> Tech > Active Directory – Sructure FRS supprimée

Active Directory – Sructure FRS supprimée

Tech - Par Renaud ROSSET - Publié le 19 septembre 2013
email

Cette situation n’est pas des plus communes, mais elle peut se produire. Elle est désastreuse et il est facile de la provoquer.

Active Directory – Sructure FRS supprimée

Elle entraîne la perte de toutes les stratégies de groupe (Group Policy) sur tous les DC. Autrement dit, cela ne va pas favoriser votre plan de carrière. Je suis persuadé que vous êtes, dans votre grande majorité, convaincus de la futilité de parvenir à un fonctionnement fiable du service FRS (File Replication Service) et vous êtes passés à 2008 et avez migré vers DFSR (Distributed File System Replication). Pour les malchanceux qui utilisent encore FRS, voici une excellente méthode pour réparer les dégâts.

Active Directory – Sructure FRS supprimée

Comme FRS s’appuie sur la réplication multimaîtres (il repose en fait sur la réplication AD), il est très facile de répliquer rapidement une erreur. J’ai déjà vu un certain nombre de cas où FRS a été mis à mal. Dans un cas, l’administrateur avait peur de perdre ses stratégies de groupe suite à la disparition de dossiers FRS, de sorte qu’il a copié l’arborescence SYSVOL vers le bureau de son DC. Cela a effectivement créé un nouveau point de jonction, mais cela répliquait les deux arborescences SYSVOL sur cette machine, comme s’il y avait deux DC en un seul. Pour résoudre ce cas, nous avons dû supprimer précautionneusement ce point de jonction (pas le dossier). La suppression des dossiers SYSVOL répliquera et supprimera ceux-ci sur tous les DC !

J’ai vu plusieurs cas où « la structure SYSVOL a été d’une manière ou d’une autre supprimée »

Honnêtement ! Je ne vois pas autre chose qu’une erreur humaine à l’origine de ce type de situation, peut être en essayant de « mettre un peu d’ordre dans les choses ». Bien évidemment, il existe un risque de perdre toutes les stratégies de groupe et vous avez peut-être eu la bonne idée de les sauvegarder. N’oubliez pas de le faire au moyen de la console GPMC (Group Policy Management Console) ou de tout autre outil tierce partie, ou encore simplement en les copiant de l’arborescence SYSVOL vers un autre emplacement extérieur à celle-ci.

Si un dossier SYSVOL est corrompu ou si, pour une raison ou une autre, un seul DC ne peut pas se synchroniser, il est facile d’effectuer la restauration non-authoritative ou authoritative, auquel cas vous synchronisez la machine incriminée avec un DC sain.

L’article de Base de connaissances Microsoft KB 315457 constitue une excellente référence en la matière

Toutefois, la restauration de la structure de fichiers complète est un tout autre problème. L’article de Base de connaissances KB 315457 est en grande partie approprié pour ce scénario, mais j’ai trouvé quelques pièges liés à la commande linkd. Bien évidemment, une rétrogradation (demoting) (manuelle si nécessaire) suivie d’une nouvelle promotion constitue la réponse la plus courte, mais si ce n’est pas envisageable, voici une procédure qui permettra de restaurer correctement les points de jonction. Je pars du principe que vous comprenez la structure SYSVOL mais, à titre de rappel, SYSVOL/Domain/Staging Areas/mydomain.com et SYSVOL/SYSVOL/mydomain.com sont les points de jonction pointant respectivement vers les répertoires réels de SYSVOL/Domain/Staging/Domain et SYSVOL/Domain.

SOLUTIONS : 1. Comment recréer SYSVOL et les points de jonction lorsque SYSVOL a été supprimé sur tous les DC :

a. Arrêtez le service FRS sur tous les DC.
b. Créez manuellement l’arborescence de dossiers SYSVOL (il s’agit du FQDN de votre domaine) :

SYSVOL
     Domain
          DO_NOT_REMOVE_NtFrs_PreInstall_Directory
                Policies
                Staging Areas
                Staging\Domain
SYSVOL
     Mydomain.com

c. Paramétrez les ACL sur « DO_NOT_REMOVE_NtFrs_PreInstall_Directory » :

i. Administrators (admins du domaine) et System configurés comme les SEULS à avoir des « permissions spéciales ».
ii. Paramétrez le répertoire « DO_NOT_REMOVE… » comme Hidden (masqué) et Read only (en lecture seule).

d. Créez les points de jonction. Assurez-vous que le service FRS est arrêté sur le DC cible de l’exécution :

linkd « %systemroot%\SYSVOL\SYSVOL\mydomain.com »
%SYSTEMROOT\SYSVOL\DOMAIN
linkd « %systemroot%\Sysvol\staging areas\mydomain.com »
%systemroot\sysvol\Staging\Domain

REMARQUE : Si SYSVOL n’est pas stocké sur le disque système Windows, remplacez C:\Windows dans la commande linkd afin de refléter le chemin vers SYSVOL.

e.   Comment créer la stratégie de domaine par défaut et la stratégie de contrôleur de domaine par défaut :

i.   Si vous n’avez pas de sauvegardes de la stratégie de contrôleur de domaine par défaut ou de la stratégie de domaine par défaut, à partir de la ligne de commande du contrôleur principal de domaine (PDC), exécutez l’outil DCGPOFIX de Microsoft. Cf. l’article de Base de connaissances KB 833783.

AVERTISSEMENT : Cet outil crée une stratégie de domaine par défaut et une stratégie de contrôleur de domaine par défaut vierges. Ne l’utilisez pas si vous avez une copie de ces stratégies quelque part. Si vous disposez de sauvegardes, il vous suffit de les restaurer à l’endroit approprié au niveau de SYSVOL.

ii.   Il vous invitera à restaurer la stratégie de domaine par défaut et vous demandera si vous souhaitez restaurer la stratégie de contrôleur de domaine par défaut. Répondez « oui » aux deux questions.

f. Répliquez SYSVOL pour ce DC en démarrant FRS :

C:>net Start “File Replication Service”

REMARQUE : N’UTILISEZ PAS la procédure Burflags. Elle peut provoquer la disparition du répertoire SYSVOL.

g.   Vérifiez que le service FRS fonctionne. ASTUCE : Créez un fichier texte tel que DC1.txt (sur DC1) dans le répertoire SYSVOL\SYSVOL (afin de le localiser facilement). Lancez la réplication. Ce fichier doit aboutir à cet emplacement sur tous les DC. Si un DC ne possède pas ce fichier, il ne peut pas répliquer FRS correctement. Ayez à l’esprit que cela pourrait être aussi dû au défaut de réplication d’AD.

2.   Comment recréer les points de jonction si l’arborescence SYSVOL existe, mais pas les points de jonction :

a. Arrêtez FRS :

C:>Net Stop « File Replication Service »

b.   Créez les points de jonction. Assurez-vous que FRS est arrêté sur le DC :
linkd « %systemroot%\SYSVOL\SYSVOL\mydomain.com » %SYSTEMROOT\SYSVOL\DOMAIN
linkd « %systemroot%\Sysvol\staging areas\mydomain.com » %systemroot \sysvol\Staging\Domain

REMARQUE : Si SYSVOL n’est pas stocké sur le disque système Windows, remplacez C:\Windows dans la commande linkd afin de refléter le chemin vers SYSVOL.

Pour aller plus loin sur la gestion des Sinistres Active Directory avec les experts @ITPROFR et sur Actualités IT, Dossiers Experts pour Décideurs et Professionnels IT (itpro.fr)

Active Directory, Armageddon, exemple de sinistre

Active Directory, Armageddon, exemple de sinistre

Active Directory – Sinistre de réplication

Active Directory – Sinistre de réplication

Active Director – Sinistre virtuel

Active Director – Sinistre virtuel

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par Renaud ROSSET - Publié le 19 septembre 2013

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT