Cet article expose un comportement inattendu de windows 2008 server R2 lors d'une opération de promotion d'un serveur membre d'un domaine en contrôleur du domaine.
A lire absolument : localiser et déplacer les maîtres d'opérations Active Directory (copie locale) et comment faire pour supprimer les données dans Active Directory après un échec (copie locale).

 

 

1. Les faits observés

Le serveur est  membre du domaine.Tout administarateur connu de la base Active Ditrectory ouvre donc sans difficulté une session sur le serveur.
Le serveur est promu au rôle de contrôleur du domaine par exemple avec la commande en ligne "dcpromo".
Le processus installe alors le service DNS sur ce serveur, poursuit avec la replication de la base "active directory" et installe également la fonctionnalité "global controleur".
Tout semble bien se passer, l'ensemble des objets est répliqué. Le serveur redémarre.

Après le redéarrage, impossible d'ouvrir une session. Le message ci-contre s'affiche.

Précisons que les comptes réfusés sur ce serveur ouvrent sans difficuté des sessions sur les autres contrôleurs du domaine.
 

 

 

 

 

 

"Impossible d'ouvrir une session ! Echec d'ouverture de session : restriction de compte utilisateur. Des raisons possibles sont des mots de passe vides n'étant pas autorisés, des restrictions possibles sur les heures d'ouverture de session ou une restriction de stratégie a été appliquée."

 

  1. Retour à l'état initial

En mode "restauration des services d'annuaire (F8 au démarrage)", après avoir ouvert une session, la commande en ligne "dcpromo /forceremoval" permet de retourner à l'état de serveur membre.
J'ai préféré sortir le serveur du domaine puis l'ajouter de nouveau mais sous un autre nom (pour ne pas être confronté à des problèmes d'"active directory" mal nettoyé.

  1.  Installation manuelle du DNS

J'ai installé le rôle serveur DNS et la fonctionalité serveur WINS.
J'ai vérifié que le service DNS fonctionnait normalement ( des enregistrements de machines s'inscrivaient).

  1.  Promotion en controleur de domaine
     

J'ai de nouveau exécuer la commande en ligne "dcpromo" mais cette fois en mode expert pour vérifier que les étapes se déroulaient convenablement.La replication de la base "acive directory" se déroule, la fonctionnalité "global controleur s'installe également.
Tout semble bien se passer, l'ensemble des objets est répliqué. Le serveur redémarre.

Cette fois, l 'ouverture de session est possible. Mon serveur est un catalogue global comme je l'avais souhaité.

  1. SYSVOL et NETLOGON

J'ai pu observé sur certains serveurs, l'absence du partage NETLOGON. J'ai touvé une solution à ce problème sur la base de connaissance de Microsoft. J'en reproduis l'essentiel ci-après.

Pour contourner ce problème, définissez la valeur de l'indicateur SysvolReady du Registre  à « 0 », puis revenez à « 1 ». Pour ce faire, procédez comme suit :

  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé suivante dans l'Éditeur du Registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Dans le volet d'informations, cliquez droit sur l'indicateur SysvolReady , puis cliquez sur Modifier.
  4. Dans la zone données de la valeur , tapez 0, puis cliquez sur OK.
  5. À nouveau, dans le volet de détails, cliquez sur l'indicateur SysvolReady , puis cliquez sur Modifier.
  6. Dans la zone données de la valeur , tapez 1, puis cliquez sur OK.