Forum Clubic

Ouverture de session très longue après promotion du DC

Bonjour à tous!

Voilà, nous avons plusieurs sites reliés entre eux par VPN et ayant chacun un contrôleur de domaine.
Sur un des sites (Carcassonne), on a supprimé l’AD du serveur 2003 32bits via un DCPROMO /Forceremoval car on n’y arrivait pas autrement.

On y a installé un nouveau serveur en 2008R2, et là le DCPROMO a été très très laborieux. J’ai alors supprimé toutes les traces de l’ancien serveur dans sites et service AD, dans le DNS et tout et tout, et j’ai finalement réussi ma promotion.

Sauf que
Maintenant, à chaque fois que j’ouvre une session avec un compte du domaine sur Carcassonne (sur un serveur TSE 2008R2), c’est long, très très long. Environ 10 minutes. Il reste longtemps sur “bienvenue”, puis sur “application des paramètres de l’utilisateur”, comme si il allait lire les informations,les GPO et tout, sur le contrôleur principal de domaine à travers le VPN… :miam:

Mon nouveau serveur a un DNS d’installé, il fonctionne et le reste du parc l’a bien enregistré comme DNS primaire (test avec nslookup OK), mais j’ai l’impression qu’ils ne l’ont pas enregistré comme “contrôleur de domaine sur lequel chercher les infos”.

Bon, peut être que Lundi ça marchera, mais bon, je préfère poster ^^

Voilà voilà, si quelqu’un a une solution, je prends !

A+ tous !
Edité le 01/02/2011 à 13:36

Salut,
quand tu dis que le dcpromo a été laborieux que veux tu dire par là ?
Comment as tu fais la réplication de l’ad entre le 2003 et le 2008 ?
As tu fais le domain prep et le forest prep avant la migration ?
Utilises tu le role AD en lecture seule sur le site de carcassonne ?
La réplication entre tes DC se fait elle bien ?
Ton serveur TSE trouve t’il bien ton nouveau DC pour communiquer avec lui ?
A+
Edité le 29/01/2011 à 23:48

Bonjour,

Une chose à vérifier pour confirmer que DC est utilisé est de regarder la valeur de la variable LogonServer une fois la session ouverte.

Sinon, as-tu des sites de définis dans ton AD?
Si c’est le cas, vérifies que ton nouveau DC est sur le bon site et que les sous réseaux sont correctes.

Koin-Koin

Sinon tout pareil que Franck

Merci à vous deux pour vos réponses.
J’ai oublié des précisions :

-j’ai réalisé les mêmes opérations sur Nîmes, Montpellier et Rodez, je n’ai absolument pas eu de problème. :sol:

-Les ouvertures de sessions sont très lente même sur le nouveau DC.

Ensuite, les 5 rôles (Maitre RID et tout) sont tous sur un serveur 2008R2 à Montpellier (appelons le “DC1”). Cependant, quand le serveur de Carcassonne se préparait au DCPROMO, c’est sur un contrôleur secondaire (en 2003, appelons le “DC2”) qu’il se connectait pour se répliquer et tout. notons que historiquement, c’est DC2 qui a été installé en premier.

Alors, je reprends :

  • Quand tu dis que le dcpromo a été laborieux que veux tu dire par là ?
    Ben j’ai eu beaucoup de mal : des fois il me disait “impossible d’inscrire ce serveur dans le site de Carcassonne” (enfin, il me le disait avec les CN=“blabla”, CN=“Blabla”, DC=“machin”). Après, j’ai supprimé quelques traces de l’ancien serveur, et j’ai réessayé. Et là, j’ai perdu une après midi sur des “impossible de contacter le contrôleur de domaine”. Je fais toutes les étapes du DCPROMO (analyse de la forêt, choix du site…), j’arrive au bout, il attaque (arrêt des services netlogon et tout) il commence à répliquer et BAM : impossible de trouver un contrôleur de domaine. J’ai fait des changements de DNS et tout et tout, et finalement, j’ai rallumé le serveur 2003, je l’ai renommé CarcassonneOLD, changé son IP, re DCPROMO pour le re-promouvoir. Lui ça a marché, mais très très long. Après ça, j’ai réussi à promouvoir mon 2008R2 après quelques tentatives.:jap:

  • Comment as tu fais la réplication de l’aAD entre le 2003 et le 2008 ?
    Elle s’est faite toute seule. Mon domaine est de niveau 2003, je l’ai pas encore upgradé en 2008(R2) car il me reste un paquet de 2003.

  • As tu fais le domain prep et le forest prep avant la migration ?
    Non. Je ne sais pas ce que c’est. J’en ai déjà entendu parler, mais sans plus.

  • Utilises tu le role AD en lecture seule sur le site de Carcassonne ?
    Non.

  • La réplication entre tes DC se fait elle bien ?
    “Bien”, non. Elle semble galérer à cause de la qualité des VPN, mais elle se fait quand même. La synchronisation initiale à pris beaucoup de temps, bien plus que pour les autres contrôleurs de domaine à Nîmes, Montpellier ou Rodez.
    J’ai pas pu tester si d’autres réplications se faisaient.

  • Ton serveur TSE trouve t’il bien ton nouveau DC pour communiquer avec lui
    J’en ai pas l’impression. On dirait qu’il le trouve pas et qu’il va voir sur Montpellier pour communiquer avec un DC.

  • Une chose à vérifier pour confirmer que DC est utilisé est de regarder la valeur de la variable LogonServer une fois la session ouverte.
    Merci pour l’info ! On la trouve où cette variable ? C’est une variable d’environnement ? Dans le registre ?

  • Sinon, as-tu des sites de définis dans ton AD?
    Oui, Carcassonne a bien son site défini, et lors de sa promotion il s’est bien enregistré tout seul là où il fallait. il en est de même pour “CarcassonneOLD”.

  • [Vérifie] que les sous réseaux sont correctes
    Sur Carcassonne il n’y a qu’un seul réseau. Mais je veux bien savoir comment on vérifie ça au cas où :ange:.

Ouf !:fou:

Merci beaucoup à vous deux.

A++

Personnellement je n’en suis pas encore a 2008 donc mon aide pourra atteindre ses limites assez vite, mais je vais au moins essayer de t’aider sur les généralité de l’AD et des systèmes NT.

LogonServer est une variable d’environnement, mais celle-ci est dynamique donc elle peut changer a chaque session.
Le moyen le plus simple de la visualiser reste un SET en ligne de commande.

Lorsque je parles des sous réseaux, c’est au niveau du site AD dans ses propriétés. C’est ce qui permet à une machine d’identifier en fonction de son adresse IP sur quel site elle se situe et par conséquent quel est le DC le plus à même de lui répondre.

De manière plus générale, voici quelque information qui mérite d’être rappelées:

  • si tu as encore ce genre d’opération à réaliser, je te conseille de promouvoir ton nouveau DC avant de rétrograder l’ancien. Depuis 2003 tu peux renommer un DC ce qui te permet en cas de remplacement de conserver ton nommage.

  • tu semble avoir déjà fait le tour de ce point mais je te rappelle que tes DCs sont également tous des DNS, il est donc important de vérifier que ceux-ci ce sont mis ce sont bien mis à jour avant de passer à l’étape suivante

  • DCDIAG est une commande qui te permet de faire un diagnostique de ton AD, n’hésite pas en user

M’ok, je vais regarder pour cette variable d’environnement.
J’ai jeté un œil dans les sites AD :
-le sous réseau était bon
-il manquait quelques connexions dans les NTDS Settings
-il manquait de noter le transport par IP au lieu de RPC pour ce site.

OK, je m’en souviendrai.

Oui, ça semblait être OK au moment des opérations.

Je ne connais pas trop, mais je vais y jeter un œil de près.

Je sens que demain matin ça va pas être rigolo T_T
Merci !


Bon, je viens de tester (j'ai mis un accès depuis chez moi pour l'occasion), ça a l'air de marcher correctement. Je vérifie ça demain.

Merci à toi Koin-Koin et toi aussi Franck31195. Vos remarques m’ont beaucoup appris (comme quoi, il me reste beaucoup à apprendre avnt de passer le statut de “NOOB”) :ane:

Donc je posterai demain pour vous dire si c’est OK ou pas. au passage, j’ai vérifié la variable Logonserver sur un TSE, elle est bonne. il est possible que des réplications se soient faites depuis samedi et que les DC se soient mis d’accord…
Ou alors c’est mes manip de toute à l’heure.

A++:super:

Bon ben c’est bon, ça marche :slight_smile:

Merci à vous !:jap:

Content que ton soucis sait réglé.

Et puis de toutes façons si on n’avait pas à gérer ce genre de problème, on en apprendrais pas autant :icon_biggrin: