none
Problème Réplication SYSVOL Windows 2008 R2 maître et Windows 2012 R2 secondaire

    Discussion générale

  • Bonjour à tous,

    je vous expose mon problème, ayant fait de nombreuses recherches sur internet depuis quelques mois, je suis un problème de réplication de stratégies de groupe entre un serveur maître Windows 2008 R2 et un serveur secondaire Windows 2012 R2.

    Le problème se visualise dans le répertoire SYSVOL : lorsqu'une GPO est créée, sur le serveur esclave, elle est automatiquement répliquée dans le serveur maître, mais quand une autre est créée depuis le serveur maître, elle n'est pas répliquée dans le répertoire SYSVOL du serveur 2012 (elle se réplique pourtant dans l'interface de Gestion de stratégies de groupes).

    Dans l'observateur d'évenement du serveur esclave (Rubrique Service de Réplication) s'affiche l'avertissement 13058 

    Le service de réplication de fichiers (FRS) rencontre des problèmes lors de l’activation de la réplication de SRV-SAGE vers SRV-AD pour c:\windows\sysvol\domain en utilisant le nom DNS SRV-SAGE.actuaplast.fr. FRS va essayer à nouveau. 

    Voici quelques-unes des raisons de cet avertissement : 

     [1] FRS ne peut pas résoudre le nom DNS SRV-SAGE.actuaplast.fr correctement à partir de cet ordinateur.  [2] FRS n’est pas en cours d’exécution sur SRV-SAGE.actuaplast.fr.  [3] Les informations de topologie dans Active Directory pour ce réplica n’ont pas été répliquées vers tous les contrôleurs de domaine. 

    Sur le serveur maître l'erreur 13568 :

    Le service de réplication de fichiers a détecté que le jeu de réplicas « DOMAIN SYSTEM VOLUME (SYSVOL SHARE) » est dans JRNL_WRAP_ERROR. 

     Le nom du jeu de réplicas est    : « DOMAIN SYSTEM VOLUME (SYSVOL SHARE) »  Le chemin d’accès de la racine du réplica est   : « c:\windows\sysvol\domain »  Le volume de la racine du réplica est : « \\.\C: » Le jeu de réplicas atteint JRNL_WRAP_ERROR quand l’enregistrement qu’il essaie de lire à partir du journal NTFS USN n’est pas trouvé. Cela peut se produire pour une des raisons suivantes. 

     [1] Le volume « \\.\C: » a été formaté.  [2] Le journal NTFS USN sur le volume « \\.\C: » a été supprimé.  [3] Le journal NTFS USN sur le volume « \\.\C: » a été tronqué. Chkdsk peut tronquer le journal s’il trouve des entrées endommagées à la fin du journal.  [4] Le service de réplication de fichiers n’a pas été exécuté sur cet ordinateur depuis longtemps.  [5] Le service de réplication de fichiers n’a pas pu se maintenir au niveau du taux d’activité E/S du disque sur « \\.\C: ».  Définir le paramètre du Registre « Enable Journal Wrap Automatic Restore » à 1 entraînerait l’exécution des étapes de récupération pour récupérer automatiquement de cet état d’erreur.  [1] Lors de la première interrogation qui aura lieu dans 5 minutes, cet ordinateur sera supprimé du jeu de réplicas. Si vous ne souhaitez pas attendre 5 minutes, exécutez « net stop ntfrs » suivi de « net start ntfrs » pour redémarrer le service de réplication de fichiers.  [2] Lors de l’interrogation suivant la suppression, l’ordinateur sera ajouté à nouveau au jeu de réplicas. Cela va déclencher une synchronisation complète de l’arborescence du jeu de réplicas. 

    Après nombreuses recherches sur ces erreurs/avertissements j'ai décidé d'intervenir aujourd'hui :
    En suivant ce tuto (http://kpytko.pl/active-directory-domain-services/non-authoritative-sysvol-restore-frs/) lui même appuyé sur une résolution microsoft (https://support.microsoft.com/fr-fr/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi) :
    - j'ai arrêté le service ntfrs du serveur esclave
    - j'ai changer la clé de registre BurFlag du serveur esclave de 0 à D2 pour réinitialiser la réplication.
    - j'ai au préalable sauvegarder les répertoire Policies et Scripts ailleurs avant de les supprimer
    - j'ai redémarré le service ntfrs

    Résultats : - plus aucune GPO n'existe dans le répertoire SYSVOL du serveur esclave,
    - le partage du répertoire SYSVOL à disparu sur le réseau (lorsque l'on tape "\\serveur-2012" dans l'explorateur)
    - Le chemin d'accès "C:\Windows\SYSVOL\domain\" des répertoires "Policies" et à "Scripts" à été modifié en :
    "C:\Windows\SYSVOL\domain\NtFrs_PreExisting___See_EventLog",
    - l'avertissement 13508 est réapparu sur le serveur esclave
    - Les GPO ne sont pour l'instant toujours pas répliquées

    Voilà en détail synthétisés mon problème, j'espère trouver une solution bientôt car, je viens d'arrivé dans une entreprise où ce problème est présent depuis un moment déjà...

    Je vous remercie d'avance pour votre aide, j'en ai grandement besoin !!!

    vendredi 1 décembre 2017 11:27

Toutes les réponses

  • Tu as fais un DCdiag sur le serveur source ? En générale si la réplication ne se remet pas place c'est que le serveur source a une erreur.

    Avant de réinitialiser la réplication on fait un DCdiag sur ces contrôleurs de domaines et on détermine sur quel serveur se trouve la source du problème.

    Sur le serveur maître l'erreur 13568 :

    AD est multi-maître depuis Windows 2000...


    vendredi 1 décembre 2017 12:11
    Modérateur
  • "arrêté le service ntfrs"

    Ca c'est bon pour une migration de 2003 vers 2008R2 lorsque l'on a pas migré les services de réplications FRS vers DFS. Vérifier déjà que le service de réplication fonctionne au même niveau en exécutant dfsrmig /GetMigrationState sur les deux DC. La commande doit vous retourner le même résultat.

    vendredi 1 décembre 2017 12:19
  • Bonjour, merci de votre réponse rapide,

    J'avais également effectué un DCdiag sur les deux serveur avant de faire ma manipulation aujourd'hui,
    les deux serveur affichaient des erreurs, différentes, l'un :

    Nom du service en cause : NCSecDesc

    "error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have replicating changes in filtered set access rights for the naming context" il me semble que c'était le serveur esclave

    J'avais trouver des informations ici : https://support.microsoft.com/en-us/help/967482/dcdiag-fails-for-ncsecdesc-test-on-windows-2008-domain-controllers

    Cela dit que c'est lié à une mauvaise "préparation" à l'ajout d'un serveur secondaire, mais je n'avais pas trouvé plus d'informations 

    vendredi 1 décembre 2017 12:44
  • Bonjour, merci de votre aide,

    j'ai exécuté dfsrmig /GetMigrationState sur les deux serveur, ils me renvoyent le même message : 

    La migration DFSR n'a pas encore été initialisée. Pour démarrer la migration, définissez l'état global à la valeur souhaitée.

    vendredi 1 décembre 2017 12:47
  • Ah bein voila. Le probleme c'est qu'avec des erreurs de réplications, je ne suis pas sur que ce soit une bonne idée de lancer la migration... Phil', un avis expérimenté ?
    vendredi 1 décembre 2017 12:52
  • Bonjour,

    Avant de lancer la migration FRS -> DFS-R dy sysvol , il faut régler les problème de réplication d'abord.

    Si les paramètres réseau ( DNS, IP , firewall) sont ok et vous avez encore deux version dufférentes de sysvol,

    Je vous invite à effectuer une restauration autoritaire pour forcer la réplication la bonne version du sysvol sur tous les autres DCs:

    Utilisation de la clé de Registre BurFlags pour réinitialiser le service de réplication de fichiers


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 1 décembre 2017 13:17
    Modérateur
  • Peut-il s'agir d'un problème provenant du service NCSesDesc?

    https://www.linkedin.com/pulse/error-nt-authorityenterprise-domain-controllers-doesnt-meir-peleg?likeFromLogin=true 

    Je souhaite appliquer cette solution via ce lien, qu'en pensez-vous? 

    D'avance, merci

    vendredi 1 décembre 2017 13:17
  • Non, je ne pense pas. Le problème semble plus trivial. Suivez plutôt le lien de thameur.
    vendredi 1 décembre 2017 13:22
  • Bonjour Thameur,

    Je ne suis pas expert en réplication,
    Le fait de faire une réplication autoritaire (sur le serveur maître), ne vas-t-il pas engendrer le même problème qu'un réplication non-autoritaire, comme cela m'est arrivé ?

    Je préfère être certain du résultat de mes manipulation pour ne pas aggraver la situation

    Merci à vous

    vendredi 1 décembre 2017 13:23
  • Une replication autoritaire va imposer le contenu du SysVol à ses partenaires. Avant de la lancer, vérifier quel DC a le SYSVOL le plus à jour puis utiliser le comme référant. 

    Note: la vérification doit etre faite en local, pas sur le chemin \\domain.local\sysvol.

    vendredi 1 décembre 2017 13:26
  • Très bien,

    Merci de vos conseils, je vais effectuer cette manipulation et je vous renvoi ma situation par la suite.

    D'autre part, on ma signifié plus haut que la topologie maître/esclave n'existe plus depuis 2000, or lorsque je fais "nltest /DCNAME:domainname" sur mes deux serveurs, il me renvoi que mon serveur principal est bien le serveur 2008 R2 ...

    Cela vaut aussi pour les commandes "netdom query fsmo" et "echo %logonserver%", je vous en informe à titre préventif.

    vendredi 1 décembre 2017 13:33
  • les roles FSMO sont hosté sue DC 2008 R2, à migrer sur le 2012 R2 une fois la replication corrigé. Et oui, les roles primaire/secondaire n'existe plus (d'où l'émergence des FSMO).
    vendredi 1 décembre 2017 13:40
  • Ah bein voila. Le probleme c'est qu'avec des erreurs de réplications, je ne suis pas sur que ce soit une bonne idée de lancer la migration... Phil', un avis expérimenté ?

    Je confirme migré en DFS-R ne garantit pas de résoudre le problème, cela risque même de compliquer la tache. Car pour migrer il attend que tous les DCs aient réussi une étape avant de passer à la suite ...

    vendredi 1 décembre 2017 13:58
    Modérateur
  • Peut-il s'agir d'un problème provenant du service NCSesDesc?

    Option 1 :

    On jette un dé et on choisit la réponse en fonction du résultat 

    Option 2 :

    On utilise DCdiag qui est l'outil de base afin d'essayer de comprendre quelle est la suite à donner... De préférence sur les 2 DCs

    Si c'est le serveur source qui est à l'origine du problème, il est possible que la restauration autoritaire ne marche pas non plus.

    Pour info le service NTFRS fait automatiquement une copie du contenu du dossier avant de repartir à zero lors de la réinitialisation.

    vendredi 1 décembre 2017 14:03
    Modérateur
  • Merci Philippe pour ces informations,

    je vais vous noter les erreurs fournies par dcdiag :
    Sur Windows 2008 R2 (premier DC créé) :

    Démarrage du test : NCSecDesc:
    L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas de droits d'accès pour le contexte de nommage : DC=DomainDnsZones, DC=domainname,DC=local
    L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
    Replicating Directory Changes In Filtered Set
    de droits d'accès pour le contexte de nommage : DC=ForestDnsZones, DC=domainname,DC=local
    -------------------------- Le test NCSecDesc de SRV-SAGE a échoué

    Démarrage du test : SystemLog
    Un évènement d'avertissement s'est produit. ID de l'événement : 0x8000001D
    Temps généré : 12/01/2017 15:02:47
    Chaîne d'événement :
    Le centre de distribution de clés ne trouve pas le certificat approprié pour les ouvertures de session par carte à puce ou le certificat KDC n'a pas pu être vérifié. L'ouverture de session par la carte à puce peut ne pas fonctionner si ce problème n'est pas résolu. Pour corriger ce problème, vérifiez le certifcat KDC existant en utilisant certutil.exe ou inscrivez-vous pour un nouveau certificat KDC
    -------------------------- Le test SystemLog de SRV-2008 a réussi

    Sur Windows 2012 R2 (DC créé en 2ème) :

    Démarrage du test : Advertising
    Avertissement : DsGetDcName a retourné des informations pour \\srv-2008.domainname.local lors de la tentative d'accès à SRV-2012. Le serveur ne répond pas ou n'est pas approprié.
    -------------------------- Le test Advertising de SRV-2012 a échoué

    Démarrage du test : FrsEvent
    Erreurs ou avertissements détextés au cours des dernières 24heures après le partage de SYSVOL. Des problèmes liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes liés à l'échec de la réplication SYSVOL peuvent provoquer des problèmes de Stratégies de groupe.
    -------------------------- Le test FrsEvent de SRV-2012 à réussi

    Démarrage du test : NetLogons
    Impossible de se connecter au partage NETLOGON. <\\SRV-2012\netlogon> [SRV-2012] Une opération net use ou LsaPolicy a échoué avec l'erreur 67, Nom de réseau introuvable..
    -------------------------- Le test NetLogons de SRV-2012 à échoué

    Je vous envoi déjà ça, la suite arrive,

    Merci de votre support

    vendredi 1 décembre 2017 14:24
  • Démarrage du test : Advertising
    Avertissement : DsGetDcName a retourné des informations pour \\srv-2008.domainname.local lors de la tentative d'accès à SRV-2012. Le serveur ne répond pas ou n'est pas approprié.

    Peux-tu vérifier ce que contient le DNS pour SRV-2008 ? dans la sous-zone _MSDCS et dans la zone du domaine: enregistrement parent et pointeur. Confronter le résultat avec un NSLOOKUP sur le nom de domaine.

    vendredi 1 décembre 2017 14:29
  • Toujours sur Windows 2012 R2 (DC créé en 2ème)

    Démarrage du test : SystemLog
    Un évenement d'avertissement s'est produit. ID de l'événement : 0x0000008E
    Temps généré : 12/01/2017 14:24:08
    Le service de temps a arrêté de s'annoncer comme source temporelle car l'horloge locale n'est pas synchronisée.
    Un événement d'avertissement s'est produit. ID de l'évenement : 0x00000032
    Temps généré : 12/01/2017 14:24:08
    Chaîne d'événement : 
    Le service de temps a détecté une différence de temps supérieure à 5000 millisecondes pour 900 secondes. Cette différence peut être causée par une synchronisation avec des sources de temps précises ou par des conditions réseau non optimales. Le service de temps n'est plus synchronisé et ne peut pas fournir l'heure à d'autres clients ou mettre à jour l'horloge système. Lorsque vous recevez un horodatage valide d'un fournisseur de services de temps, le service de temps se corrige lui-même.
    Un événement d'avertissement s'est produit. ID de l'événement : 0x0000008E
    Temps généré : 12/01/2017 14:22:39
    Chaîne d'événement : 
    Le service de temps a arrêté de s'annoncer comme source temporelle car l'horloge locale n'est pas synchronisée.
    -------------------------- Le test SystemLog de SRV-2012 à réussi

    vendredi 1 décembre 2017 14:32
  • Attention, vos deux DC doivent avoir la même heure, ou a minima pas plus de 3 minutes de décalage.
    vendredi 1 décembre 2017 14:34
  • Loïc,

    Dans la sous-zone_MSDCS il y a 4 répertories (dc; domains; gc; pdc) +
    (identique au dossier parent)    SOA        [1125], srv-2012.domainname.local., hostmaster.    statique
    (identique au dossier parent)    NS          srv-2012.domainname.local.                                  statique
    Nom hexadecimal                     CNAME    srv-2012.domainname.local                                  25/11/2017
    (identique au dossier parent)     NS          srv-2008.domainname.local                                   statique
    Nom hexadecimal                     CNAME    srv-2008.domainname.local                                   26/11/2017

    Dans la zone du domaine il y a 6 répertoires (_sites; _tcp; _udp; DomainDnsZones; ForestDnsZones; _msdcs (grisé)) +
    environ 80 Hôtes                             A           adressesIP              dates
    (identique au dossier parent)          A            IPsrv-2008             29/11/2017
    srv-2008                                         A           IPsrv-2008              statique
    (identique au dossier parent)       SOA        [148114], srv-2012.domainname.local., hostmaster.    statiq
    (identique au dossier parent)        NS          srv-2012.domainname.local.              statique
    (identique au dossier parent)        NS          srv-2008.domainname.local.              statique

    POINTEURS : 
    (identique au dossier parent)        NS          srv-2012.domainname.local.              statique
    IP_srv-2012                                   PTR          srv-2012.domainname.local               statique
    (identique au dossier parent)        NS          srv-2008.domainname.local               statique
    IP_srv-2008                                   PTR         srv-2008.domainname.local               statique


    NSLOOKUP sur SRV-2008 :
    Serveur :    srv-2012.actuaplast.fr
    Address :   Adresse_IP_SRV-2012

    Nom :         domainname.local
    Addresses : Adresse_IP_SRV-2012
                      Adresse_IP_SRV-2008

    NSLOOKUP sur SRV-2012
    Serveur :     srv-2008.domainname.local
    Address :     Adresse_IP_SRV-2008

    Nom :          domainname.local
    Addresses :  Adresse_IP_SRV-2012
                       Adresse_IP_SRV-2008

    vendredi 1 décembre 2017 14:47
  • Mes deux DC sont à la même heures (en tout cas en dessous de 3minutes de décallage)
    vendredi 1 décembre 2017 14:59
  • Vérifier que l'heure entre les DC est correct.

    Quel est la conf IP des 2 serveurs ? surtout DNS primaire

    repadmin /showrepl montre des erreurs de réplications ?

    vendredi 1 décembre 2017 15:04
    Modérateur
  • Pour :

    Démarrage du test : NCSecDesc:
    L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas de droits d'accès pour le contexte de nommage : DC=DomainDnsZones, DC=domainname,DC=local
    L'erreur AUTORITE NT\ENTERPRISE DOMAIN CONTROLLERS n'a pas
    Replicating Directory Changes In Filtered Set
    de droits d'accès pour le contexte de nommage : DC=ForestDnsZones, DC=domainname,DC=local
    -------------------------- Le test NCSecDesc de SRV-SAGE a échoué

    Je suppose que tu n'as pas de DC en lecture seul (RODC) et que adprep/rodcprep n'a pas été exécuté.

    https://support.microsoft.com/fr-fr/help/967482/dcdiag-fails-for-ncsecdesc-test-on-windows-2008-domain-controllers

    JE ne pense pas que cela soit lié au problème sysvol.


    vendredi 1 décembre 2017 15:23
    Modérateur
  • Philippe,

    Sur le serveur2008 :
    Repadmin /showrepl

    Premier-site-dpar-defaut:SRV-2008

    DC=...Premier-site-par-defaut : srv-2012
    CN=...Premier-site-par-defaut : srv-2012

    CN=...Premier-site-par-defaut : srv-2012

    DC=...Premier-site-par-defaut : srv-2012

    DC=...Premier-site-par-defaut : srv-2012

    DNS Primaire : SRV-2012
    DNS Secondaire : SRV-2008

    Sur le serveur 2012 :
    Repadmin /showrepl

    DC=...Premier-site-par-defaut : srv-2008

    CN=...Premier-site-par-defaut : srv-2008

    CN=...Premier-site-par-defaut : srv-200D

    DC=...Premier-site-par-defaut : srv-2008

    DC=...Premier-site-par-defaut : srv-2008

    Premier-site-dpar-defaut:SRV

    DNS Primaine : SRV-2008
    DNS Secondaire : SRV-2012

    vendredi 1 décembre 2017 15:23
  • Normalement tu devrais voir les 5 partitions de l'annuaire avec pour chacune d'elle : la tentative a réussi.

    Ensuite vérifies si tu as des erreurs dans les journaux de l'ancien DC .

    Si tu n'as pas d'erreur tu peux essayer de faire une restauration autoritaire depuis le DC qui a bien les partages netlogon et sysvol.


    vendredi 1 décembre 2017 15:54
    Modérateur
  • Bonjour Phillipe,

    vous parlez des résultats de la commande repadmin /showreps ?

    Il existe des erreurs sur l'ancien DC, notamment celle-ci qui provient du "time-service" :

    Le service de temps a détecté une différence de temps supérieure à 5000 millisecondes pour 900 secondes. Cette différence peut être causée par une synchronisation avec des sources de temps peu précises ou par des conditions réseau non optimales. Le service de temps n’est plus synchronisé et ne peut pas fournir l’heure à d’autres clients ou mettre à jour l’horloge système. Lorsque vous recevez un horodatage valide d’un fournisseur de services de temps, le service de temps se corrige lui-même.

    Et aussi :

    Fournisseur de temps NtpClient : aucune réponse valide n’a été reçue de l’homologue manuellement configuré 3.fr.pool.ntp.org,0x8 après 8 tentatives pour le contacter. Cet utilisateur sera rejeté en tant que source de temps et NtpClient va tenter de découvrir un nouvel utilisateur avec ce nom DNS. Erreur signalée : L’homologue est inaccessible. 


    Mais je ne connais pas directement les moyens de réparer ces erreurs..

    lundi 11 décembre 2017 08:31
  • Après quelques recherches,
    mon serveur 2008 à une clé de registre qui indique qu'il est synchronisé sur 

    0.fr.pool.ntp.org,0x8 1.fr.pool.ntp.org,0x8 2.fr.pool.ntp.org,0x8 3.fr.pool.ntp.org,0x8
    (Emplacement clé de registre : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters)

    En revenche, sur mon serveur 2012, la clé indique une valeur différente :

    time.windows.com

    l'erreur peut-elle provenir de là ?

    Et si l'erreur est résolue, puis-je commencer à faire une restauration autoritaire ?

    Merci d'avance




    lundi 11 décembre 2017 08:46
  • vous parlez des résultats de la commande repadmin /showreps ?

    Oui

    Il existe des erreurs sur l'ancien DC, notamment celle-ci qui provient du "time-service" :

    Il faut configurer le service de temps sur l'émulateur PDC.

    http://pbarth.fr/node/87

    lundi 11 décembre 2017 10:32
    Modérateur