La rétrogradation de DCPROMO échoue s’il n’est pas en mesure de contacter l’infrastructure DNS master

  • Article

Cet article résout un problème lié à l’échec de la rétrogradation d’un ordinateur Windows Server qui héberge le rôle serveur services de domaine Active Directory (AD DS) ou de contrôleur de domaine.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 2694933

Symptômes

La rétrogradation normale d’un ordinateur Windows Server hébergeant le rôle serveur AD DS ou contrôleur de domaine échoue. Vous voyez l’erreur suivante à l’écran :

Texte de la barre de titre : Assistant Installation services de domaine Active Directory
Texte du message :
L’opération a échoué car :
services de domaine Active Directory n’a pas pu transférer les données restantes dans la partition d’annuaire
DC=DomainDNSZones,DC=<nom> domjain DNS à domaine Active Directory Controller
\\<NOM DNS du contrôleur de domaine d’assistance utilisé pour la rétrogradation de service>
« Le service d’annuaire ne dispose pas d’informations de configuration obligatoires et n’est pas en mesure de déterminer la propriété des rôles d’opération à master flottants. »

Partie appropriée du DCPROMO. Le fichier LOG contient le texte suivant :

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Examen de l’objet d’infrastructure et des attributs pour la partition d’application DNS référencée dans l’erreur DCPROMO à l’écran et DCPROMO. RAPPORT:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

Les éléments distinctifs dans la sortie LDAP provenant de l’exemple de domaine CONTOSO.COM sont les suivants :

  1. L’attribut fSMORoleOwner contient la chaîne 0ADEL indiquant que le rôle propriétaire de l’objet NTDS Settings du contrôleur de domaine a été supprimé.

  2. L’attribut fSMORoleOwner contient un GUID alphanumérique de 32 caractères de l’objet DCs NTDS Settings au format xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

  3. Nom de la partition d’application DNS par défaut pour laquelle l’attribut fSMORoleOwner est affecté à un contrôleur de domaine avec un objet NTDS Settings supprimé. Dans ce cas, l’erreur a fait référence à DomainDNSZones. Cette même erreur peut également se produire pour la partition d’application ForestDNSZones.

Cause

L’erreur se produit lorsque le contrôleur de domaine rétrogradé ne peut pas répliquer les modifications sortantes vers le contrôleur de domaine propriétaire de l’infrastructure FSMO ou du rôle opérationnel pour la partition référencée dans l’erreur DCPROMO [journal].

Plus précisément, la tentative de rétrogradation est abandonnée pour se protéger contre la perte de données. Dans le cas de partitions d’application DNS, la rétrogradation est bloquée pour garantir que les données suivantes sont répliquées :

  • enregistrements DNS dynamiques et supprimés
  • ACLS des enregistrements DNS
  • métadonnées, telles que les dates d’inscription et de suppression

Les chemins DN pour les partitions où l’erreur dans la section Symptômes peut se produire sont les suivants :

  • CN=Infrastructures,DC=DomainDNSZones....
  • CN=Infrastructures,DC=ForestDNSZones....

Résolution

Remarque

Lorsque l’infrastructure master est affectée à un NTDSA supprimé sur une partition d’application DNS, comme DomainDNSZones, il peut également être manquant pour la partition ForestDNSZones ou inversement. Nous vous recommandons de vérifier que pour les partitions DomainDNSZones et ForestDNSZones attribuées aux contrôleurs de domaine Windows Server 2003 ou version ultérieure hébergeant le rôle serveur DNS et la partition en question.

Pour résoudre ce problème, appliquez l’une des méthodes suivantes :

  1. Permet ADSIEDIT.MSC d’attribuer le chemin DN de l’attribut fsMORoleOwner à un contrôleur de domaine actif qui était un partenaire de réplication directe du propriétaire du rôle FSMO d’origine. Attendez ensuite que cette modification soit répliquée entrante vers le contrôleur de domaine rétrogradé.

  2. Exécutez le script dans la section Résolution de KB949257 pour la partition en question.

  3. Si le contrôleur de domaine rétrogradé ne peut pas répliquer les modifications entrantes pour la partition d’annuaire en question, exécutez la DCPROMO /FORCEREMOVAL commande pour rétrograder de force le contrôleur de domaine.

Plus d’informations

DCPromo tente de répliquer les modifications sortantes sur chaque nc tenu localement afin que les modifications uniques ne soient pas perdues. Si des données sont stockées dans des zones DNS, DCPROMO tente de répliquer le contenu des zones DNS vers l’infrastructure master pour la partition DNS en question.

Problème connexe :

KB949257 décrit un problème où la commande échoue lorsque l’infrastructure ADPREP /RODCPREP master pour une ou plusieurs partitions d’application DNS est affectée à un NTDSA supprimé.