Avant tout, soyez patients. La réplication est une opération qui demande un certain temps pour se réaliser ainsi que pour corriger ses anomalies de fonctionnement. Par exemple, quand un DC ne répond pas, le KCC (Knowledge Consistency Checker) attend 90 minutes pour recalculer les objets de connexion autour du DC.
Autres conseils

A notre époque de sécurité accrue, il se peut que des changements de configuration du pare-feu bloquent la réplication. Surveillez les serveurs qui ne répondront pas aux pings bien qu’ils soient en parfaite santé, ou les serveurs qui répondent à certains protocoles mais pas à d’autres. Pour plus de détails sur les exigences en matière de ports de DC pour les pare-feu, voir l’article Microsoft « Active Directory Replication over Firewalls » .
Pour une liste des exigences de ports pour divers produits Windows Server, voir l’article Microsoft « Service overview and network port requirements for the Windows Server system ». Si vous jugez que le journal des répertoires n’est pas assez détaillé, allez à la sous-clé HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services\Ntds\Diagnostics et validez NTDS logging. Quant à savoir la valeur clé dont il faut augmenter la journalisation, cela dépend de la zone que vous soumettez à investigation (par exemple Knowledge Consistency Checker, Name Resolution, Replication Events).
La valeur par défaut est de 0, avec une valeur maximale de 5. Une valeur de 3 conviendra généralement. Constatez l’effet de l’augmentation de la journalisation sur votre journal de répertoires et désactivez la journalisation quand vous n’en avez plus besoin. Faites confiance au KCC. Résistez à la tentation d’être plus malin que lui quand il ne semble pas créer la topologie que vous aviez prévue.
Si le KCC ne fait pas ce que vous attendiez, il est probable que quelque chose dans votre topologie de site n’est pas configuré comme vous le pensez. Par exemple, vous devez vous assurer que l’adresse IP des DC correspond aux subnets associés au site d’appartenance du DC. Et finalement, si vous recevez des erreurs qui indiquent que le DC ne s’est pas répliqué pendant une période dépassant la durée de vie tombstone, vous pouvez stopper net le dépannage.
Vous devez reconstruire le DC, supprimer ses métadonnées de l’AD et repromouvoir le DC. Comme un collègue MVP l’a dit un jour, « Les DC sont comme de petits soldats de plomb : vous pouvez en faire tomber un et en mettre un autre exactement semblable à sa place ».
Téléchargez cette ressource

Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- DSI en assurance : gardien du temple ou moteur de la transformation ?
- Ransomware : persistance des cyberattaques à l’échelle mondiale
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
- Comment le Quarter Plan permet d’aligner IT et Métiers pour délivrer
