Avant tout, soyez patients. La réplication est une opération qui demande un certain temps pour se réaliser ainsi que pour corriger ses anomalies de fonctionnement. Par exemple, quand un DC ne répond pas, le KCC (Knowledge Consistency Checker) attend 90 minutes pour recalculer les objets de connexion autour du DC.
Autres conseils
A notre époque de sécurité accrue, il se peut que des changements de configuration du pare-feu bloquent la réplication. Surveillez les serveurs qui ne répondront pas aux pings bien qu’ils soient en parfaite santé, ou les serveurs qui répondent à certains protocoles mais pas à d’autres. Pour plus de détails sur les exigences en matière de ports de DC pour les pare-feu, voir l’article Microsoft « Active Directory Replication over Firewalls » .
Pour une liste des exigences de ports pour divers produits Windows Server, voir l’article Microsoft « Service overview and network port requirements for the Windows Server system ». Si vous jugez que le journal des répertoires n’est pas assez détaillé, allez à la sous-clé HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services\Ntds\Diagnostics et validez NTDS logging. Quant à savoir la valeur clé dont il faut augmenter la journalisation, cela dépend de la zone que vous soumettez à investigation (par exemple Knowledge Consistency Checker, Name Resolution, Replication Events).
La valeur par défaut est de 0, avec une valeur maximale de 5. Une valeur de 3 conviendra généralement. Constatez l’effet de l’augmentation de la journalisation sur votre journal de répertoires et désactivez la journalisation quand vous n’en avez plus besoin. Faites confiance au KCC. Résistez à la tentation d’être plus malin que lui quand il ne semble pas créer la topologie que vous aviez prévue.
Si le KCC ne fait pas ce que vous attendiez, il est probable que quelque chose dans votre topologie de site n’est pas configuré comme vous le pensez. Par exemple, vous devez vous assurer que l’adresse IP des DC correspond aux subnets associés au site d’appartenance du DC. Et finalement, si vous recevez des erreurs qui indiquent que le DC ne s’est pas répliqué pendant une période dépassant la durée de vie tombstone, vous pouvez stopper net le dépannage.
Vous devez reconstruire le DC, supprimer ses métadonnées de l’AD et repromouvoir le DC. Comme un collègue MVP l’a dit un jour, « Les DC sont comme de petits soldats de plomb : vous pouvez en faire tomber un et en mettre un autre exactement semblable à sa place ».
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- SI sous pression : 3 signes que vos flux sont mal orientés
- Transformation numérique : les entreprises françaises changent de méthode de gestion de projet en cours de route
- Innover de manière responsable et rapide avec l’IA en Europe
- Analyse Microsoft Patch Tuesday Août 2025
- L’essor des agents IA préfigure-t-il l’avenir des opérations en entreprise ?
