Dépannage de la réplication Active Directory et DNS

Résumé de l'article : Cet article fournit des informations sur le dépannage de la réplication Active Directory et DNS.

Sommaire :

1. Trouver les détenteurs du rôle FSMO (Flexible Single Master Operations)
2. Circonscrire le problème
3. Inspecter visuellement le DNS
4. Inspecter visuellement les sites et les services
5. Utiliser des ID d’événements pour affiner le dépannage
6. Autres outils disponibles

Problème 1. Trouver les détenteurs du rôle FSMO (Flexible Single Master Operations)

Commencez par rechercher les contrôleurs de domaine (DC) dans l’organisation. Concentrez-vous sur la santé de votre racine forestière et progressez vers la sortie.

Recherchez les détenteurs de rôles FSMO en ouvrant une invite de commande élevée et en saisissant :

 requête netdom fsmo

Cela renvoie une liste des contrôleurs de domaine détenant chaque rôle :

Problème 2. Circonscrire le problème

Pour circonscrire le problème, il est important d’être systématique. Utilisez les outils suivants pour tester différents contrôleurs de domaine, leur connexion au domaine racine ou au détenteur de rôles, leur capacité à résoudre les noms en adresses IP, les ports ouverts et les résultats de réplication.

Essayez d’identifier un serveur spécifique qui ne communique pas et déterminez si le serveur source ou de destination en est la cause. Les journaux d’événements et les résultats de réplication sont des moyens d’obtenir des informations supplémentaires.

• dcdiag /v /c /d /e /s : > c :\dcdiag.txt
• ipconfig /all (à partir de tous les serveurs DC et DNS)
• repadmin /showrepl (à partir de chaque contrôleur de domaine)
• repadmin /replsum
• dcdiag /test :dns /s : /dnsbasic
• repadmin /syncall /aped
• Envoyez une commande ping à chaque contrôleur de domaine par son nom et vérifiez que le nom est résolu à l’adresse IP correcte.
• Utilisez nslookup pour tester le DNS sur différents contrôleurs de domaine.
• Utilisez tracert pour tester les routes entre les serveurs.
• repadmin /bind servername - Les contrôleurs de domaine peuvent-ils se lier les uns aux autres ?

Problème 3. Inspecter visuellement le DNS

Ouvrez la console DNS en cliquant sur Démarrer -> Outils d’administration -> DNS. Cliquez sur le serveur DNS dans le volet de gauche.

Passez en revue les zones de recherche directe et toutes les autres zones liées aux partitions de forêt et de domaine.

Des conseils sont disponibles à partir de Microsoft TechNet en cliquant sur ce lien : Dépannage DNS

Voici quelques éléments à rechercher dans la console DNS :

• Début de l’autorité (propriétés) : plusieurs noms pour des serveurs qui n’existent pas.
• Enregistrements dont l’adresse IP est incorrecte.
• Enregistrements périmés qui n’ont pas été supprimés.
• Enregistrements d’hôte « (Identiques au dossier parent) » qui ne font pas référence aux contrôleurs de domaine.
• Recherchez le début des enregistrements d’autorité (SOA) et de serveur de noms (NS) dans la zone de recherche directe du domaine (voir l’image ci-dessous).
  • Cliquez avec le bouton droit de la souris sur chacun d’eux et sélectionnez Propriétés.
  • Vérifiez que les serveurs de noms et d’autres informations sont corrects.
• Recherchez dans le dossier _msdcs.
• Y a-t-il des entrées manquantes ?

Vous trouverez plus d’informations sur l’infrastructure DNS sur la page Serveur DNS Microsoft TechNet.

Problème 4. Inspecter visuellement les sites et les services

La console Sites et services Active Directory contient plusieurs éléments qui peuvent vous aider à résoudre les échecs de réplication. Inspectez et ouvrez chaque dossier et recherchez les éléments suivants :

• Vérifiez que les sous-réseaux ont été créés et attribués aux sites appropriés.
• Assurez-vous que chaque objet de site contient les serveurs appropriés.
• Vérifiez les paramètres NTDS pour vérifier les connexions de réplication.
• Vérifiez que les noms de serveur existent.

Problème 5. Utiliser les ID d’événement pour affiner le dépannage

 
Les erreurs liées à AD peuvent être détectées dans la console de l’Observateur d’événements. 
Le moyen le plus rapide d’y accéder est d’accéder à Start -> Run et de saisir eventvwr.msc.
Les journaux d’événements pertinents comprennent le système, le DNS, le service d’annuaire et le journal du service de réplication de fichiers.

Utilisez les articles suivants pour vous aider à déterminer les étapes suivantes, en fonction des erreurs détectées dans les journaux :

• Résolution des problèmes de réplication
• Fonctionnement de la topologie de réplication AD
• Outil d’état de la réplication Active Directory
• Dépannage des problèmes de réplication Active Directory
• Diagramme de topologie Microsoft Active Directory

Problème 6. Autres outils disponibles

Nltest est un outil de ligne de commande utile qui peut renvoyer de nombreux types d’informations sur un domaine AD. 
Le processus de nettoyage des métadonnées est utilisé pour supprimer les références AD aux contrôleurs de domaine qui ont été mis hors ligne sans être correctement rétrogradés.
Les objets persistants sont des objets AD qui ont été supprimés d’un contrôleur de domaine, mais qui restent sur un autre en raison d’un échec de réplication.
La suppression de ces objets est une étape nécessaire à la restauration d’une réplication appropriée.

• Supprimer les données d’Active Directory après un échec de rétrogradation de contrôleur de domaine
• Nettoyer les métadonnées du serveur
• Nltest (en anglais seulement)
• Nettoyez cette forêt Active Directory des objets persistants