Résolution des problèmes de réplication Active Directory
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes courants liés à la réplication d’Active Directory.
Les problèmes de réplication Active Directory peuvent avoir plusieurs causes différentes. Par exemple, les problèmes DNS, les problèmes de mise en réseau ou les problèmes de sécurité peuvent tous entraîner l’échec de la réplication Active Directory.
Le reste de cet article explique les outils et une méthodologie générale pour corriger les erreurs de réplication d’Active Directory. Les sous-thèmes suivants couvrent les symptômes, les causes et comment résoudre des erreurs de réplication spécifiques :
Introduction et ressources pour la résolution des problèmes de réplication Active Directory
L’échec des réplications entrante ou sortante provoque l’incohérence des objets Active Directory qui représentent la topologie de réplication, la planification de réplication, les contrôleurs de domaine, les utilisateurs, les ordinateurs, les mots de passe, les groupes de sécurité, l’appartenance aux groupes et la stratégie de groupe entre les contrôleurs de domaine. L’incohérence du répertoire et l’échec de la réplication entraînent des échecs opérationnels ou des résultats incohérents, selon le contrôleur de domaine contacté pour l’opération, et peuvent empêcher l’application des autorisations Stratégie de groupe et du contrôle d’accès. Active Directory Domain Services (AD DS) dépend de la connectivité réseau, de la résolution de noms, de l’authentification et de l’autorisation, de la base de données de répertoires, de la topologie de réplication et du moteur de réplication. Lorsque la cause première d’un problème de réplication n’est pas évidente à première vue, déterminer la cause parmi les nombreuses causes possibles nécessite l’élimination systématique des causes probables.
Pour un outil basé sur l’interface utilisateur pour aider à surveiller la réplication et diagnostiquer les erreurs, téléchargez et exécutez l’assistant Support et récupération de Microsoft.
Pour obtenir un document complet qui décrit comment utiliser l’outil Repadmin pour résoudre les problèmes de réplication Active Directory, consultez Analyse et dépannage de la réplication Active Directory à l’aide de Repadmin.
Pour plus d’informations sur le fonctionnement de la réplication Active Directory, consultez les références techniques suivantes :
- Référence technique sur le modèle de réplication Active Directory
- Référence technique sur la topologie de réplication Active Directory
Recommandations de solutions avec événements et outils
Dans l’idéal, les événements rouge (Erreur) et jaune (Avertissement) dans le journal des événements Directory Service suggèrent la contrainte spécifique qui provoque l’échec de la réplication sur le contrôleur de domaine source ou de destination. Si le message d’événement suggère une solution, essayez d’effectuer les étapes décrites dans l’événement. L’outil Repadmin et d’autres outils de diagnostic fournissent également des informations qui peuvent vous aider à résoudre les échecs de réplication.
Pour plus d’informations sur l’utilisation de Repadmin afin de résoudre les problèmes de réplication, consultez Analyse et dépannage de la réplication Active Directory à l’aide de Repadmin.
Exclusion des interruptions intentionnelles ou des défaillances matérielles
Parfois, des erreurs de réplication se produisent en raison d’interruptions intentionnelles. Par exemple, lorsque vous résolvez des problèmes de réplication Active Directory, excluez d’abord les déconnexions intentionnelles et les défaillances matérielles ou les mises à niveau.
Déconnexions intentionnelles
Si des erreurs de réplication sont signalées par un contrôleur de domaine qui tente la réplication avec un contrôleur de domaine qui a été créé dans un site de préproduction et qui est actuellement hors connexion et en attente de déploiement sur le site de production final (un site distant, par exemple une filiale), vous savez d’où proviennent ces erreurs de réplication. Pour éviter de séparer un contrôleur de domaine de la topologie de réplication pendant de longues périodes, ce qui entraîne des erreurs continues jusqu’à ce que le contrôleur de domaine soit reconnecté, envisagez d’ajouter ces ordinateurs initialement en tant que serveurs membres et d’utiliser la méthode d’installation à partir d’un support (IFM) pour installer Active Directory Domain Services (AD DS). Vous pouvez utiliser l’outil en ligne de commande Ntdsutil pour créer un support d’installation que vous pouvez stocker sur un support amovible (CD, DVD ou autre) et expédier vers le site de destination. Ensuite, vous pouvez utiliser le support d’installation pour installer AD DS sur les contrôleurs de domaine du site, sans utiliser la réplication.
Défaillances matérielles ou mises à niveau
Si des problèmes de réplication se produisent à la suite d’une défaillance matérielle (par exemple, défaillance d’une carte mère, d’un sous-système de disque ou d’un disque dur), informez le propriétaire du serveur afin que le problème matériel puisse être résolu.
Les mises à niveau matérielles périodiques peuvent également entraîner la mise hors service des contrôleurs de domaine. Assurez-vous que les propriétaires de serveurs disposent d’un bon système de communication de ces pannes à l’avance.
Configuration du pare-feu
Par défaut, les appels de procédure distante (RPC) durant une réplication Active Directory se produisent de façon dynamique sur un port disponible par le biais du Mappeur de point de terminaison RPC (RPCSS) sur le port 135. Vérifiez que le Pare-feu Windows avec fonctions avancées de sécurité ou tout autre pare-feu est correctement configuré pour permettre la réplication. Pour plus d’informations sur la spécification du port pour la réplication Active Directory et les paramètres du port, consultez l’article 224196 dans la Base de connaissances Microsoft.
Pour plus d’informations sur les ports utilisés par la réplication Active Directory, consultez Outils et paramètres de la réplication Active Directory.
Pour plus d’informations sur la gestion de la réplication Active Directory sur des pare-feux, consultez Réplication Active Directory sur des pare-feux.
Réponse à l’échec d’un serveur obsolète exécutant Windows 2000 Server
Si un contrôleur de domaine exécutant Windows 2000 Server a échoué pendant plus longtemps que le nombre de jours de la durée de vie de temporisation (tombstone), la solution est toujours la même :
- Déplacez le serveur du réseau d’entreprise vers un réseau privé.
- Supprimez Active Directory de manière forcée ou réinstallez le système d’exploitation.
- Supprimez les métadonnées du serveur d’Active Directory pour que l’objet serveur ne puisse pas être réactivé.
Vous pouvez utiliser un script pour nettoyer les métadonnées du serveur sur la plupart des systèmes d’exploitation Windows. Pour plus d’informations sur l’utilisation de ce script, consultez Supprimer les métadonnées du contrôleur de domaine Active Directory.
Par défaut, les objets Paramètres NTDS supprimés sont automatiquement réactivés pendant une période de 14 jours. Par conséquent, si vous ne supprimez pas les métadonnées du serveur (utilisez Ntdsutil ou le script mentionné précédemment pour effectuer le nettoyage des métadonnées), les métadonnées du serveur sont réintégrées dans le répertoire, ce qui incite à tenter de réplications. Dans ce cas, les erreurs sont consignées de manière permanente en raison de l’impossibilité de répliquer avec le contrôleur de domaine manquant.
Causes racines
Si vous excluez les déconnexions intentionnelles, les défaillances matérielles et les contrôleurs de domaine Windows 2000 obsolètes, les autres problèmes de réplication ont presque toujours l’une des causes racines suivantes :
- Connectivité réseau : La connexion réseau pourrait être indisponible, ou les paramètres réseau ne sont pas configurés correctement.
- Résolution de noms : Les erreurs de configuration DNS sont souvent à l’origine d’échecs de réplication.
- Authentification et autorisation : les problèmes d’authentification et d’autorisation entraînent des erreurs de type « Accès refusé » quand un contrôleur de domaine tente de se connecter à son partenaire de réplication.
- Base de données d’annuaires (magasin) : la base de données d’annuaires peut ne pas traiter les transactions suffisamment vite pour respecter les délais d’expiration de la réplication.
- Moteur de réplication : si les planifications de réplication intersite sont trop courtes, les files d’attente de réplication peuvent être trop volumineuses pour pouvoir être traitées dans le temps imparti par la planification de réplication sortante. Dans ce cas, la réplication de certaines modifications peut être bloquée indéfiniment ou du moins assez longtemps pour dépasser la durée de vie de temporisation (tombstone).
- Topologie de réplication : les contrôleurs de domaine doivent avoir des liens intersites dans AD DS mappés à de vraies connexions WAN (réseau étendu) ou VPN (réseau privé virtuel). Si vous créez des objets dans AD DS pour la topologie de réplication qui ne sont pas pris en charge par la topologie de site réelle de votre réseau, la réplication nécessitant la topologie mal configurée échoue.
Approche générale de la résolution des problèmes
Utilisez l’approche générale suivante pour résoudre les problèmes de réplication :
Supervisez l’intégrité de la réplication quotidiennement ou utilisez Repadmin.exe pour récupérer chaque jour l’état de la réplication.
Essayez de résoudre les échecs signalés dans un délai convenable en utilisant les méthodes décrites dans les messages d’événement et dans ce guide. Si un logiciel est peut-être à l’origine du problème, désinstallez-le avant de passer à d’autres solutions.
Si le problème qui cause l’échec de la réplication ne peut être résolu par aucune méthode connue, retirez AD DS du serveur puis réinstallez AD DS. Pour plus d’informations sur la réinstallation du service AD DS, consultez Désactivation d’un contrôleur de domaine.
Si AD DS ne peut pas être retiré normalement alors que le serveur est connecté au réseau, utilisez l’une des méthodes suivantes pour résoudre le problème :
- Forcez la suppression du service AD DS en mode de restauration des services d’annuaire (DSRM), nettoyez les métadonnées du serveur, puis réinstallez AD DS.
- Réinstallez le système d’exploitation et regénérez le contrôleur de domaine.
Pour plus d’informations sur la suppression forcée d’AD DS, consultez Suppression forcée d’un contrôleur de domaine.
Utilisation de Repadmin pour récupérer l’état de réplication
L’état de réplication est un moyen important pour vous d’évaluer l’état du service d’annuaire. Si la réplication fonctionne sans erreurs, vous savez quels contrôleurs de domaine sont en ligne. Vous savez également que les systèmes et services suivants fonctionnent :
- Infrastructure DNS
- Protocole d’authentification Kerberos
- Service de temps Windows (W32time)
- Appel de procédure distante (RPC)
- Connectivité réseau
Utilisez Repadmin pour superviser l’état de réplication quotidiennement en exécutant une commande qui évalue l’état de réplication de tous les contrôleurs de domaine dans votre forêt. La procédure génère un fichier .csv que vous pouvez ouvrir dans Microsoft Excel et filtrer pour consulter les échecs de réplication.
Vous pouvez utiliser la procédure suivante pour récupérer l’état de réplication de tous les contrôleurs de domaine dans la forêt.
Configuration requise
L'appartenance au groupe Administrateurs de l'entreprise, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
Outils :
- Repadmin.exe
- Excel (Microsoft Office)
Pour générer une feuille de calcul repadmin/showrepl pour les contrôleurs de domaine
Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, indiquez au besoin les informations d’identification Entreprise, puis cliquez sur Continuer.
À l’invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
repadmin /showrepl * /csv > showrepl.csvOuvrez Excel.
Cliquez sur le bouton Office, cliquez sur Ouvrir, accédez à showrepl.csv, puis cliquez sur Ouvrir.
Masquez ou supprimez la colonne A ainsi que la colonne Type de transport, comme suit :
Sélectionnez une colonne que vous souhaitez masquer ou supprimer.
- Pour masquer la colonne, cliquez avec le bouton droit sur la colonne, puis cliquez sur Masquer.
- Pour supprimer la colonne, cliquez avec le bouton droit sur la colonne sélectionnée, puis cliquez sur Supprimer.
Sélectionnez la ligne 1 sous la ligne d’en-tête de colonne. Sous l’onglet Affichage, cliquez sur Figer les volets, puis sur Figer la ligne supérieure.
Sélectionnez la feuille de calcul entière. Sous l’onglet Données, cliquez sur Filtrer.
Dans la colonne Heure de la dernière réussite, cliquez sur la flèche vers le bas, puis sur Tri croissant.
Dans la colonne DC source, cliquez sur la flèche de filtre vers le bas, pointez sur Filtres de texte, puis cliquez sur Filtre personnalisé.
Dans la boîte de dialogue du filtre automatique personnalisé, sous Afficher les lignes où, cliquez sur ne contient pas. Dans la zone de texte adjacente, tapez
delpour éliminer de la vue les résultats des contrôleurs de domaine supprimés.Répétez l’étape 11 pour la colonne Dernier échec, mais utilisez la valeur ne égale pas, puis tapez la valeur 0.
Résolvez les échecs de réplication.
Pour chaque contrôleur de domaine dans la forêt, la feuille de calcul indique le partenaire de réplication source, l’heure de la dernière réplication et l’heure à laquelle la dernière échec de réplication s’est produit pour chaque contexte d’affectation de noms (partition d’annuaire). En utilisant le filtre automatique dans Excel, vous pouvez afficher l’intégrité de la réplication pour les contrôleurs de domaine en fonctionnement uniquement, les contrôleurs de domaine défaillants uniquement ou les contrôleurs de domaine les moins ou les plus actuels, et vous pouvez voir les partenaires de réplication qui effectuent correctement la réplication.
Problèmes de réplication et résolutions
Des problèmes de réplication sont signalés dans les messages d’événement et dans différents messages d’erreur qui se produisent lorsqu’une application ou un service tente d’exécuter une opération. Dans l’idéal, ces messages sont collectés par votre application de supervision ou lorsque vous récupérez l’état de réplication.
La plupart des problèmes de réplication sont identifiés dans les messages d’événements qui sont consignés dans le journal des événements du service d’annuaire. Les problèmes de réplication peuvent également être identifiés sous la forme de messages d’erreur dans la sortie de la commande repadmin /showrepl.
messages d’erreur repadmin/showrepl indiquant des problèmes de réplication
Pour identifier les problèmes de réplication Active Directory, utilisez la commande repadmin /showrepl, comme décrit dans la section précédente. Le tableau suivant présente les messages d’erreur générés par cette commande, ainsi que les causes racines des erreurs, et des liens vers des rubriques qui fournissent des solutions aux erreurs.
| Erreur Repadmin | Cause racine | Solution |
|---|---|---|
| Le temps écoulé depuis la dernière réplication avec ce serveur a dépassé la durée de vie de temporisation (tombstone). | Un contrôleur de domaine a échoué une réplication entrante avec le contrôleur de domaine source nommé assez longtemps pour entraîner la temporisation (« tombstone ») d’une suppression, sa réplication et sa récupération par le garbage collector d’AD DS. | ID d’événement 2042 : Trop de temps s’est écoulé depuis la réplication de cette machine |
| Pas de voisins entrants. | Si aucun élément n’apparaît dans la section « Voisins entrants » de la sortie générée par repadmin /showrepl, le contrôleur de domaine n’a pas pu établir de liens de réplication avec un autre contrôleur de domaine. | Résolution des problèmes de connectivité de réplication (ID d’événement 1925) |
| L’accès est refusé. | Un lien de réplication existe entre deux contrôleurs de domaine, mais la réplication ne peut pas être effectuée correctement à la suite d’un échec d’authentification. | Résolution des problèmes de sécurité de réplication |
| La dernière tentative effectuée à <date - heure> a échoué avec l’erreur « Le nom du compte cible est incorrect. » | Ce problème peut être lié à des problèmes de connectivité, d’authentification ou DNS. S’il s’agit d’une erreur DNS, le contrôleur de domaine local n’a pas pu résoudre le nom DNS basé sur le GUID de son partenaire de réplication. | Correction des problèmes de recherche DNS de réplication (ID des événements 1925, 2087, 2088) Résolution des problèmes de sécurité de réplication Résolution des problèmes de connectivité de réplication (ID d’événement 1925) |
| Erreur LDAP 49. | Le compte d’ordinateur du contrôleur de domaine n’est peut-être pas synchronisé avec le centre de distribution de clés (KDC). | Résolution des problèmes de sécurité de réplication |
| Impossible d’ouvrir une connexion LDAP avec l’hôte local | L’outil d’administration n’a pas pu contacter AD DS. | Résolution des problèmes de recherche DNS de réplication (ID d’événement 1925, 2087, 2088) |
| La réplication Active Directory a été préemptée. | La progression de la réplication entrante a été interrompue par une demande de réplication de priorité plus élevée, telle qu’une requête générée manuellement avec la commande repadmin/sync. | Patientez jusqu’à la fin de la réplication. Ce message d’information indique un fonctionnement normal. |
| Réplication publiée, en attente. | Le contrôleur de domaine a publié une demande de réplication et attend une réponse. La réplication est en cours à partir de cette source. | Patientez jusqu’à la fin de la réplication. Ce message d’information indique un fonctionnement normal. |
Le tableau suivant répertorie les événements courants susceptibles d’indiquer des problèmes liés à la réplication Active Directory, ainsi que les causes racines des problèmes, et des liens vers des rubriques qui fournissent des solutions aux problèmes.
| ID d’événement et source | Cause racine | Solution |
|---|---|---|
| KCC 1311 NTDS | Les informations de configuration de la réplication dans AD DS ne reflètent pas avec précision la topologie physique du réseau. | Résolution des problèmes de topologie de réplication (ID d’événement 1311) |
| Réplication 1388 NTDS | La cohérence stricte de la réplication n’est pas en vigueur, et un objet persistant a été répliqué vers le contrôleur de domaine. | Résolution des problèmes des objets en attente de réplication (ID d’événement 1388, 1988, 2042) |
| KCC 1925 NTDS | Échec de la tentative d’établissement d’un lien de réplication pour une partition d’annuaire accessible en écriture. Cet événement peut avoir des causes différentes, en fonction de l’erreur. | Résolution des problèmes de connectivité de réplication (ID d’événement 1925) Correction des problèmes de recherche DNS de réplication (ID des événements 1925, 2087, 2088) |
| Réplication 1988 NTDS | Le contrôleur de domaine local a tenté de répliquer un objet d’un contrôleur de domaine source qui n’est pas présent sur le contrôleur de domaine local parce qu’il a peut-être été supprimé et déjà collecté comme déchet. La réplication ne se poursuit pas pour cette partition de répertoire avec ce partenaire jusqu’à ce que la situation soit résolue. | Résolution des problèmes des objets en attente de réplication (ID d’événement 1388, 1988, 2042) |
| Réplication 2042 NTDS | La réplication n’a pas eu lieu avec ce partenaire pendant une durée de vie de l’objet tombé, et la réplication ne peut pas se poursuivre. | Résolution des problèmes des objets en attente de réplication (ID d’événement 1388, 1988, 2042) |
| Réplication 2087 NTDS | AD DS n’a pas pu résoudre le nom d’hôte DNS du contrôleur de domaine source en une adresse IP, et la réplication a échoué. | Résolution des problèmes de recherche DNS de réplication (ID d’événement 1925, 2087, 2088) |
| Réplication 2088 NTDS | AD DS n’a pas pu résoudre le nom d’hôte DNS du contrôleur de domaine source en une adresse IP, mais la réplication a réussi. | Résolution des problèmes de recherche DNS de réplication (ID d’événement 1925, 2087, 2088) |
| Connexion 5805 Net | Un compte d’ordinateur n’a pas pu s’authentifier, ce qui est généralement dû à plusieurs instances du même nom d’ordinateur ou au nom d’ordinateur qui ne se répliquent pas sur chaque contrôleur de domaine. | Résolution des problèmes de sécurité de réplication |
Pour plus d’informations sur les concepts de réplication, consultez Technologies de réplication Active Directory.
Étapes suivantes
Pour plus d’informations, notamment des articles de support spécifiques aux codes d’erreur, consultez l’article de support : Comment résoudre les erreurs courantes de réplication Active Directory