> Tech > Nettoyage

Nettoyage

Tech - Par iTPro - Publié le 24 juin 2010
email

Quand un DC se retrouve orphelin à  l'intérieur d'AD, le nettoyage concerne de nombreuses zones. Il faut supprimer l'objet ordinateur dans la console Active Directory Users and Computers, ainsi que nettoyer les objets de connexion DC dans les profondeurs de la base de données AD. Il faut aussi nettoyer DNS.

Avec tout ce travail devant
nous, nous nous sommes mis immédiatement
au travail.
Premièrement, nous avons plongé
dans la console Active Directory Users
and Computers pour essayer de nettoyer
l’objet ordinateur. Par chance,
nous avons pu supprimer l’objet. Nous
avons aussitôt forcé la réplication pour
nous assurer que tous les DC recevaient
la mise à  niveau les informant du
fait que l’objet DC n’était plus valide.
Nous avons employé l’utilitaire
Replication Monitor (replmon.exe) –
qui fait partie des Support Tools du
CD-ROM Win2K Server – pour forcer la
réplication de base de données AD audelà 
des limites du site. (Pour plus d’informations
sur la réplication et sur
Replmon, voir l’encadré « Franchir des
limites de sites » ou l’article « 6 outils
essentiels pour dépanner la réplication
AD », Windows & .Net Magazine juin
2002 ou sur le site www.itpro.fr )
Après avoir vérifié que les autres
DC étaient mis à  jour, nous avons ouvert
la console Active Directory Sites
and Services pour essayer de supprimer
les objets serveur et connexion du
site associé. Mais nous n’avons pas pu
enlever l’objet serveur de la base de
données AD. Nous sommes donc passés
à  l’étape suivante, tout en notant
que nous devrions revenir à  la console
Active Directory Sites and Services et
supprimer l’objet serveur.
Nous étions prêts à  plonger dans
les abysses de la base de données AD.
Nous avons décidé d’utiliser Ntdsutil
pour nettoyer l’enregistrement de
base de données resté orphelin.
Ntsdutil – un outil ligne de commande
puissant – comporte beaucoup de commandes pour travailler avec la base
de données AD. Il nous fallait la commande
Metadata cleanup de l’outil
pour supprimer un enregistrement de
base de données resté orphelin. Pour
en savoir plus sur Ntdsutil et ses commandes,
allez à  http://www.microsoft.
com/windows2000/techinfo/reskit/enus/
default.asp et cliquez sur Distributed
Systems Guide, Appendixes, et
Active Directory Diagnostic Tool
(Ntdsutil.exe).
Nous savions que l’outil présentait
quelques aspects délicats. Par exemple,
Ntdsutil ne se connecte pas à  un
DC au premier lancement de l’outil : il
faut établir manuellement toutes les
connexions à  un DC. Comme le
montre la figure 1, nous avons utilisé
l’option connection de la commande
Metadata cleanup pour nous connecter
à  DC2, d’où nous pourrions accéder
à  la base de données AD.
Après avoir accédé à  AD, il nous fallait
pointer Ntdsutil sur l’objet DC1 orphelin
et, pour cela, nous devions
nous connecter au domaine et au site
appropriés. Comme on le voit figure 2,
nous avons utilisé l’option select operation
target de la commande Metadata
cleanup pour obtenir une liste des domaines
et des sites, puis nous avons sélectionné
le domaine, le site et le serveur
corrects.
Une fois l’objet serveur sélectionné,
nous étions prêts à  utiliser l’option
remove selected server de la commande
Metadata cleanup pour
supprimer l’objet de la base de données.
Comme le montre la figure 3,
nous avons entré la commande. Une
boîte de dialogue nous a alors demandé
si nous voulions vraiment supprimer
l’objet serveur de la base de
données. Après avoir vérifié le nom et
l’emplacement du serveur pour être
certain de ne pas supprimer le mauvais
serveur, nous avons confirmé notre décision
dans la boîte de dialogue et reçu
confirmation de la suppression de l’objet.
Pour que tous les autres DC soient
au courant du changement, nous
avons utilisé à  nouveau replmon.exe
pour forcer la réplication. Puis nous
avons utilisé Ntdsutil sur DC2 et DC3
pour nous assurer que l’enregistrement
serveur DC1 avait été supprimé
de tous les DC qui contenaient la base
de données AD.
L’étape suivante importante du
nettoyage impliquait DNS. Selon le
type de serveur DNS qu’on utilise, il
faut mener la bonne action pour supprimer
l’enregistrement hôte (aussi
appelé enregistrement A) et les enregistrements
SRV. Comme nous utilisions
un serveur BIND DNS, nous
avons demandé à  l’administrateur de
serveurs DNS de supprimer les entrées
essentielles pour notre compte. Après
avoir vérifié, à  l’aide de l’utilitaire
Nslookup de Win2K, que les entrées
avaient disparu, le moment était venu
de revenir à  la console Active Directory
Sites and Services et d’essayer à  nouveau
de supprimer l’objet serveur.
Cette fois, nous avons pu supprimer
l’objet sans la moindre anicroche.
Toutes les entrées du serveur dans
Active Directory Users and Computers,
Active Directory Sites and Services,
Ntdsutil, et DNS avaient finalement disparu.
Nous pouvions tenter de réinstaller
le DC.
Nous avons installé le serveur et
l’avons joint au domaine. Puis nous
nous sommes assurés que tous les paramètres
TCP/IP (masque subnet, passerelle
par défaut, serveur DNS, serveur
WINS, configuration de mise à 
jour dynamique, par exemple) étaient
corrects et en ordre. Enfin, nous avons
vérifié que les subnets IP étaient corrects
pour le site dans lequel DC1 allait
résider. Puis nous avons exécuté
Dcpromo – en regardant tout le processus
avec la plus grande attention.
Cette procédure était pratiquement la
même que celle que nous avions suivie
auparavant, mais cette fois-ci tout s’est
bien passé. Nous ne savons toujours
pas vraiment ce qui s’est passé la première
fois.

Téléchargez gratuitement cette ressource

Guide des Services Managés pour se moderniser et se sécuriser

Guide des Services Managés pour se moderniser et se sécuriser

À l’heure où les talents du numérique sont rares et difficiles à séduire, comment bénéficier des meilleures compétences en infrastructure Cloud ou en cybersécurité pour gagner en agilité et en cyber-résilience ? Découvrez le Guide des Services managés dédiés aux PME.

Tech - Par iTPro - Publié le 24 juin 2010