En supposant qu’au moins deux contrôleurs de domaine étaient présents dans le domaine au départ, quelles étapes doivent être prises pour rendre Active Directory sain après le crash d’un contrôleur de domaine ?
Source : Server Fault.)
Étape 0 : Avoir au moins deux contrôleurs de domaine.
Si vous n’avez qu’un seul contrôleur de domaine et qu’il échoue d’une manière qui ne permet pas la récupération, alors votre domaine n’existe plus ; votre seule option est de créer un domaine entièrement nouveau. C’est un processus douloureux qui implique de recréer les utilisateurs, de rejoindre les ordinateurs clients et les serveurs, et même de recréer chaque paramètre de sécurité que vous avez jamais utilisé.
Si le serveur est absolument irrécupérable, voici comment procéder pour le purger complètement du domaine. Une fois les rôles FSMO saisis, il est critique que l’ancien serveur ne soit jamais remis en ligne. Envisagez sérieusement d’effacer les disques durs pour vous assurer que cela ne se produise jamais.
Déterminer quels serveurs détenaient les rôles FSMO (Flexible Single Master Operations) pour le domaine et la forêt. Microsoft a un excellent article sur la recherche des rôles FSMO.
Tout rôle FSMO détenu par le serveur en panne devrait être saisi sur un contrôleur de domaine sain. Un autre article Microsoft pour cela.
Le rôle FSMO « Infrastructure » est spécial, et est en fait spécifié pour chaque partition d’application. Si le serveur en panne hébergeait le DNS, vous devrez vérifier que l’enregistrement dans chaque partition d’application (DomainDnsZones, ForestDnsZones) a été mis à jour.
Effectuer un nettoyage des métadonnées pour supprimer les restes d’Active Directory. Suppression des métadonnées de serveur obsolètes.
Inspecter « Utilisateurs et ordinateurs Active Directory » et « Sites et services Active Directory » pour s’assurer que toutes les entrées du serveur obsolète ont été supprimées.
Inspecter le DNS pour trouver les entrées statiques liées au serveur obsolète, et soit les supprimer, les réattribuer, ou mettre un nouveau serveur à la même adresse.
Si le serveur en panne était un serveur DHCP autorisé, vérifier s’il est toujours listé comme serveur autorisé. Si oui, vous devrez peut-être utiliser ADSI Edit pour le supprimer de la liste des racines DHCP.