Que faut-il faire après une panne du contrôleur de domaine?

20

En supposant qu'au moins deux contrôleurs de domaine étaient présents dans le domaine pour commencer, quelles mesures doivent être prises pour rendre Active Directory sain après un crash de contrôleur de domaine?

active-directory domain-controller Nic
la source
Comment définissez-vous "Crashed"? Est-ce juste BSOD, ou est-il totalement mort?
Mark Henderson
Totalement mort. Dans mon cas, l'alimentation et la carte mère ont échoué.
Nic
J'ai également trouvé cet article très utile. funkytechguy.blogspot.co.za/2016/06/…

Réponses:

32

Étape 0: avoir au moins deux contrôleurs de domaine .
Si vous n'avez qu'un seul contrôleur de domaine et qu'il échoue de telle manière que vous ne pouvez pas le récupérer, alors votre domaine n'existe plus; votre seule option est de créer un domaine complètement nouveau. Il s'agit d'un processus douloureux qui implique de recréer des utilisateurs, de rejoindre les ordinateurs et serveurs clients et même de recréer tous les paramètres de sécurité que vous avez déjà utilisés.

Si le serveur est absolument irrécupérable, par exemple en raison d'une défaillance matérielle qui ne peut pas être facilement réparée, voici comment procéder pour le purger complètement du domaine. Une fois les rôles FSMO saisis, il est essentiel que l'ancien serveur ne soit jamais remis en ligne. Envisagez sérieusement d'essuyer les disques durs pour éviter que cela ne se produise.

  1. Déterminez quels serveurs détenaient les rôles FSMO (Flexible Single Master Operations) pour le domaine et la forêt. Microsoft a un excellent article sur la recherche de rôles FSMO .

  2. Tous les rôles FSMO détenus par le serveur en panne doivent être saisis sur un contrôleur de domaine sain. Un autre article Microsoft pour celui-ci.

  3. Le rôle FSMO "Infrastructure" est spécial et est en fait spécifié pour chaque partition d'application. Si le serveur en panne contenait DNS, vous devrez vérifier que l'enregistrement de chaque partition d'application (DomainDnsZones, ForestDnsZones) a été mis à jour. Meilleure explication ici et correction officielle ici .

  4. Effectuez un nettoyage des métadonnées pour supprimer les restes d'Active Directory. Suppression de métadonnées de serveur éteintes .

  5. Inspectez «Utilisateurs et ordinateurs Active Directory» et «Sites et services Active Directory» pour vous assurer que toutes les entrées du serveur éteint ont été supprimées.

  6. Inspectez DNS pour trouver toutes les entrées statiques liées au serveur éteint, et supprimez-les, réaffectez-les ou placez un nouveau serveur à la même adresse.

  7. Si le serveur en panne était un serveur DHCP autorisé, vérifiez s'il est toujours répertorié comme serveur autorisé. Si oui, vous devrez peut-être utiliser ADSI Edit pour le supprimer de la liste des racines DHCP.

(Edit 14/03/2010: Ajout du commentaire de Graeme sur l'étape 0)

Nic
la source
J'ai dû découvrir tout cela à la dure, alors j'espère que cela peut aider quelqu'un d'autre qui se retrouve dans ma position.
Nic
Cela ressemble à un week-end de merde, mais merci d'avoir partagé la grande liste de contrôle.
Gomibushi
Malheureusement, je connais trop ces étapes ...
5
+1, c'est une excellente réponse. Vous avez couvert à peu près tout. J'ajouterais une "Étape 0" pour ceux qui n'ont pas eu à faire face à cela .... "Toujours avoir au moins 2 DC". Il est effrayant de voir combien d'environnements existent avec un seul.
ThatGraemeGuy
1
+1 pour la réponse, et aussi une upvote au commentaire de Graeme - même si c'est quelque chose qui doit être pris pour acquis, il doit également être mis en évidence.
Maximus Minimus