ID d’événement de réplication Active Directory 2087 : échec de recherche DNS entraînant l’échec de la réplication

Cet article fournit une solution à l’ID d’événement de réplication Active Directory 2087 qui se produit lorsqu’une défaillance de recherche DNS (Domain Name System) provoque l’échec de la réplication.

S’applique à : versions prises en charge de Windows Server
Numéro de base de connaissances d’origine : 4469661

Symptômes

Ce problème se produit généralement lorsqu’une défaillance de recherche DNS (Domain Name System) provoque l’échec de la réplication. Lorsqu’un contrôleur de domaine de destination reçoit l’ID d’événement 2087 dans le journal des événements du service d’annuaire, tente de résoudre l’identificateur global unique (GUID) dans l’enregistrement de ressource alias (CNAME), le nom de domaine complet (FQDN) et le nom NetBIOS à l’adresse IP du contrôleur de domaine source ont tous échoué. L’échec de la localisation du partenaire de réplication source empêche la réplication avec cette source jusqu’à ce que le problème soit résolu.

Voici un exemple du texte de l'événement :

Nom du journal : Répertoire
Source de service : Microsoft-Windows-ActiveDirectory_DomainService
Date : 3/9/2008 11:00:21 AM
ID d’événement : 2087
Catégorie de tâche : client RPC DS
Niveau : Erreur
Mots clés : Classique
Utilisateur : LOGON ANONYME
Ordinateur : DC3.contoso.com
Description : Active Directory n’a pas pu résoudre le nom d’hôte DNS suivant du contrôleur de domaine source en adresse IP. Cette erreur empêche les ajouts, les suppressions et les modifications de services de domaine Active Directory de répliquer entre un ou plusieurs contrôleurs de domaine dans la forêt. Les groupes de sécurité, la stratégie de groupe, les utilisateurs et les ordinateurs et leurs mots de passe sont incohérents entre les contrôleurs de domaine jusqu’à ce que cette erreur soit résolue, ce qui peut affecter l’authentification de connexion et l’accès aux ressources réseau.

Contrôleur de domaine source : DC2
Échec du nom d’hôte DNS :
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
REMARQUE : Par défaut, jusqu’à 10 échecs DNS sont affichés pour une période de 12 heures donnée, même si plus de 10 échecs se produisent. Pour enregistrer tous les événements d’échec individuels, définissez la valeur de Registre de diagnostics suivante sur 1 :

Chemin d’accès au Registre : HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Action de l'utilisateur :

1. Si le contrôleur de domaine source ne fonctionne plus ou si son système d’exploitation a été réinstallé avec un nom d’ordinateur ou un GUID d’objet NTDSDSA différent, supprimez les métadonnées du contrôleur de domaine source avec ntdsutil.exe, en suivant les étapes décrites dans l’article MSKB 216498.

2. Vérifiez que le contrôleur de domaine source exécute services de domaine Active Directory et est accessible sur le réseau en tapant « net view \\<source DC name> » ou « ping <source DC name> ».

3. Vérifiez que le contrôleur de domaine source utilise un serveur DNS valide pour les services DNS, et que l’enregistrement hôte du contrôleur de domaine source et l’enregistrement CNAME sont correctement inscrits, à l’aide de la version DNS améliorée de DCDIAG.EXE disponible sur http://www.microsoft.com/dns
   dcdiag /test:dns

4. Vérifiez que ce contrôleur de domaine de destination utilise un serveur DNS valide pour les services DNS, en exécutant la version DNS améliorée de DCDIAG.EXE commande sur la console du contrôleur de domaine de destination, comme suit :
   dcdiag /test:dns

5. Pour une analyse plus approfondie des échecs d’erreur DNS, consultez Kb 824449 : http://support.microsoft.com/?kbid=824449

Données supplémentaires
Valeur d’erreur : 11004
Le nom demandé est valide, mais aucune donnée du type demandé n’a été trouvée.

Diagnostic

L’échec de résolution de l’enregistrement de ressource CNAME (Alias actuel) du contrôleur de domaine source sur une adresse IP peut avoir les causes suivantes :

• Le contrôleur de domaine source est désactivé, est hors connexion ou réside sur un réseau isolé, et les données Active Directory et DNS pour le contrôleur de domaine hors connexion n’ont pas été supprimées pour indiquer que le contrôleur de domaine est inaccessible.

• L’une des conditions suivantes existe :

  • Le contrôleur de domaine source n’a pas inscrit ses enregistrements de ressources dans DNS.
  • Le contrôleur de domaine de destination est configuré pour utiliser un serveur DNS non valide.
  • Le contrôleur de domaine source est configuré pour utiliser un serveur DNS non valide.
  • Le serveur DNS que le contrôleur de domaine source utilise n’héberge pas les zones appropriées, ou les zones ne sont pas configurées pour accepter les mises à jour dynamiques.
  • Les serveurs DNS directs que les requêtes du contrôleur de domaine de destination ne peuvent pas résoudre l’adresse IP du contrôleur de domaine source en raison de redirecteurs ou de délégations inexistants ou non valides.

• services de domaine Active Directory (AD DS) a été supprimé sur le contrôleur de domaine source, puis réinstallé avec la même adresse IP, mais la connaissance du nouveau GUID des paramètres NTDS n’a pas atteint le contrôleur de domaine de destination.

• AD DS a été supprimé sur le contrôleur de domaine source, puis réinstallé avec une autre adresse IP, mais l’enregistrement de ressource d’adresse hôte actuel (A) pour l’adresse IP du contrôleur de domaine source n’est pas inscrit ou n’existe pas sur les serveurs DNS que le contrôleur de domaine de destination interroge en raison d’une latence de réplication ou d’une erreur de réplication.

• Le système d’exploitation du contrôleur de domaine source a été réinstallé avec un autre nom d’ordinateur, mais ses métadonnées n’ont pas été supprimées ou n’ont pas encore été répliquées entrantes par le contrôleur de domaine de destination.

Résolution

Tout d’abord, déterminez si un contrôleur de domaine fonctionne. Si le contrôleur de domaine source ne fonctionne pas, supprimez ses métadonnées restantes d’AD DS.

Si le contrôleur de domaine source fonctionne, suivez les procédures pour diagnostiquer et résoudre le problème DNS, si nécessaire :

• Utilisez Dcdiag pour diagnostiquer les problèmes DNS.
• Inscrire les enregistrements de ressources du service DNS (SRV) ainsi que les enregistrements d’hôte.
• Synchronisez la réplication entre les contrôleurs de domaine source et de destination.
• Vérifiez la cohérence du GUID des paramètres NTDS.

Déterminer si un contrôleur de domaine fonctionne

Pour déterminer si le contrôleur de domaine source fonctionne, utilisez le test suivant.

Conditions requises :

• L’appartenance au groupe Utilisateurs du domaine dans le domaine du contrôleur de domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

• Outil : Affichage net

Pour vérifier que le contrôleur de domaine exécute AD DS et est accessible sur le réseau, à l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

net view \\<SourceDomainControllerName>

Où <SourceDomainControllerName> est le nom NetBIOS du contrôleur de domaine.

Cette commande affiche les partages Netlogon et SYSVOL, indiquant que le serveur fonctionne en tant que contrôleur de domaine. Si ce test indique que le contrôleur de domaine ne fonctionne pas sur le réseau, déterminez la nature de la déconnexion et si le contrôleur de domaine peut être récupéré ou si ses métadonnées doivent être supprimées manuellement d’AD DS. Si le contrôleur de domaine ne fonctionne pas et ne peut pas être restauré, utilisez la procédure décrite dans la section suivante, nettoyez les métadonnées du contrôleur de domaine pour supprimer les données associées à ce serveur à partir d’AD DS.

Nettoyer les métadonnées du contrôleur de domaine

Si les tests montrent que le contrôleur de domaine ne fonctionne plus, mais que vous voyez toujours des objets représentant le contrôleur de domaine dans le composant logiciel enfichable Sites et services Active Directory, la réplication continuera d’être tentée et vous devez supprimer ces objets d’AD DS manuellement. Vous devez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ou l’outil Ntdsutil pour nettoyer (supprimer) les métadonnées du contrôleur de domaine obsolète.

Si le contrôleur de domaine obsolète est le dernier contrôleur de domaine du domaine, vous devez également supprimer les métadonnées du domaine. Laissez suffisamment de temps pour que tous les serveurs de catalogue globaux de la forêt répliquent la suppression du domaine avant de promouvoir un nouveau domaine portant le même nom.

Le processus de nettoyage des métadonnées est amélioré dans la version de Ntdsutil incluse dans n’importe quelle version prise en charge de Windows Server. Les instructions de nettoyage des métadonnées avec Ntdsutil sont fournies dans la procédure suivante.

Conditions requises :

• L’appartenance aux administrateurs d’entreprise ou équivalente est la condition minimale requise pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
• Outil : Ntdsutil (outil en ligne de commande System32)

Étapes de nettoyage des métadonnées du serveur

Une méthode pratique pour nettoyer les métadonnées du contrôleur de domaine utilise le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour plus d’informations, consultez l’article suivant :

• Étape par étape : suppression manuelle d’un serveur de contrôleur de domaine
• Nettoyer les métadonnées du serveur domaine Active Directory Controller

Vous pouvez également utiliser Ntdsutil :

1. Ouvrez une invite de commandes avec des privilèges élevés.

2. À l’invite de commandes, tapez la ntdsutil commande, puis appuyez sur Entrée.

3. À l’invite de commandes ntdsutil, tapez la metadata cleanup commande, puis appuyez sur Entrée.

4. Effectuez le nettoyage des métadonnées comme suit :

   Note

   Si vous supprimez des métadonnées de domaine ainsi que des métadonnées de serveur, ignorez la procédure suivante et utilisez la procédure qui commence à l’étape 1.

   • Si vous effectuez uniquement le nettoyage des métadonnées du serveur et que vous utilisez la version de Ntdsutil.exe incluse avec une version prise en charge de Windows Server, à l’invite metadata cleanup: de commandes, tapez la commande suivante, puis appuyez sur Entrée :

     remove selected server <ServerName>
     

     Or

     remove selected server <ServerName1> on <ServerName2>
     

     Paramètre	Description
     <ServerName, <ServerName1>>	Nom unique du contrôleur de domaine dont vous souhaitez supprimer les métadonnées, sous la forme cn=<ServerName,cn=Servers,cn=<SiteName>>, cn=Sites,cn=Configuration,dc=<ForestRootDomain>
     <ServerName2>	Nom DNS du contrôleur de domaine auquel vous souhaitez vous connecter et à partir duquel vous souhaitez supprimer les métadonnées du serveur.

   • Si vous effectuez un nettoyage des métadonnées à l’aide de la version de Ntdsutil.exe, ou si vous effectuez à la fois le nettoyage des métadonnées de domaine et le nettoyage des métadonnées du serveur, effectuez le nettoyage des métadonnées comme suit :

     1. À l’invite metadata cleanup: , tapez la connection commande, puis appuyez sur Entrée.
     2. À l’invite server connections: , tapez la connect to server <Server> commande, puis appuyez sur Entrée.
     3. À l’invite connection: , tapez la quit commande, puis appuyez sur Entrée.
     4. À l’invite metadata cleanup: , tapez la select operation target commande, puis appuyez sur Entrée.
     5. À l’invite select operation target: , tapez la list sites commande, puis appuyez sur Entrée.
     6. Une liste numérotée des sites s’affiche. Tapez la select site <SiteNumber> commande, puis appuyez sur Entrée.
     7. À l’invite select operation target: , tapez la list domains in site commande, puis appuyez sur Entrée.
     8. Une liste numérotée de domaines dans le site sélectionné s’affiche. Tapez la select domain <DomainNumber> commande, puis appuyez sur Entrée.
     9. À l’invite select operation target: , tapez la list servers in site commande, puis appuyez sur Entrée.
     10. Une liste numérotée de serveurs dans un domaine et un site s’affiche. Tapez la select server <ServerNumber> commande, puis appuyez sur Entrée.
     11. À l’invite select operation target: , tapez la quit commande, puis appuyez sur Entrée.
     12. À l’invite metadata cleanup: , tapez la remove selected server commande, puis appuyez sur Entrée.
     13. Si le serveur dont vous avez supprimé les métadonnées est le dernier contrôleur de domaine du domaine et que vous souhaitez supprimer les métadonnées de domaine, à l’invite metadata cleanup: , tapez la remove selected domain commande, puis appuyez sur Entrée. Les métadonnées du domaine que vous avez sélectionné à l’étape h sont supprimées.
     14. Aux invites metadata cleanup: et ntdsutil:, tapez quit, puis appuyez sur Entrée.

     Paramètre	Description
     <Serveur>	Nom DNS d’un contrôleur de domaine auquel vous souhaitez vous connecter.
     <SiteNumber>	Numéro associé au site du serveur que vous souhaitez nettoyer, qui apparaît dans la liste.
     <DomainNumber>	Nombre associé au domaine du serveur que vous souhaitez nettoyer, qui apparaît dans la liste.
     <ServerNumber>	Numéro associé au serveur que vous souhaitez nettoyer, qui apparaît dans la liste.

Utiliser Dcdiag pour diagnostiquer les problèmes DNS

Si le contrôleur de domaine fonctionne en ligne, continuez à utiliser l’outil Dcdiag pour diagnostiquer et résoudre les problèmes DNS susceptibles d’interférer avec la réplication Active Directory.

Pour effectuer ce processus, procédez comme suit :

• Vérifiez la connectivité et les fonctionnalités DNS de base.
• Vérifiez l’inscription de l’enregistrement de ressource d’alias (CNAME) dans DNS.
• Vérifiez les mises à jour dynamiques et activez les mises à jour dynamiques sécurisées.

Avant de commencer ces procédures, rassemblez les informations suivantes, qui sont contenues dans le texte du message ID d’événement 2087 :

• Nom de domaine complet du contrôleur de domaine source et du contrôleur de domaine de destination
• Adresse IP du contrôleur de domaine source

La version mise à jour de Dcdiag incluse dans n’importe quelle version prise en charge de Windows Server contient des tests qui fournissent des tests consolidés et améliorés des fonctionnalités DNS de base et avancées. Vous pouvez utiliser cet outil pour diagnostiquer les fonctionnalités DNS de base et les mises à jour dynamiques.

Lorsque vous utilisez Dcdiag pour les tests DNS, il existe des exigences spécifiques qui ne s’appliquent pas à tous les tests Dcdiag.

Conditions requises :

• L’appartenance aux administrateurs d’entreprise ou équivalente est la condition minimale requise pour effectuer les tests DNS. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
• Outil : Dcdiag.exe
• Système d’exploitation : toutes les versions prises en charge de Windows Server ou du client avec les outils d’administration de serveur distant (RSAT)

Note

Vous pouvez utiliser le /f: commutateur dans les commandes Dcdiag pour enregistrer la sortie dans un fichier texte. Permet /f: FileName de générer le fichier à l’emplacement indiqué dans FileName, par exemple /f:c:\Test\DnsTest.txt.

Vérifier la fonctionnalité DNS de base

Pour vérifier les paramètres susceptibles d’interférer avec la réplication Active Directory, vous pouvez commencer par exécuter le test DNS de base qui garantit que DNS fonctionne correctement sur le contrôleur de domaine.

Le test DNS de base vérifie les éléments suivants :

• Connectivité : le test détermine si les contrôleurs de domaine sont inscrits dans DNS, peuvent être contactés par PING et disposent d’une connectivité LDAP/RPC (Lightweight Directory Access Protocol/Remote Procedure Call). Si le test de connectivité échoue sur un contrôleur de domaine, aucun autre test n’est exécuté sur ce contrôleur de domaine. Le test de connectivité est effectué automatiquement avant l’exécution de tout autre test DNS.

• Services essentiels : le test confirme que les services suivants s’exécutent et sont disponibles sur le contrôleur de domaine testé :

  • Service client DNS
  • Service d’ouverture de session Net
  • Service du Centre de distribution de clés (KDC)
  • Service serveur DNS (si DNS est installé sur le contrôleur de domaine)

• Configuration du client DNS : le test confirme que les serveurs DNS sur tous les adaptateurs sont accessibles.

• Inscriptions d’enregistrements de ressources : le test confirme que l’enregistrement de ressource hôte (A) de chaque contrôleur de domaine est inscrit sur au moins un des serveurs DNS configurés sur le client.

• Zone et début de l’autorité (SOA) : Si le contrôleur de domaine exécute le service de serveur DNS, le test confirme que la zone de domaine Active Directory et l’enregistrement de ressource de début d’autorité (SOA) de la zone de domaine Active Directory sont présents.

• Zone racine : Vérifie si la zone racine (.) est présente.

Étapes de vérification des fonctionnalités DNS de base

1. À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

   dcdiag /test:dns /s:<SourceDomainControllerName> /DnsBasic
   

   Où <SourceDomainControllerName> est le nom unique, le nom NetBIOS ou le nom DNS du contrôleur de domaine.

   En guise d’alternative, vous pouvez tester tous les contrôleurs de domaine dans la forêt en tapant /e: au lieu de /s:.

2. Copiez le rapport dans le Bloc-notes ou un éditeur de texte équivalent.

3. Faites défiler jusqu’à la table Résumé en bas du fichier journal Dcdiag.

4. Notez les noms de tous les contrôleurs de domaine qui signalent l’état « Avertissement » ou « Échec » dans la table Résumé.

5. Recherchez la section détaillée de l’arrêt du contrôleur de domaine problématique en recherchant la chaîne « DC : <DomainControllerName> ».

6. Apportez les modifications de configuration requises sur les clients DNS et les serveurs DNS.

7. Pour valider les modifications de configuration, réexécutez Dcdiag /test:DNS avec le ou /s: le /e: commutateur.

Si le test DNS de base n’affiche aucune erreur, continuez en vérifiant que les enregistrements de ressources utilisés pour localiser les contrôleurs de domaine sont inscrits dans DNS.

Vérifier l’inscription des enregistrements de ressources

Le contrôleur de domaine de destination utilise l’enregistrement de ressource de l’alias DNS (CNAME) pour localiser son partenaire de réplication de contrôleur de domaine source. Bien que les contrôleurs de domaine puissent localiser les partenaires de réplication source à l’aide de noms de domaine complets (ou, si cela échoue, les noms NetBIOS), la présence de l’enregistrement de ressource d’alias (CNAME) est attendue et doit être vérifiée pour un bon fonctionnement DNS.

Vous pouvez utiliser Dcdiag pour vérifier l’inscription de tous les enregistrements de ressources essentiels à l’emplacement du contrôleur de domaine à l’aide du dcdiag /test:dns /DnsRecordRegistration test. Ce test vérifie l’inscription des enregistrements de ressources suivants dans DNS :

• Alias (CNAME) (enregistrement de ressource basé sur GUID qui localise un partenaire de réplication)
• Hôte (A) (enregistrement de ressource hôte qui contient l’adresse IP du contrôleur de domaine)
• Enregistrements de ressources LDAP SRV (le service (SRV) qui localisent les serveurs LDAP)
• Enregistrements de ressources GC SRV (le service (SRV) qui recherchent des serveurs de catalogue globaux)
• Enregistrements de ressources PDC SRV (le service (SRV) qui recherchent les maîtres d’opérations d’émulateur de contrôleur de domaine principal (PDC)

En guise d’alternative, vous pouvez utiliser la procédure suivante pour rechercher uniquement l’enregistrement de ressource d’alias (CNAME).

Étapes de vérification de l’inscription d’enregistrements de ressource d’alias (CNAME)

1. Dans le composant logiciel enfichable DNS, recherchez n’importe quel contrôleur de domaine qui exécute le service serveur DNS, où le serveur héberge la zone DNS portant le même nom que le domaine Active Directory du contrôleur de domaine.

2. Dans l’arborescence de la console, cliquez sur la zone nommée _msdcs. Dns_Domain_Name.

   Note

   Dans DNS windows 2000 Server, _msdcs. Dns_Domain_Name est un sous-domaine de la zone DNS pour le nom de domaine Active Directory. Dans Windows Server 2003 DNS, _msdcs. Dns_Domain_Name est une zone distincte.

3. Dans le volet d’informations, vérifiez que les enregistrements de ressources suivants sont présents :

   • Enregistrement de ressource d’alias (CNAME) nommé Dsa_Guid._msdcs. Dns_Domain_Name
   • Enregistrement de ressource hôte (A) correspondant pour le nom du serveur DNS

Si l’enregistrement de ressource d’alias (CNAME) n’est pas inscrit, vérifiez que les mises à jour dynamiques fonctionnent correctement. Utilisez le test dans la section suivante.

Vérifier les mises à jour dynamiques

Si le test DNS de base indique que les enregistrements de ressources n’existent pas dans DNS, utilisez le test de mise à jour dynamique pour diagnostiquer pourquoi le service Net Logon n’a pas enregistré automatiquement les enregistrements de ressources. Pour vérifier que la zone de domaine Active Directory est configurée pour accepter les mises à jour dynamiques sécurisées et effectuer l’inscription d’un enregistrement de test (_dcdiag_test_record), procédez comme suit. L’enregistrement de test est automatiquement supprimé après le test.

Pour vérifier les mises à jour dynamiques, à l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

dcdiag /test:dns /s:<SourceDomainControllerName> /DnsDynamicUpdate

Où <SourceDomainControllerName> est le nom unique, le nom NetBIOS ou le nom DNS du contrôleur de domaine.

En guise d’alternative, vous pouvez tester tous les contrôleurs de domaine à l’aide du /e: commutateur au lieu du /s: commutateur.

Si la mise à jour dynamique sécurisée n’est pas configurée, utilisez la procédure suivante pour la configurer.

Activer des mises à jour dynamiques sécurisées

1. Ouvrez le composant logiciel enfichable DNS.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Propriétés.
3. Sous l’onglet Général , vérifiez que le type de zone est intégré à Active Directory.
4. Dans Mises à jour dynamiques, cliquez sur Sécuriser uniquement.

Inscrire des enregistrements de ressources DNS

Si les enregistrements de ressources DNS n’apparaissent pas dans DNS pour le contrôleur de domaine source, vous avez vérifié les mises à jour dynamiques et que vous souhaitez inscrire immédiatement les enregistrements de ressources DNS, vous pouvez forcer l’inscription manuellement à l’aide de la procédure suivante. Le service Net Logon sur un contrôleur de domaine enregistre les enregistrements de ressources DNS requis pour que le contrôleur de domaine se trouve sur le réseau. Le service client DNS enregistre l’enregistrement de ressource hôte (A) vers lequel pointe l’enregistrement d’alias (CNAME).

Conditions requises :

• L’appartenance au groupe Administrateurs de domaine dans le domaine racine de forêt ou le groupe Administrateurs d’entreprise, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
• Outils : net stop/net start, ipconfig

Inscrire manuellement des enregistrements de ressources DNS

Pour lancer l’inscription manuelle des enregistrements de ressources du localisateur de contrôleur de domaine sur le contrôleur de domaine source, à l’invite de commandes, tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :

net stop net logon
net start net logon

Pour lancer l’inscription manuelle de l’enregistrement de ressource A hôte, à l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

ipconfig /flushdns
ipconfig /registerdns

Attendez 15 minutes, puis passez en revue les événements dans l’Observateur d’événements pour garantir l’inscription appropriée des enregistrements de ressources.

Répétez la procédure décrite dans la section Vérifier l’enregistrement des enregistrements de ressource plus haut dans cette section pour vérifier que les enregistrements de ressources apparaissent dans DNS.

Synchroniser la réplication entre les contrôleurs de domaine source et de destination

Une fois que vous avez terminé le test DNS, utilisez la procédure suivante pour synchroniser la réplication sur la connexion entrante du contrôleur de domaine source vers le contrôleur de domaine de destination.

Conditions requises :

• L’appartenance au groupe Administrateurs de domaine dans le domaine du contrôleur de domaine de destination, ou équivalent, est la condition minimale requise pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
• Outil : Sites et services Active Directory

Étapes de synchronisation de la réplication à partir d’un contrôleur de domaine source

1. Ouvrez Sites et services Active Directory.
2. Dans l’arborescence de la console, double-cliquez sur le conteneur Sites , double-cliquez sur le site du contrôleur de domaine auquel vous souhaitez synchroniser la réplication, double-cliquez sur le conteneur Serveurs , double-cliquez sur l’objet serveur du contrôleur de domaine, puis cliquez sur Paramètres NTDS.
3. Dans le volet d’informations, dans la colonne From Server , recherchez l’objet de connexion qui affiche le nom du contrôleur de domaine source.
4. Cliquez avec le bouton droit sur l’objet de connexion approprié, puis cliquez sur Répliquer maintenant.
5. Cliquez sur OK.

Si la réplication ne réussit pas, utilisez la procédure décrite dans la section suivante pour vérifier la cohérence du GUID des paramètres NTDS.

Vérifier la cohérence du GUID des paramètres NTDS

Si vous avez effectué tous les tests DNS et d’autres tests et réplications ne réussissent pas, utilisez la procédure suivante pour vérifier que le GUID de l’objet Paramètres NTDS que le contrôleur de domaine de destination utilise pour localiser son partenaire de réplication correspond au GUID actuellement en vigueur sur le contrôleur de domaine source lui-même. Pour effectuer ce test, vous affichez le GUID de l’objet tel qu’il apparaît dans les répertoires locaux de chaque contrôleur de domaine.

Conditions requises :

• L’appartenance au groupe Administrateurs de domaine dans le domaine du contrôleur de domaine de destination, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
• Outil : Ldp.exe (Outils de support Windows)

Étapes pour vérifier la cohérence du GUID des paramètres NTDS

1. Cliquez sur Démarrer, sur Exécuter, tapez Ldp, puis cliquez sur OK.
2. Dans le menu Connexion, cliquez sur Connecter.
3. Dans la boîte de dialogue Se connecter , laissez la zone Serveur vide.
4. Dans Port, tapez 389, puis cliquez sur OK.
5. Dans le menu Connexion , cliquez sur Lier.
6. Dans la boîte de dialogue Lier , fournissez les informations d’identification des administrateurs d’entreprise. S’il n’est pas déjà sélectionné, cliquez sur Domaine.
7. Dans Domaine, tapez le nom du domaine racine de la forêt, puis cliquez sur OK.
8. Dans le menu Affichage , cliquez sur Arborescence.
9. Dans la boîte de dialogue Arborescence , tapez CN=Configuration,DC=Forest_Root_Domain , puis cliquez sur OK.
10. Accédez à l’objet CN=NTDS Settings,CN=SourceServerName,CN=Servers,CN=SiteName, CN=Sites,CN=configuration,DC=ForestRootDomain.
11. Double-cliquez sur l’objet Paramètres NTDS. Dans le volet d’informations, affichez la valeur de l’objet objectGUID d’attribut. Cliquez avec le bouton droit sur cette valeur, puis copiez-la dans le Bloc-notes.
12. Dans le menu Connexion , cliquez sur Déconnecter.
13. Répétez les étapes 2 à 11, mais à l’étape 3, tapez le nom du contrôleur de domaine source, par exemple DC03.
14. Dans le Bloc-notes, comparez les valeurs des deux GUID.
15. Si les valeurs ne correspondent pas, le contrôleur de domaine de destination doit recevoir la réplication du GUID valide. Vérifiez la valeur GUID sur d’autres contrôleurs de domaine et tentez la réplication sur le contrôleur de domaine de destination avec un autre contrôleur de domaine qui a le GUID approprié.
16. Si les valeurs correspondent, vérifiez que le GUID correspond au GUID dans le Dsa_Guid._msdcs. Dns_Domain_Nameresource enregistrement pour le contrôleur de domaine source, comme suit :
    1. Notez les serveurs DNS principaux que chaque contrôleur de domaine identifie dans les propriétés TCP/IP de leurs paramètres réseau. Tous les serveurs DNS répertoriés dans les propriétés TCP/IP respectives doivent être en mesure de résoudre indirectement ou directement cet enregistrement de ressource d’alias (CNAME).
    2. À partir des serveurs répertoriés, identifiez le serveur de noms ou les serveurs faisant autorité pour cette zone de domaine en examinant les noms de serveur répertoriés pour les enregistrements de ressources du serveur de noms (NS) à la racine de la zone. (Dans le composant logiciel enfichable DNS, sélectionnez la zone de recherche vers l’avant pour le domaine racine, puis affichez les enregistrements du serveur de noms (NS) dans le volet d’informations.)
    3. Sur le serveur de noms ou les serveurs obtenus à l’étape b, ouvrez le composant logiciel enfichable DNS, puis double-cliquez sur la zone de recherche vers l’avant pour le nom de domaine racine de la forêt. Double-cliquez sur le dossier _msdcs, puis notez les enregistrements de ressources d’alias (CNAME) qui existent pour le nom de votre serveur.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.