vendredi 24 mars 2017

Problème de réplication active directory suite à une restauration USN (Rollback USN)


 USN (Update Sequence Number):

L'USN (Update Sequence Number) permet de gérer la réplication des modifications effectuées sur les objets active directory.
Chaque contrôler de domaine incrémente son propre nombre USN à chaque modification d'un objet.
A la prochaine réplication, ses partenaires vont détecter les modifications effectuées grâce à la nouvelle valeur d'USN qui est supérieur à l'USN de la dernière réplication.

La restauration d'un contrôleur de domaine à travers une solution de sauvegarde non supporté  pourra créer un problème au niveau de la réplication suite à une restauration USN (Rollback USN).

Comment connaitre les symptômes de la restauration USN (Update Sequence Number):


  •  Pas de réplication:


Si vous avez le problème USN Rollback, le premier symptôme constaté est le blocage de la réplication.
Comme l'indique la figure ci-dessous, quand vous lancer la commande repadmin /showrepl, vous aurez un message d'erreur indiquant que "le serveur de destination rejette actuellement les demandes de réplication":



Il est aussi impossible de forcer la réplication à travers la commande repadmin /syncall en cas de Rollback USN, comme l'indique la figure ci-dessous:




  • Incohérence au niveau de l'USN du contrôleur de domaine endommagé:


 La vérification du nombre USN  permet de détecter et identifier la restauration USN.
Si la valeur de l'USN local d'un contrôleur de domaine est inférieure à celle enregistrée sur les autres contrôleurs de domaine cela veut dire qu'il y a une de restauration USN.

La commande repadmin /showutdvec * "dc=domain,dc=lan" permet d'afficher la valeur USN de chaque contrôleur de domaine sur tous les contrôleurs de domaine comme l'indique la figure ci-dessous:




  • Le journal d'événement:


Dans le journal d'événement du contrôleur de domaine endommagé par restauration USN, on trouve l'événement d'ID 2095 et Source ActiveDirectory_DomainServices qui explique bien que la réplication a été bloquée suite à un problème Rollback USN:





Comment résoudre le problème du Rollback USN:

Pour résoudre le problème du Rollback USN, il faut arrêter et forcer la suppression du contrôleur de domaine endommagé via la procédure Metadacleanup comme l'explique le lien suivant :

Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup.

Pour déterminer le contrôleur de domaine endommagé, il faut trouver les deux symptômes suivants:


  •  L'événement d'ID 2095 et Source ActiveDirectory_DomainServices dans le journal d'événement du contrôleur de domaine endommagé
  • Incohérence du nombre USN du contrôleur de domaine endommagé affiché via la commande suivante: repadmin /showutdvec * "dc=domain,dc=lan"
  • La valeur 4 dans la clé de registre suivante :HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA not Writable




jeudi 16 mars 2017

Gérer le mot de passe du compte administrateur de restauration des services active directory DSRM

Modifier le mot de passe du compte administrateur de restauration des services active directory (DSRM) via l'invite de commande :

Pour modifier le mot de passe administrateur de restauration active directory sur un contrôleur de domaine ,ouvrir l'invite de commande et taper la commande suivante :

ntdsutil "set dsrm password" "reset password on server NULL"


Ensuite saisir le nouveau mot de passe deux fois et et taper Q pour quitter:



Utiliser un compte de domaine pour modifier le mot de passe du compte administrateur de restauration des services active directory (DSRM) :


A partir du Windows 2008, il est possible de synchroniser le mot de passe du compte administrateur de restauration des services active directory avec un compte utilisateur du domaine.
 
Pour lancer la synchronisation, il suffit de lancer la commande ci-dessous (dsrm-account est le nom du compte utilisateur de domaine):
 
ntdsutil "set dsrm password" "Sync from domain account DSRM-account" quit quit




 Synchroniser le mot de passe du compte administrateur de restauration des services active directory (DSRM) de tous les contrôleur de domaine avec un seul compte de domaine via Group Policy Preferences:

Si vous avez plusieurs contrôleurs de domaine, la gestion du compte DSRM via la commande ntdsutil devient compliquée .

Pour simplifier  la gestion du mot de passe DSRM de tous les contrôleurs de domaine, vous pouvez déployer une tâche planifiée via GPP sur tous les contrôleurs de domaine, pour forcer la synchronisation du mot de passe DSRM avec un seul compte utilisateur active directory.
Si vous gérer plusieurs domaines, il faut créer un compte active directory et une GPO par domaine.

Dans l'exemple ci-dessous,nous allons montrer comment centraliser et simplifier la gestion du mot de passe DSRM de tous les contrôleurs de domaine à travers un seul compte utilisateur de domaine:

1. Créer un compte utilisateur active directory DSRM.

2. Créer une nouvelle GPO nommé DSRM et l'attacher à l'OU Domain Controllers:




3. Editer le GPO, et aller vers Computer Configuration => Preferences => Control Panel Settings , puis cliquer sur le bouton droit sur Scheduled Tasks =>New => Scheduled Task (At least Windows 7) comme indiqué dans la figure ci-dessous:

Remarque:
Si vous choisissez l'option Scheduled Task , la tâche planifiée sera créée que sur les contrôleurs de domaine installés sous Windows 2008 et Windows 2008R2.
Si vous avez des contrôleurs de domaine sous Windows 2012 R2 ou plus , il faut choisir l'option Scheduled Task (At least Windows 7).


4. Configurer la tâche planifiée en indiquant le nom de tâche et le compte NT AUTHORITY\SYSTEM  pour l'exécuter et cocher l'option Run whether user is logged on or not:



5. Définir la fréquence de l'exécution de la tâche depuis l'onglet Triggers:


6. Dans l'onglet Actions, cliquer sur new pour créer une nouvelle action:



Dans la fenêtre New Action ,  il faut définir les valeurs mentionnées dans la figure ci-dessous :

Action => Start a program 
Program/script => ntdsutil
Add arguments (optional) => "Set DSRM Password" "Sync from domain account dsrm" quit quit