J'ai hérité d'une forêt Active Directory qui est très mal disposée. Il y a une seule forêt avec un arbre de domaine pour chaque site, chacun avec un seul contrôleur de domaine. Aucun domaine n'est l'enfant d'un autre domaine.
Maintenant, l'un des DCs, appelons-le M1 pour le domaine M, a eu un problème lorsque nous avons déplacé la VM d'un hyperviseur à un autre, nous sommes donc revenus à celui qui fonctionnait, ce qui a provoqué un rollback USN, et le DC M1 2008r2 l'a détecté. Au cours de cette opération, deux entrées DNS ont été effectuées dans le domaine M, qui sont probablement les seules choses perdues pendant le rollback, car aucun utilisateur n'était actif dans le domaine M à ce moment-là. Actuellement, la réplication entrante et sortante du DC M1 a été réactivée avec les paramètres suivants repadmin /options M1 -DISABLE_INBOUND_REPL y repadmin /options M1 -DISABLE_OUTBOUND_REPL et son service netlogon a continué après qu'il ait démarré dans un état de pause avec l'id d'événement 2103.
La solution que j'aimerais est de créer un nouveau domaine unique pour les 10 sites et de recommencer. Cependant, à part le désagrément du démarrage de netlogon dans un état de pause, tout semble fonctionner correctement. Les questions que je me pose sont les suivantes :
- Y a-t-il des suggestions moins sévères ou est-ce que ce serait tout autant de travail de recommencer et de le faire correctement ?
- Si j'ai juste supprimer la clé de registre
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writableet ignorer le retour en arrière, quel sera l'effet sur le domaine DC unique dans une forêt multi-domaine ?
Comme il s'agit d'un seul DC, nous ne pouvons pas effectuer
- rétrograder puis promouvoir le DC pour répliquer à partir d'un autre DC existant car il n'y en a pas dans le même domaine pour répliquer.
- Effectuez une restauration d'état du système non-autoritaire, car cela nécessite un DC sain et fonctionnel pour la réplication.
Edit : oui, nous avons, ou pouvons faire une sauvegarde de l'état du système à partir d'une ancienne image système, qui est plus jeune que la durée de vie de la pierre tombale.
3 votes
Wow, je n'ai jamais rencontré un design AD aussi pauvre dans la nature.
0 votes
J'ai de la chance. Je pense qu'il s'est développé à partir de sites DC uniques qui étaient complètement isolés les uns des autres en termes d'AD, de sorte que chaque site avait sa propre forêt. Les sauvegardes étaient faites, les restaurations étaient possibles sans provoquer de rollbacks. Puis ils les ont réunis en une seule forêt :(
0 votes
Nous avons toute la complexité et les problèmes d'un système à haute disponibilité sans aucun des avantages.