Problème de réplication entre plusieurs DC AD

Active Directory

ThomasLounis

6 mai 2022 à 22:37:34

Bonjour,

Je viens sur le forum car j'ai un gros problème avec la réplication de mes contrôleurs de domaine.

Je vous explique la situation :

Contexte :

J'ai 2 sites locaux connectés par IPSec, appelons-les site A et site B.

Dans chaque site j'ai deux contrôleurs de domaine, appelons-les pour le site A DC1 et DC2 et pour le site B DC3 et DC4.

Les 4 contrôleurs sont synchronisés entre eux en inter site et intra site.

Les 2 DC du site A sont virtualisés avec Hyper V.

Les 2 DC du site B sont physiques.

Normalement DC1 est le DC maître.

Problème :

J'ai exécuté un script d'audit de la configuration du domaine sur le DC1 qui était censé s'exécuter en mode audit mais qui a malheureusement apporté de gros changements au domaine.

En fait, le script a appliqué les meilleures pratiques de tous les points de contrôle du CIS (ce qui est en fait très bien) mais a eu un impact sur l'activité de l'entreprise. En effet, tous les DC se sont synchronisés avec le DC1 qui a automatiquement répercuté les changements sur les autres DC.

Heureusement, nous avons une sauvegarde extrêmement récente (snapshot) de l'hyper V que nous avons utilisée pour restaurer le DC1. Cependant, lorsque nous démarrons la VM DC1 restaurée, les autres DCs (2,3,4) qui ont les mauvaises modifications les répliquent automatiquement (15 secondes) sur le DC1, de sorte que nous ne pouvons pas restaurer nos contrôleurs de domaine à partir du snapshot DC1.

Afin de trouver une solution, nous avons désactivé la réplication automatique en INBOUND et OUTBOUND sur les DC2,3,4 (repadmin /options DCx +DISABLE_INBOUND_REPL) (repadmin /options DCx +DISABLE_OUTBOUND_REPL) puis restauré le snapshot de la VM DC1 et lancé le DC1. Cela fonctionne parfaitement, le DC1 garde les bonnes modifications (les anciennes, avant l'exécution du script), donc nous voulons maintenant appliquer les paramètres du DC1 sur tous les DCs pour obtenir un domaine homogène.

Nous forçons donc la réplication du DC1 sur les autres DCs avec la commande : Repadmin /syncall DC1 /APed.

Ceci a propagé la bonne configuration du DC1 sur les autres DCs donc c'est parfait.

Cependant, en réactivant la réplication automatique INBOUND et OUTBOUND (repadmin /options DCx -DISABLE_INBOUND_REPL) (repadmin /options DCx -DISABLE_OUTBOUND_REPL) sur les DCs, les mauvaises modifications sont malheureusement réapparues et se sont propagées sur tous les DCs presque immédiatement.

Comment cela est-il possible sachant qu'à un instant "T" les 4 contrôleurs de domaine avaient tous l'ancienne bonne configuration (avant l'exécution du script) ?

Où sont allés les DCs pour obtenir la mauvaise configuration (après l'exécution du script) ?

Comment conserver la bonne configuration sur tous les DCs une fois que nous avons réactivé les réplications en réactivant les INBOUND et OUTBOUND ?

Je vous remercie d'avance pour vos réponses, la situation est assez critique.

-
Edité par ThomasLounis 6 mai 2022 à 22:47:51

maroufle34

7 mai 2022 à 18:07:39

A l'époque de NT4 tout ça était géré par les relations d'approbations, je sais pas si c'est le terme de nos jours, mais ça faisait que les DC secondaires ou autres étaient automatiquement mis à jour pour les nouvelles règles éventuelles qu'on entrait sur le PDC. (DC1 dans ton cas je crois)

Par contre utiliser ça en VM, je vois pas trop l'intérêt, vu le mal de communiquer souvent entre une VM et une machine physique...Bref j'ai pas plus à dire là dessus. (vu ton langage tu dois avoir des certifs Microsoft, mais perso sans aucune certif j'ai tout mis sous Linux, et je pouvais absolument tout contrôler, y compris le nombre de page par utilisateur du réseau SMB sur l'imprimante réseau, via des mini scripts.)

PS/edit: Au début le protocole SMB pouvait tourner sur quelques couches réseaux, y compris en version NETBEUI qui était sur le réseau SPX, plus rapide que IP, mais pour la couche réseau IP le protocole devient NetBIOS, nbt est une commande système aussi sous Linux, sur Windows on retrouve surtout nbtstat, ou quelques autres, si on veut faire de la ligne de commande)

edit2: je pense qu'un peu d'histoire sur les réseaux microsoft n'est pas de trop pour comprendre le protocole SMB au final, ce qui pourrait résoudre tous tes problèmes si tu le connais, même si c'est en v2 de nos jours je crois.

-
Edité par maroufle34 7 mai 2022 à 18:36:08