En supposant qu'au moins deux contrôleurs de domaine étaient présents dans le domaine pour commencer, quelles mesures doivent être prises pour rendre Active Directory sain après un crash de contrôleur de domaine?
En supposant qu'au moins deux contrôleurs de domaine étaient présents dans le domaine pour commencer, quelles mesures doivent être prises pour rendre Active Directory sain après un crash de contrôleur de domaine?
Réponses:
Étape 0: avoir au moins deux contrôleurs de domaine .
Si vous n'avez qu'un seul contrôleur de domaine et qu'il échoue de telle manière que vous ne pouvez pas le récupérer, alors votre domaine n'existe plus; votre seule option est de créer un domaine complètement nouveau. Il s'agit d'un processus douloureux qui implique de recréer des utilisateurs, de rejoindre les ordinateurs et serveurs clients et même de recréer tous les paramètres de sécurité que vous avez déjà utilisés.
Si le serveur est absolument irrécupérable, par exemple en raison d'une défaillance matérielle qui ne peut pas être facilement réparée, voici comment procéder pour le purger complètement du domaine. Une fois les rôles FSMO saisis, il est essentiel que l'ancien serveur ne soit jamais remis en ligne. Envisagez sérieusement d'essuyer les disques durs pour éviter que cela ne se produise.
Déterminez quels serveurs détenaient les rôles FSMO (Flexible Single Master Operations) pour le domaine et la forêt. Microsoft a un excellent article sur la recherche de rôles FSMO .
Tous les rôles FSMO détenus par le serveur en panne doivent être saisis sur un contrôleur de domaine sain. Un autre article Microsoft pour celui-ci.
Le rôle FSMO "Infrastructure" est spécial et est en fait spécifié pour chaque partition d'application. Si le serveur en panne contenait DNS, vous devrez vérifier que l'enregistrement de chaque partition d'application (DomainDnsZones, ForestDnsZones) a été mis à jour. Meilleure explication ici et correction officielle ici .
Effectuez un nettoyage des métadonnées pour supprimer les restes d'Active Directory. Suppression de métadonnées de serveur éteintes .
Inspectez «Utilisateurs et ordinateurs Active Directory» et «Sites et services Active Directory» pour vous assurer que toutes les entrées du serveur éteint ont été supprimées.
Inspectez DNS pour trouver toutes les entrées statiques liées au serveur éteint, et supprimez-les, réaffectez-les ou placez un nouveau serveur à la même adresse.
Si le serveur en panne était un serveur DHCP autorisé, vérifiez s'il est toujours répertorié comme serveur autorisé. Si oui, vous devrez peut-être utiliser ADSI Edit pour le supprimer de la liste des racines DHCP.
(Edit 14/03/2010: Ajout du commentaire de Graeme sur l'étape 0)