locked
Probleme de replication AD event 2023 et 1925 RRS feed

  • Question

  • Bonjour,

    J'ai un gros probleme de replication entre ADs

    J'ai une foret, que je nommerai test.fr avec 6 domaines enfants.

    dom1.test.fr fonctionne bien

    dom2.test.fr est sur une machine virtuelle (sous esx) et j'ai fait des tests avec des snapshots.

    Mais depuis aujourd'hui la réplication ne fonctionne plus.

    J'ai les messages ID 1925 et 2023 :

    ##########################################################################

    ID 2023 :

    Nom du journal :Directory Service
    Source :       Microsoft-Windows-ActiveDirectory_DomainService
    Date :         13/02/2014 15:00:44
    ID de l’événement :2023
    Catégorie de la tâche :Réplication
    Niveau :       Erreur
    Mots clés :    Classique
    Utilisateur :  ANONYMOUS LOGON
    Ordinateur :   DC1-dom2.dom2.test.fr
    Description :
    Ce serveur d’annuaire n’a pas pu répliquer les modifications vers le serveur d’annuaire distant suivant pour la partition d’annuaire suivante. 
     
    Serveur d’annuaire distant :
    56ff23ea-6527-49e7-9025-38eb825c17bc._msdcs.cassiopae.lan 
    Partition d’annuaire :
    CN=Schema,CN=Configuration,DC=test,DC=fr 
     
    Le contrôleur de domaine local ne peut pas terminer la suppression de cette partition. 
     
    Action utilisateur 
    Recherchez la raison pour laquelle la réplication entre ces deux domaines ne peut pas être effectuée. 
     
    Données supplémentaires 
    Valeur de l’erreur :
    1908 Impossible de trouver un contrôleur de domaine pour ce domaine.

    ####################################################################

    ID 1925

    Échec de la tentative d’établissement d’un lien de réplication pour la partition de répertoire inscriptible. 
     
    Partition de répertoire : 
    CN=Schema,CN=Configuration,DC=xxxx,DC=xxx
    Service d’annuaire source : 
    CN=NTDS Settings,CN=xxx,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxx 
    Adresse du service d’annuaire source : 
    848e63f7-2f89-4b6b-8388-9560d67b1295._msdcs.xxx.xxx 
    Transport Intersite (le cas échéant) : 
     
     
    Ce service d’annuaire ne pourra pas répliquer avec le service d’annuaire source jusqu’à ce que ce problème soit résolu.  
     
    Action utilisateur 
    Vérifiez que le service d’annuaire source est accessible ou que la connexion réseau est disponible. 
     
    Données supplémentaires. 
    Valeur de l’erreur : 
    8457 Le serveur de destination rejette actuellement les demandes de réplication.

    #########################################################################

    J'ai vérifié avec ce lien : 

    http://support.microsoft.com/kb/2023007/fr

    Et je suis dans ce cas de figure : 

    Si « DSA non inscriptible » est égal à 4 ou 2103 d'événement général NTDS est consigné, effectuez les opérations de récupération pour une reprise USN. Pour plus d'informations, consultez l'article de Base de connaissances Microsoft 875495.

    Mais le hotfix est déjà présent sur mon serveur mais la réplication ne fonctionne pas.

    J'ai testé la commande suivante : 

    C:\Program Files (x86)\Support Tools>repadmin /bind DC1-dom2

    repadmin running command /bind against server DC1-dom2.dom2.test.fr

    DsBindWithCred to DC1-dom2.dom2.test.fr failed with status -2146892976 (
    0x80090350):
        Le système a détecté une tentative potentielle d'atteinte à la sécurité. Vér
    ifiez que vous pouvez contacter le serveur qui vous a authentifié.

    Mais la je ne sais plus quoi faire.

    J'ai aussi tenté de dépromouvoir le serveur mais je ne peut pas le faire car le domaine racine test.fr est inaccessible.

    J'arrive a me connecter a ce domaine pourtant..

    Pouvez vous m'aider?

    Merci.

    Cordialement,

    AR

    jeudi 13 février 2014 14:55

Réponses

  • dom2.test.fr est sur une machine virtuelle (sous esx) et j'ai fait des tests avec des snapshots.

    Au cours d’une demande de réplication des services de domaine Active Directory, le contrôleur de domaine local a identifié un contrôleur de domaine distant qui a reçu des données de réplication du contrôleur de domaine local via des numéros de suivi USN déjà acquittés.

    Vous avez fait restauré une ancienne version du DC ou utiliser des Snapshot car vous avez apparement provoqués un USNN Rollback.

    ON NE  FAIT PAS DE SNAPSHOT SUR UN  CONTROLEUR DE DOMAINE

    Combien de DC avez-vous dans le domaine en question?

    Avez-vous des backup de l'état du système de vos DC ?


    jeudi 13 février 2014 15:29
  • voir supprimer un domaine orphelin.

    http://support.microsoft.com/?kbid=230306&wa=wsignin1.0&wa=wsignin1.0

    Une fois nettoyé vérifié dcdiag et repadmin sur les domaines restants avant de rajouter un autre DC.

    jeudi 13 février 2014 17:09

Toutes les réponses

  • Bon alors ca avance,

    http://social.technet.microsoft.com/Forums/windowsserver/en-US/46e1e32a-7b0d-47ae-b2c1-42225dea106e/last-error-8457-0x2109-the-destination-server-is-currently-rejecting-replication-requests?forum=winserverDS

    Mon service netlogon est bien en pause.

    Je le redémarre et reforce une replication via replmon.

    Du coup j'ai des erreurs 2095 et 1173 :

    ####################################################################

          

    ID 2095

    Au cours d’une demande de réplication des services de domaine Active Directory, le contrôleur de domaine local a identifié un contrôleur de domaine distant qui a reçu des données de réplication du contrôleur de domaine local via des numéros de suivi USN déjà acquittés.

     Le contrôleur de domaine distant croyant qu’il s’agit d’une base de données des services de domaine Active Directory plus à jour que le contrôleur de domaine local, il n’appliquera pas les modifications ultérieures à sa copie de la base de données des services de domaine Active Directory ou les répliquera vers ses partenaires de réplication directs ou intermédiaires qui utilisent ce contrôleur de domaine local comme source.

     Si elle n’est pas résolue immédiatement, cette situation aboutira à des incohérences dans les bases de données des services de domaine Active Directory de ce contrôleur de domaine source et d’un ou plusieurs partenaires de réplication directs ou intermédiaires. En particulier, la cohérence des données des utilisateurs, des ordinateurs et de leurs relations d’approbation, de leurs mots de passe, des groupes de sécurité, de l’appartenance à des groupes de sécurité et d’autres données de configuration des services de domaine Active Directory peuvent varier, affectant la possibilité d’ouvrir des sessions, de rechercher des objets spécifiques et d’effectuer d’autres opérations importantes.

     Pour déterminer si cette configuration incorrecte existe, recherchez cet ID d’événement à l’adresse http://support.microsoft.com ou contactez le Support technique de Microsoft.

     La cause la plus probable de cette situation est la restauration incorrecte des services de domaine Active Directory sur le contrôleur de domaine.

     Actions utilisateur :
     Si cette situation s’est produite en raison d’une restauration incorrecte ou non intentionnelle, forcez la rétrogradation du contrôleur de domaine. 

    Contrôleur de domaine distant :
    56ff23ea-6527-49e7-9025-38eb825c17bc (xxx.xxx.xxx) 
    Partition :
    CN=Configuration,DC=xxx,DC=xxxx 
    Numéro USN signalé par le contrôleur de domaine distant :
    142575 
    Numéro USN signalé par le contrôleur de domaine local :
    115360 

    ####################################################################

    ID 1173

    Internal event: Active Directory Domain Services has encountered the following exception and associated parameters. 
     
    Exception:
    e0010002 
    Parameter:

     
    Additional Data 
    Error value:
    8451 
    Internal ID:
    10814e1

    #####################################################################

    Le soucis est que je ne peux pas retrograder l'AD. Meme erreur que mon precedent post.

    Quelques minutes apres le service netlogon s'est remis en pause.


    Merci de votre aide.


    jeudi 13 février 2014 15:10
  • dom2.test.fr est sur une machine virtuelle (sous esx) et j'ai fait des tests avec des snapshots.

    Au cours d’une demande de réplication des services de domaine Active Directory, le contrôleur de domaine local a identifié un contrôleur de domaine distant qui a reçu des données de réplication du contrôleur de domaine local via des numéros de suivi USN déjà acquittés.

    Vous avez fait restauré une ancienne version du DC ou utiliser des Snapshot car vous avez apparement provoqués un USNN Rollback.

    ON NE  FAIT PAS DE SNAPSHOT SUR UN  CONTROLEUR DE DOMAINE

    Combien de DC avez-vous dans le domaine en question?

    Avez-vous des backup de l'état du système de vos DC ?


    jeudi 13 février 2014 15:29
  • Si vous en avez plusieurs il faut isoler le DC en question et dans site et service vous supprimer les paramètres NTDS en question pour le dégager .

    Utilisez dcdiag et repadmin /showrepl pour vérifier l'ensemble de vos DC.

    jeudi 13 février 2014 15:31
  • 6 DC mais chacun controle un sous domaine différent.

    Je n'ai pas de backup de l'etat systeme.

    J'ai fait un dcpromo /forceremoval sur le DC en question et j'essai de le repromouvoir mais il n'arrive pas à remplacer la partition DC=dom2,dc=test,dc=fr.

    "Le service d'annuaire ne peut effectuer l'opération recquise que sur un objet noeud nominal"

    La Kb sur laquelle on me renvoie n'existe pas. (936241)

    jeudi 13 février 2014 15:34
  • Bon, j'ai viré le serveur dans sites et services et j'ai pu repromouvoir le DC.

    Par contre je ne peux pas me connecter au domaine avec le message : 

    "aucun serveur d'accès n'est actuellement disponible pour traiter la demande d'ouverture de session"

    Et je ne peux plus me connecter en tant qu'admin local...

    Le serveur est bien réapparu dans sites et services, mais la replication ne se fait pas et je n'ai tjs pas d'accès au serveur pour la meme erreur que ci dessus.




    • Modifié waaalex jeudi 13 février 2014 15:56
    jeudi 13 février 2014 15:48
  • avant de refair il faut avoir un ad propre si vous ne faites pas de dcdiag et repadmin c'est pas la peine de passer a la suite.
    jeudi 13 février 2014 16:36
  • de plus si vous n'aviez qu'un dc pour le domaine il faut nettoyer la forêt et supprimer le domaine mort.

    Forcément il ne peut pas prendre le rôle DC tant qu'il n'a pas répliqué sur un DC ayant la partition du domaine.

    j'espère que c'est du test ?


    jeudi 13 février 2014 16:41
  • Oui cela reste du test.

    Je vais faire le menage et revenir vers vous des demain.

    jeudi 13 février 2014 16:44
  • voir supprimer un domaine orphelin.

    http://support.microsoft.com/?kbid=230306&wa=wsignin1.0&wa=wsignin1.0

    Une fois nettoyé vérifié dcdiag et repadmin sur les domaines restants avant de rajouter un autre DC.

    jeudi 13 février 2014 17:09
  • Merci pour votre aide :)

    Ticket clos.

    vendredi 14 février 2014 14:07