieux . je suis très fatigué , mais je vais essayer de tout relire depuis le début un peu plus tard .... ) .
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21

Re: Plusieurs DC mais non redondant

Messagepar samsam69003 » 17 Mar 2011, 20:23

ha wouais, donc ça fait que : pas de double authentification . c'est bon . travail sur les groupes et le vpn ..; ça marchera sans soucis .

afin de gérer un peu la liaison vpn , tu pourrais aussi réfléchir à un dfs en replica .. en cas de coupure de la ligne en vpn , ou de trop de latence, les gens de chaque site .. (donc domaine ) pourront continuer de travailler chacun de leur coté sur les fichiers répliqués.. attention cependant si la liaison est coupé , et que 2 personnes travaillent sur le même fichier . au moment de la re-synchro de dfs .. il y aura très certainement un conflit .

du coup (si le pb peut se poser) , soit tu réfléchis à un logiciel tiers de travail collaboratif .. soit tu ne fais pas de dfs en mode replica . ( il y a aussi la solution de branch cash, sur 2008 r2) .

bon je en vais pas trop balancer d'infos du premier coup , sinon ça va trop chauffer .. à la cool hein ...
MCITP 2008 Serv, exchange 2010 technology specialist, et même pas encore geek ! :)
samsam69003
 
Messages: 248
Inscrit le: 13 Nov 2010, 01:21


Retour vers Windows Server 2008

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

  •  Liens commerciaux