locked
Problème de réplication AD RRS feed

  • Discussion générale

  • Bonjour,

    Depuis plusieurs jour j'ai un problème de réplication vers un RODC.

    En effet nous avons 1 DC qui ce synchronise avec 4 RODC sur 4 sites différents.

    Sur l'un des RODC (SERVER2) la réplication ne fonctionne plus.  Lorsque je force la réplication via Sites et services AD (Du SERVER1) le message suivant apparait :

    "L'erreur suivante s'est produite en tentant de contacter le DC SERVEUR2 : L'appel de procédure distante a échoué et ne s'est pas exécuté."

    Aucune erreur sur le PDC et plusieurs erreurs sur le RODC (SERVEUR2) :

    "Nom du journal :Directory Service
    Source :       Microsoft-Windows-ActiveDirectory_DomainService
    Date :         02/02/2011 10:56:39
    ID de l'événement :2845
    Catégorie de la tâche :Vérificateur de cohérence des données
    Niveau :       Erreur
    Mots clés :    Classique
    Utilisateur :  ANONYMOUS LOGON
    Ordinateur :   SERVEUR2.XX.priv
    Description :
    Le vérificateur de cohérence des données a trouvé une connexion de réplication pour le service d’annuaire local en lecture seule, mais le serveur source ne répond pas ou n’effectue pas la réplication. Impossible de trouver un nouveau serveur source approprié auprès des partenaires de réplication actuels. Cette opération sera recommencée. 
     
    Données supplémentaires
    Connexion :
    CN=RODC Connection (FRS),CN=NTDS Settings,CN=SERVEUR2,CN=Servers,CN=ANGERS,CN=Sites,CN=Configuration,DC=XX,DC=priv
    Serveur source :
    CN=NTDS Settings,CN=SERVEUR1,CN=Servers,CN=HEADQUARTERS,CN=Sites,CN=Configuration,DC=XX,DC=priv "

     

     

     

    "Nom du journal :Directory Service
    Source :       Microsoft-Windows-ActiveDirectory_DomainService
    Date :         02/02/2011 10:56:39
    ID de l'événement :1311
    Catégorie de la tâche :Vérificateur de cohérence des données
    Niveau :       Erreur
    Mots clés :    Classique
    Utilisateur :  ANONYMOUS LOGON
    Ordinateur :   SERVEUR2.XX.priv
    Description :
    Le vérificateur de cohérence des données a détecté des problèmes avec la partition d’annuaire suivante.
     
    Partition d’annuaire :
    CN=Configuration,DC=XX,DC=priv
     
    Les informations de connectivité du site sont insuffisantes pour que le vérificateur de cohérence des données puisse créer la topologie de réplication de l’arborescence. Il se peut également qu’un ou plusieurs serveurs d’annuaire dans cette partition d’annuaire ne puissent pas répliquer les informations de la partition d’annuaire. Cette erreur est probablement due à des serveurs d’annuaire inaccessibles.
     
    Action utilisateur
    Effectuez une des actions suivantes :
    - Publier les informations de connectivité du site afin que le vérificateur de cohérence des données puisse déterminer un itinéraire permettant à cette partition d’annuaire d’atteindre ce site. Il s’agit de l’option préférée.
    - Ajouter un objet Connexion au service d’annuaire qui contient la partition d’annuaire dans ce site à partir d’un service d’annuaire qui contient la même partition d’annuaire dans un autre site.
     
    Si aucune de ces tâches ne corrige cette condition, consultez les événements précédents entrés dans le journal par le vérificateur de cohérence des données qui identifient les serveurs d’annuaire inaccessibles.
    "

    Avertissement :

    "Nom du journal :Directory Service
    Source :       Microsoft-Windows-ActiveDirectory_DomainService
    Date :         02/02/2011 10:56:39
    ID de l'événement :1865
    Catégorie de la tâche :Vérificateur de cohérence des données
    Niveau :       Avertissement
    Mots clés :    Classique
    Utilisateur :  ANONYMOUS LOGON
    Ordinateur :   SERVEUR1.XX.priv
    Description :
    Le vérificateur de cohérence des données n’a pas pu former de topologie réseau d’arborescence complète. En conséquence, les sites suivants ne peuvent pas être atteints à partir du site local.
     
    Sites :
    CN=HEADQUARTERS,CN=Sites,CN=Configuration,DC=XX,DC=priv "

     

    "Nom du journal :Directory Service
    Source :       Microsoft-Windows-ActiveDirectory_DomainService
    Date :         02/02/2011 10:56:39
    ID de l'événement :1566
    Catégorie de la tâche :Vérificateur de cohérence des données
    Niveau :       Avertissement
    Mots clés :    Classique
    Utilisateur :  ANONYMOUS LOGON
    Ordinateur :   SERVEUR2.XX.priv
    Description :
    Tous les serveurs d’annuaire du site suivant qui répliquent la partition d’annuaire via ce transport sont actuellement indisponibles.
     
    Site :
    CN=HEADQUARTERS,CN=Sites,CN=Configuration,DC=XX,DC=priv
    Partition de l’annuaire :
    CN=Configuration,DC=XX,DC=priv
    Transport :
    CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=XX,DC=priv"

     

    Avez vous une idée du problème ? Sachant que cela fonctionné bien il y a quelques temps et que je n'est fais aucune modification.

     

    PS : Un dcdiag me retourne

    Diagnostic du serveur d'annuaire

    Exécution de l'installation initiale :
       [xx.xx.x.x] Erreur de liaison avec le service d'annuaire 87 :
       Paramètre incorrect.
       Cette situation peut limiter certains des tests réalisables.
       * Forêt AD identifiée.

     

    Merci d'avance pour vos réponses

     

    mercredi 2 février 2011 10:17

Toutes les réponses

  • Bonjour,

    avez-vous un lien de site entre le site de serveur1 et le site de serveur2 ?

    Vérifiez le puis relancez un repadmin /kcc sur le serveur1.

     


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    mercredi 2 février 2011 12:56
  • Oui il y a bien un lien de site (IP) entre les deux.

    Voici le résultat de repadmin :/ :

    "repadmin running command /kcc against server localhost

    Consistency check on localhost successful."

    mercredi 2 février 2011 14:21
  • Bonjour,

    la commande est asynchrone, elle doit loguer des events d'exécution quelques minutes plus tard.

    Pouvez-vous poster les éventuels events?


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    jeudi 3 février 2011 15:33
  • Bien sûr, mais ou puis-je retrouver les logs ?
    jeudi 3 février 2011 15:56
  • Bonjour,

    Vous trouverez ces logs dans le journal d'évènement de serveur1. Néanmoins, c'est sur le serveur2 qu'il faut lancer repadmin /kcc, afin de construire l'objet de connexion sur serveur2 pour répliquer à partir de serveur1. Bien qu'un RODC soit en lecture seule, le process KCC a le droit d'écrire le lien de connexion dans la partition de conf.

    N'y aurait-il pas un équipement réseau (firewall) actif entre vos deux sites, qui bloquerait la communication RPC ?


    Olivier Detilleux - Service Line Manager | Core Infrastructure Department http://myitforum.com/cs2/blogs/forefrontsecurity/
    vendredi 4 février 2011 16:29
  • Bon aucun log sur le serveur1 :/. Et je n'est plus de d'événements d'erreurs sur le serveur2 :O ! Mais ce n'est pas pour autant que la syncro fonctionne.

    Et non je n'est pas de firewall entre les deux (j'ai même appelé notre FAI pour leur demander)

    vendredi 4 février 2011 17:00
  • Bonjour,

    finalement je ne comprends plus quel DC recontre le problème de réplication. Peut-être les 2... ou un autre?

    L'event 1865 indique qu'aucun DC du site de server2 ne peut répliquer avec le site HEADQUARTERS.

     

    Pour commencer, lancez la commande repadmin /istg et vérifiez si server2 est ISTG.

    Puis, sur celui-ci lancez repadmin /failcache site:NOM_DU_SITE_DE_SERVER2

    Postez les erreurs liées au site HeadQuarters.

    Dans votre cas simple, ça pourrait être une erreur du type Headquarters\server1 en erreur avec NOM_DU_SITE_DE_SERVER2\server2.

    Si c'est le cas, pour vérifier la supposition d'Olivier: sur server1, lancez repadmin /bind:server2.nomdomain

    Egalement, postez le résultat (section inbound) de la commande repadmin /showreps sur server1 et server2.

     


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    vendredi 4 février 2011 21:58
  • Bonjour,

    Merci de nous tenir au courant,

    Cordialement,

    Roxana



    Roxana PANAIT, MSFT  Follow TechNetFr on Twitter 

    • Votez l’article qui vous est utile ou postez un pour participer au concours : Appel à la contribution

    •Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    mardi 8 février 2011 14:32
  • Bonjour,

     

    Désolé pour le temps de réponse, je n'étais plus penché sur le problème. Donc il y a un problème de communication entre les deux mais pourquoi :/. D'autant plus que cela fonctionne de temps en temps, sans faire aucun changement.

    Voici les résultats :

    "repadmin /istg

    Repadmin : exécution de la commande /istg sur le contrôleur de domaine complet l
    ocalhost
    Collecte de la topologie à partir du site server2(serveur2.xx.priv) :
                       Site                ISTG
          ==================   =================
     Default-First-Site-Name             serveur1
                HEADQUARTERS             serveur1"

     

    repadmin /failcache site:site2

    Repadmin : exécution de la commande /failcache sur le contrôleur de domaine en l
    ecture seule serveur2.xx.priv
    ==== ÉCHECS DE CONNEXION DU VÉRIFICATEUR DE COHÉRENCE DES DONNÉES ====
    (aucun)

    ==== ÉCHECS DE LIAISON DU VÉRIFICATEUR DE COHÉRENCE DES DONNÉES ======
        HEADQUARTERS\serveur1
            GUID de l'objet DSA : c4a390ba-b628-4313-a62f-59ccb41d513a
            17 échecs consécutifs depuis 2011-02-19 02:55:08.
            Dernière erreur : 1256 (0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.

     

    repadmin /showreps
    HEADQUARTERS\serveur1
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: c4a390ba-b628-4313-a62f-59ccb41d513a
    DC invocationID: c4a390ba-b628-4313-a62f-59ccb41d513a

     

     

     

    repadmin /showreps
    site2\serveur2
    Options DSA : IS_GC DISABLE_OUTBOUND_REPL IS_RODC
    Options de site : (none)
    GUID de l'objet DSA : 3db0f0b2-e496-4fdb-8f3e-60080496ef6f
    ID de l'invocation DSA : 8e870c89-59f4-4ae3-8d68-a4aa334a0e03

    === INSTANCES VOISINES ENTRANTES ==================================

    DC=xx,DC=priv
        HEADQUARTERS\serveur1 via RPC
            GUID de l'objet DSA : c4a390ba-b628-4313-a62f-59ccb41d513a
            La dernière tentative, le 2011-02-21 04:55:54, a échoué, résultat 1908 (
    0x774):
                Impossible de trouver un contrôleur de domaine pour ce domaine.
            17 échecs consécutifs.
            Dernière réussite le 2011-02-18 05:53:59.

    CN=Configuration,DC=xx,DC=priv
        HEADQUARTERS\serveur1 via RPC
            GUID de l'objet DSA : c4a390ba-b628-4313-a62f-59ccb41d513a
            La dernière tentative, le 2011-02-21 04:54:16, a échoué, résultat 1908 (
    0x774):
                Impossible de trouver un contrôleur de domaine pour ce domaine.
            17 échecs consécutifs.
            Dernière réussite le 2011-02-18 05:53:58.

    CN=Schema,CN=Configuration,DC=xx,DC=priv
        HEADQUARTERS\serveur1 via RPC
            GUID de l'objet DSA : c4a390ba-b628-4313-a62f-59ccb41d513a
            La dernière tentative, le 2011-02-21 04:55:05, a échoué, résultat 1908 (
    0x774):
                Impossible de trouver un contrôleur de domaine pour ce domaine.
            15 échecs consécutifs.
            Dernière réussite le 2011-02-19 02:54:06.

    DC=DomainDnsZones,DC=xx,DC=priv
        HEADQUARTERS\serveur1 via RPC
            GUID de l'objet DSA : c4a390ba-b628-4313-a62f-59ccb41d513a
            La dernière tentative, le 2011-02-21 04:54:16, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            17 échecs consécutifs.
            Dernière réussite le 2011-02-18 05:53:59.

    DC=ForestDnsZones,DC=xx,DC=priv
        HEADQUARTERS\serveur1 via RPC
            GUID de l'objet DSA : c4a390ba-b628-4313-a62f-59ccb41d513a
            La dernière tentative, le 2011-02-21 04:54:16, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            15 échecs consécutifs.
            Dernière réussite le 2011-02-19 02:55:08.

    Source : HEADQUARTERS\serveur1
    ******* 17 Échecs consécutifs depuis 2011-02-19 02:55:08
    Dernière erreur : 1256 (0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.

    Source : HEADQUARTERS\serveur1
    ******* 17 Échecs consécutifs depuis 2011-02-19 02:55:08
    Dernière erreur : 1256 (0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio...

     

     

    Comme je le disais il n'y a aucun actif réseau qui pourrait bloquer les communications entre les deux dc.

     

    lundi 21 février 2011 09:01
  • Bonjour,

     

    d'après ce que vous dites, ça ressemble à des coupures intermittentes de liens.

     

    Le système distant n'est pas disponible. --> DC trouvé dans le DNS mais système distant pas disponible.

    Impossible de trouver un contrôleur de domaine pour ce domaine --> problème de résolution DNS.

     

    Avez-vous possibilité de lancer une trace réseau entre les 2 sites en déclenchant manuellement la réplication?

    (videz les caches dns et kerberos pour tester la chaine complète).


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    mardi 22 février 2011 19:16
  • Bien sur. quel outils me conseillez vous ? (Wireshark). quels paquet dois-je regarder ?
    vendredi 25 février 2011 09:49
  • Bonjour,

    l'idée est de regarder si la résolution DNS (localisation des DC) s'est bien effectuée.

    --> ipconfig /flushdns

    Puis si ça a bien fonctionné, de vérifier si la récupération des tickets kerberos s'est correctement effectuée.

    --> klist purge

    Lancez une trace réseau avec wireshark par exemple et analysez le traffic dns  puis kerberos (filtre wireshark sur DNS puis Kerberos).

    En général, il faut avoir une certaine habitude de ce genre d'analyses, savoir déterminer qu'est ce que est une erreur de ce qui ne l'est pas, savoir voir qu'un paquet manquant est justement important, les retransmissions indicatives de timeout, également les fragmentations de paquets cruciales en UDP donc cruciales pour kerberos par défaut.

    Quand vous analysez une trace réseau, c'est comme pour un dump d'une application, vous ne savez jamais à l'avance ce que vous allez trouver et vers quoi cela va vous dirirger.


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    lundi 28 février 2011 10:10
  • Bon j'ai eu quelques avancées.

    Après des recherches je me suis rendu compte que nous avions des micro coupures réseaux. Sans en être sûr, je pense trés fortement que les problèmes de réplications viennent de là.

    Je règle donc le problème réseau et je vous informerez des avancées.

     

    EDIT : Si vous voulez suivre le problème réseau -> http://forum.hardware.fr/hfr/systemereseauxpro/Connectivite/perte-paquet-sujet_9295_1.htm

    mardi 8 mars 2011 15:11
  • Bonjour,

     

    ce n'est ni du broadcast, ni du multicast. C'est du simple RPC sur TCPIP.


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    mercredi 16 mars 2011 15:18