Reconstruire un Contrôleur de Domaine crashé

Dans cette documentation, on suppose :

  • que le contrôleur de domaine crashé s’appelle srvads1 ;
  • que le contrôleur de domaine sain s’appelle srvads2 ;
  • que le domaine s’appelle mydomain.lan ;

Dans les instructions décrites ci-dessous, vous remplacerez mydomain.lan avec votre propre nom de domaine et srvads avec le nom de machine de votre choix.

Si l’AD est un DC primaire (avec le rôle FSMO)

  • vérifier quel AD est FSMO :

    samba-tool fsmo show doit renvoyer une information comme celle-ci :

    SchemaMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    InfrastructureMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    RidAllocationMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    PdcEmulationMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    DomainNamingMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=srvads1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
    

    srvads1 est le FSMO dans notre exemple.

  • indiquer a l’AD restant que srvads1 n’existe plus :

    samba-tool domain demote --remove-other-dead-server=srvads1
    
  • transférer les rôles vers un autre AD :

    Attention

    Avant d’effectuer le transfert de rôle, il faut s’assurer que l’AD qui est perdu ne sera jamais plus ré-utilisé.

    samba-tool fsmo transfer --role=all
    

    Hint

    Liste des rôles :

    --role=ROLE The FSMO role to seize or transfer.

    • rid=RidAllocationMasterRole
    • schema=SchemaMasterRole
    • pdc=PdcEmulationMasterRole
    • naming=DomainNamingMasterRole
    • infrastructure=InfrastructureMasterRole
    • domaindns=DomainDnsZonesMasterRole
    • forestdns=ForestDnsZonesMasterRole
    • all=all of the above You must provide an Admin user and password.
  • si un problème de droits survient :

    samba-tool fsmo transfer --role=all -U administrator
    
  • vérifier les droits

La commande samba-tool fsmo show doit renvoyer :

SchemaMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
InfrastructureMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
RidAllocationMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
DomainNamingMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=srvads2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=lan
  • vérifier la base AD avec dbcheck :
samba-tool dbcheck --cross-ncs --fix
  • notifier le nouveau rôle au contrôleur de domaine :

    samba-tool fsmo seize --role=all
    
  • donner tous les droits FSMO à un AD :

Si l’AD est un DC secondaire (sans le rôle FSMO)

Valider la nouvelle installation

  • tester la connexion au DNS à partir de la console DNS Active directory ;
  • tester la connexion à partir de la console Utilisateurs et Ordinateurs Active Directory ;

TODO : image ?

  • vérifier l’état des réplications avec samba-tool drs showrepl ;