Avant tout, soyez patients. La réplication est une opération qui demande un certain temps pour se réaliser ainsi que pour corriger ses anomalies de fonctionnement. Par exemple, quand un DC ne répond pas, le KCC (Knowledge Consistency Checker) attend 90 minutes pour recalculer les objets de connexion autour du DC.
Autres conseils
A notre époque de sécurité accrue, il se peut que des changements de configuration du pare-feu bloquent la réplication. Surveillez les serveurs qui ne répondront pas aux pings bien qu’ils soient en parfaite santé, ou les serveurs qui répondent à certains protocoles mais pas à d’autres. Pour plus de détails sur les exigences en matière de ports de DC pour les pare-feu, voir l’article Microsoft « Active Directory Replication over Firewalls » .
Pour une liste des exigences de ports pour divers produits Windows Server, voir l’article Microsoft « Service overview and network port requirements for the Windows Server system ». Si vous jugez que le journal des répertoires n’est pas assez détaillé, allez à la sous-clé HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services\Ntds\Diagnostics et validez NTDS logging. Quant à savoir la valeur clé dont il faut augmenter la journalisation, cela dépend de la zone que vous soumettez à investigation (par exemple Knowledge Consistency Checker, Name Resolution, Replication Events).
La valeur par défaut est de 0, avec une valeur maximale de 5. Une valeur de 3 conviendra généralement. Constatez l’effet de l’augmentation de la journalisation sur votre journal de répertoires et désactivez la journalisation quand vous n’en avez plus besoin. Faites confiance au KCC. Résistez à la tentation d’être plus malin que lui quand il ne semble pas créer la topologie que vous aviez prévue.
Si le KCC ne fait pas ce que vous attendiez, il est probable que quelque chose dans votre topologie de site n’est pas configuré comme vous le pensez. Par exemple, vous devez vous assurer que l’adresse IP des DC correspond aux subnets associés au site d’appartenance du DC. Et finalement, si vous recevez des erreurs qui indiquent que le DC ne s’est pas répliqué pendant une période dépassant la durée de vie tombstone, vous pouvez stopper net le dépannage.
Vous devez reconstruire le DC, supprimer ses métadonnées de l’AD et repromouvoir le DC. Comme un collègue MVP l’a dit un jour, « Les DC sont comme de petits soldats de plomb : vous pouvez en faire tomber un et en mettre un autre exactement semblable à sa place ».
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
