DC promo 2008 verification

Après la promotion d’un nouveau DC, il est utile d’effectuer un certain nombre de contrôles.

Nous commençons par surveiller régulièrement dans les heures qui suivent qu’il n’y a pas de message d’erreur dans l’observateur d’événement.

Les 2 événements ci-dessous n’apparaissent que si AD utilise la réplication NTFRS et non DFS-R. C’est le cas lors d’une migration depuis Windows 2003. En effet si le domaine a été créé avec un niveau fonctionnel de Windows 2008 ou supérieur alors la réplication utilise DFS-R dans les autres cas elle utilise NTFRS.

Comment migrer de NTFRS vers DFS-R ? http://pbarth.fr/node/75

 

La commande "net share" permet de vérifier la présence des partages "sysvol" et "netlogon"

 

Le service DNS attend que toute les zones intégrées à l'AD soit présentes et donc que la première réplication AD se termine. Ce message indique que la première réplication n’est pas encore terminée.

Quelques instants après nous pouvons voir le message suivant, indiquant que les zones DNS stockés dans l’AD ont été répliqués.

Dans la zone DNS, Il est recommandé de vérifier les enregistrements du nouveau serveur. Nous voyons entre autre dans la zone de la forêt la présence des enregistrements pour le rôle de catalogue global :

 

Le nouveau DC en 2008R2 a été ajouté automatiquement dans la liste des serveurs de noms pour les zones concernées :

 

Au niveau de la réplication AD, les commandes <b>"repadmin /showrepl" et "repadmin /replsummary" permettent de vérifier l’état de la réplication AD.

 

 

Il est possible de lancer manuellement la réplication entre 2 DC depuis la console "Site et services AD", il suffit de sélectionner le lien de réplication et « répliquer maintenant ».

Il est utile de tester à la fois la réplication depuis le nouveau serveur, mais aussi vers le nouveau serveur. La réplication étant multi maitres elle doit fonctionner dans les 2 sens.

Il se peut que dans les premières minutes, un message d’erreur concernant des contextes de de nommages apparaissent surtout si vous avez plusieurs anciens DC. L’erreur disparait généralement au bout de quelques minutes en fonction de la topologie, le temps que tous les autres DC soient avertis de la présence du nouveau.

 Il est conseillé de vérifier la cohérence de la topologie de réplication :

Nous créons un nouveau compte utilisateur sur le nouveau DC et nous vérifions qu’il apparaît bien sur les autres.

 

Le compte crée sur W2k8-dc1 apparaît bien sur w2k3-dc1 :

En dehors de ces premiers contrôles, il est utile de suivre les évènements et l'état de la réplication régulièrement.

Il est également recommandé d’effectué un DCdiag après 24 heures. Si vous effectuez un DCdiag de suite après la promotion il y aura des erreurs car DCdiag analyse l’observateur d’événement et entre le redémarrage et la fin de l’initialisation de la réplication il y a des erreurs présentes dans l’observateur d’événement :

 

Il est également à noter qu’il ne faut pas rétrograder l’ancien DC immédiatement après la promotion d’un nouveau DC.