dimanche 27 janvier 2013

Windows Server 2012 : Supprimer un contrôleur de domaine corrompu, hors service, en panne de l'Active Directory + seize des rôles FSMO

Scénario

J'ai une infrastructure composée de 3 DC : DC01, DC02, DC03

Le scénario est le suivant :

Le DC01 possède les 5 rôles FSMO.

La zone DNS est intégré à l'active directory et se situe donc dans la partition d'application de notre base Active Directory.

Les DC02 et DC03 sont deux RWDC.

DC01 tombe en panne. Il est irrécupérable. Nous n'avons pas de backup de ce DC.

Nous allons donc devoir :

1) Réaliser le seizing des 5 rôles FSMO
2) Supprimer le DC de notre base Active Directory.

1) Seizing des rôles FSMO

Nous nous connectons au DC02 (un Domain Controller fonctionnel de votre infrastructure, sur lequel vous désirez seizer les rôles FSMO) pour réaliser les opérations qui vont suivre.

Une fois connecté à DC02, lancer un command prompt et entrez la commande "ntdsutil".



Ensuite, entrez la commande "roles". Le prompt affiche désormais "fsmo maintenance:".  Arrivé à ce stade, on peut interroger le système à propos des options disponibles en entrant le symbole "?".

On peut voir que différentes options sont proposées. D'une part, on a toutes les opérations de seizing et d'autre part, les opérations de transfert. Il y a également la commande "Connections" qui va nous servir dès maintenant afin de nous connecter au DC02.



Ok, nous encodons donc la commande "Connections".



Le prompt attend maintenant de nous que nous lui indiquions à quel DC se connecter en mentionnant "server connections: _". On encode la commande suivante "connect to server DC02".



Nous avons connecté ntdsutil à notre DC02. On peut quitter l'utilitaire de connexion en encodant la commande "q".



C'est le moment de réaliser le seizing. Les différentes commandes sont :

seize naming master
seize PDC
seize RID master
seize schema master
seize infrastructure master

Nous commençons par le rôle domain naming master en encodant la commande suivante : "seize naming master". Un message de confirmation nous demande si on est bien certain de vouloir réaliser l'opération qui consiste à demander à DC02 de seizer le rôle domain naming role. On clique sur "Yes".



Voici ce que vous pourrez voir au niveau du prompt. On peut observer que ntdsutil tente d'abord de transférer le rôle. Il rencontre une erreur et seulement ensuite, entreprend le seizing du rôle. Nice.



Il vous faut répéter cette étape avec les 4 autres rôles FSMO pour finalement obtenir tous vos rôles seizés.



Pour les plus paranoïaques d'entre-vous, vous pouvez encore vérifier que DC02 détient les rôles que vous venez de seizer en entrant la commande suivante : 

netdom query /domain:labo fsmo

Il faut remplacer labo par votre nom de domaine.



Ok, nous voici rassuré. Nous allons pourvoir passer à la deuxième partie de notre test.


2) Supprimer le DC de notre base Active Directory.

Selon Technet, il n'y a plus lieu de réaliser un metadata cleanup après la suppression forcée d'un DC.
When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server 2008 or Windows Server 2008 R2 to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Previously, you had to perform a separate metadata cleanup procedure.

Nous allons donc tenter de vérifier ceci afin de voir si les différents enregistrements DNs sont bien purgés.

Avant la suppression de notre DC01, nous prenons un peu la température en vérifiant quelques enregistrements DNS (ici les ressources SRV). On voit bien les enregistrements relatifs à notre DC01.



Je n'ai pas une capture de l'ensemble des enregistrements, mais on a bien saisi l'idée ;-)



Au niveau enregistrement DNS A et NS, pas de problème c'est bien là également.



Selon Technet, on peut utiliser les RSAT, l'ADUC, ADSS ainsi que ntdsutil. On a choisi l'ADUC. Repérer votre DC, et clic droit > "Delete".



Un premier warning nous demande si on veut vraiment supprimer notre DC01. On  répond "Yes". On est venu spécialement pour ça ;-)



Un nouvel avertissement nous prévient qu'il faut utiliser dcpromo lorsqu'on veut dé-commissionner un DC. Il nous faut donc cocher la case "This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO)".



Et on clique sur "Delete".



Il s'agit en plus d'un catalogue global. Une nouvelle demande de confirmation apparaît, on clique sur "Yes".



C'est parti pour un check du DNS. Tout a l'air bien purgé.





Ici, on a encore un enregistrement NS, on va laisser le scavenging agir.



Pareil ici.



Un petit tour au niveau de ADSS nous montre par contre la présence du DC01 dans les serveurs présents dans mon site. Je choisi donc de le supprimer "Delete".



On répond au message d'avertissement par un "Yes".



Allons-y pour les vérifications au niveau réplications (vous pouvez répéter la même opération sur le DC03).


repadmin /showrepl





dcdiag /test:replications




dcdiag /test:netlogons



Pour terminer les vérifications j'ai créé une OU, sur le DC02 et, après la réplication, l'OU est bien apparu sur le DC03.


Aucun commentaire:

Enregistrer un commentaire