none
Erreur DNS dans un dcdiag

    Discussion générale

  • Bonjour,

    voici mon infra :
    site A : dc1.domain.local
    site B : dc2.domain.local
    site C : dc3.domain.local
    site D : dc4.domain.local

    aucune réplication ne fonctionne, je ne peux pas ouvrir les stratégies de groupes sur DC2 et DC3.
    j'ai alors décidé de dé-promoter DC3 et le re-promoter :
    impossible, "l'assistant ne peut pas obtenir l'accès à la liste de domaine dans la forêt".

    quand j'ai dé-promoté, j'ai vidé les traces de DC3 dans DC1 :
    dans l'AD, sites et services AD, DNS en parcourant chaque zone + serveurs de noms, puis ADSI.

    la commande dcdiag sur DC1 m'indique un problème de délégation.

    C:\Users\administrateur.domain> dcdiag /test:dns
    
    Diagnostic du serveur d'annuaire
    
    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : DC1
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.
    
    Exécution des tests initiaux nécessaires
    
       Test du serveur : siteA\DC1
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de DC1 a réussi
    
    Exécution des tests principaux
    
       Test du serveur : siteA\DC1
    
          Démarrage du test : DNS
    
             Les tests DNS sont en cours d'exécution et ne sont pas arrêtés.
             Veuillez patienter quelques minutes...
             ......................... Le test DNS
              de DC1 a réussi
    
       Exécution de tests de partitions sur DomainDnsZones
    
       Exécution de tests de partitions sur ForestDnsZones
    
       Exécution de tests de partitions sur Schema
    
       Exécution de tests de partitions sur Configuration
    
       Exécution de tests de partitions sur domain
    
       Exécution de tests d'entreprise sur domain.local
          Démarrage du test : DNS
             Résultats des tests des contrôleurs de domaine :
    
                Contrôleur de domaine : DC1.domain.local
                Domaine : domain.local
    
    
                   TEST: Delegations (Del)
                      Erreur : serveur DNS : DC1.domain.local.
                      IP :192.168.10.1
                      [Broken delegated domain domain.local.domain.local.]
                      Erreur : serveur DNS : DC2.domain.local.
                      IP :192.168.20.1
                      [Broken delegated domain domain.local.domain.local.]
                      Erreur : serveur DNS : DC3.domain.local.
                      IP :192.168.11.1
                      [Broken delegated domain domain.local.domain.local.]
                      Erreur : serveur DNS : DC4.domain.local.
                      IP :192.168.13.1
                      [Broken delegated domain domain.local.domain.local.]
    
             Résumé des résultats des tests pour les serveurs DNS utilisés par les
             contrôleurs de domaine ci-dessus :
    
                Serveur DNS : 192.168.10.1 (DC1.domain.local.)
                   Erreur de test 1 sur ce serveur DNS
    
                Serveur DNS : 192.168.11.1 (DC3.domain.local.)
                   Erreur de test 1 sur ce serveur DNS
    
                Serveur DNS : 192.168.13.1 (DC4.domain.local.)
                   Erreur de test 1 sur ce serveur DNS
    
                Serveur DNS : 192.168.20.1 (DC2.domain.local.)
                   Erreur de test 1 sur ce serveur DNS
    
                Serveur DNS : fec0:0:0:ffff::1 (<name unavailable>)
                   Erreur de test 1 sur ce serveur DNS
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server fec0:0:0:ffff::1
    
                Serveur DNS : fec0:0:0:ffff::2 (<name unavailable>)
                   Erreur de test 1 sur ce serveur DNS
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server fec0:0:0:ffff::2
    
                Serveur DNS : fec0:0:0:ffff::3 (<name unavailable>)
                   Erreur de test 1 sur ce serveur DNS
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server fec0:0:0:ffff::3
    
             Résumé des résultats des tests DNS :
    
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Domaine : domain.local
                   DC1               PASS PASS PASS FAIL PASS PASS n/a
    
             ......................... Le test DNS
              de domain.local a échoué

    Dans le gestionnaire DNS, j'ai une zone enfant de domain.local _msdcs est grisée.

    Elle contient une ligne serveur de noms (NS) qui pointe vers DC1, DC1.domain.local, statique.

    msdcs_enfant

    J'ai recherché des solutions, on parle toujours de vérifier qu'il n'y a plus de trace de l'ancien.
    J'ai vérifier plusieurs fois, dans les serveurs de noms... sans succès.

    cette erreur est-elle forcément dû à une trace de l'ancien serveur ?

    Quand je veux ajouter DC3 en tant que contrôleur de domaine, j'ai l'erreur :
    "impossible de se connecter au domaine à l'aide des informations d'identification spécifiées", j'ai eu aussi
    "impossible de trouver le chemin de la forêt"

    Une piste où chercher ?
    merci.


    jeudi 19 avril 2018 16:09

Toutes les réponses

  • Bonjour Pascal,

    Depuis quand cela se produit ?

    Quelques informations sur le contexte ?

    Tu as des sauvegardes ?


    MCSE ne signifie pas MEDIUM. Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de &quot;Marquer comme réponse&quot; les réponses qui ont résolu votre problème.


    jeudi 19 avril 2018 16:16
  • j'ai alors décidé de dé-promoter DC3 et le re-promoter :

    Si  la réplication ne marche, ce genre de manip ne résoudra rien, car pour faire la promotion la réplication doit fonctionner entre les DCs existants !

    Fait un dcdiag

    _msdcs est grisée

    C'est à dire ? tu n'as pas accès au contenu ?

    C'est dans la zone msdcs que se trouve les enregistrements pour la réplication dans la forêt et les enregistrements de services. Si elle ne fonctionne pas l'AD n'est pas dispo.

    Voir comment sont gérés les enregistrements :

    http://pbarth.fr/node/35

    si tu fait un repadmin /showrepl tu devrais identifier le Guid est l'enregistrement DNS qui doit exister dans 

    Quand je veux ajouter DC3 en tant que contrôleur de domaine, j'ai l'erreur :
    "impossible de se connecter au domaine à l'aide des informations d'identification spécifiées", j'ai eu aussi
    "impossible de trouver le chemin de la forêt"

    Une piste où chercher ?

    Tant que tu as des erreurs DNS et que la réplication  AD ne fonctionne pas, ce n'est même pas la peine d'essayer de faire une promotion .

    Quel est la conf IP des DCs ? Dns primaire ? 

    jeudi 19 avril 2018 16:30
    Modérateur
  • Très intéressant comme problème :) Je vais suivra ça ! (désolé mon intervention est inutile mais c'est pour recevoir les mails dès que ça bouge ! )


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 19 avril 2018 16:58
  • Tout d'abord, merci de m'apporter votre contribution.

    > sanio74
    Je ne sais pas depuis quand ça se produit.
    J'ai voulu changer une stratégie de groupe mercredi sur un DC distant, impossible :
    "le serveur RPC est introuvable" (de mémoire).
    j'ai vérifier sur les autres, DC distant, pareil.

    j'ai des sauvegardes, mais ne sachant pas depuis quand j'ai le problème, peut-être ne pas passer par là.

    > Philippe

    _msdcs :
    j'ai bien son contenu dans _msdcs.domain.local.

    par contre, dans :
    domain.local
       _msdcs

    j'avais une seule ligne qui ne portait pas le nom d'un DC.
    J'ai supprimé ce _msdcs, recréé en tant qu'une nouvelle délégation et mis le DC1.domain.local.

    j'ai laissé le nom des sites, tous n'apparaît pas à la commande.
    C'est normal que le GUID et ID DSA sont différents ?

    GUID de l'objet DSAÿ: 63efbac3-ccdb-4c8d-951a-6ef76e12bee8 
    Apparaît bien là ou vous m'avez mis la photo, sous forme de CNAME.

    ID de l'invocation DSAÿ: 913ebe92-138f-4f97-b021-ff6689ade64e

    N'apparaît pas.

    Montauban : Site1
    mtb-win2012-dc : DC1
    IP : 192.168.10.1
    DNS : 192.168.10.1

    Toulouse : Site4
    tls-mtb-win2012-dc : DC4
    IP : 192.168.13.1
    DNS : 192.168.13.1

    Perpignan : Site5
    IP : 172.16.48.21
    DNS : 172.16.48.21

    Aucun avec des DNS secondaires.

    jeudi 19 avril 2018 17:40
  • C'est normal que le GUID et ID DSA sont différents ?

    En général ils sont identiques mais ce n'est pas obligatoire. Ils peuvent être différent après une restauration correct d'un DC par exemple.

    Le GUID doit correspondre à l'enregistrement DNS, c'est cette enregistrement qui est utilisé par les DCs pour répliqué.

    J'ai déja vu dans le cas de déplacement de VM incorrect le guid d'une machine changé.

    Si vous faites un repadmin /showrepl vous verrez la date de la dernière réplication correct. La réponse est importante car le chemin n'est pas le même si vous avez dépassé le TombStoneLifeTime.

    Il peut être de 60 ou 180jours selon  les versions ...

    Chaque DC n'a que lui même comme DNS primaire ?

    Le mieux en cas d'anomalie est de définir le même DNS primaire sur l'ensemble des DCs et de préférence un DNS à jour.

    Redémarrer le service netlogon sur DC fait que le contrôleur de domaine crée les enregistrements nécessaires manquant. Ne redémarrer pas tous les netlogon en même temps.

    Ipconfig /registerdns recrée l'enregistrement A ou AAAA . Voir l'article précédent.

    par contre, dans :
    domain.local
       _msdcs

    Le sous dossier contient les noms des serveurs DNS qui gèrent la zone délégués. En l'occurence lui même ...

    Tu as plusieurs sites ? Si oui tu as configuré les sites, les sous réseaux et les liens de sites(par défaut intervalle de réplication 180 minutes entre les sites)


    jeudi 19 avril 2018 19:41
    Modérateur
  • Je croyais avoir mis le résultat de la commande repadmin /showrepl hier soir, mais oublié.

    J'ai également testé sur DC1 :
    Une restauration état système il y a une semaine, regardé le résultat de la commande dcdiag /test:dns.
    Toujours DEL Failed.
    J'ai alors remis celle d'hier soir. Maintenant repadmin /showrepl :

    Repadminÿ: ex‚cution de la commande /showrepl sur le contr“leur de domaine complet localhost
    
    Montauban\MTB-WIN2012-DC
    
    Options DSAÿ: IS_GC 
    
    Options de siteÿ: (none)
    
    GUID de l'objet DSAÿ: 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
    
    ID de l'invocation DSAÿ: 2ff87d73-3d43-4a8c-8f18-18c72c874b3b
    
    
    
    === INSTANCES VOISINES ENTRANTES ==================================
    
    
    
    DC=DOMAIN,DC=local
    
        Toulouse\TLS-WIN2012-DC via RPC
    
            GUID de l'objet DSAÿ: dd27af5b-96b8-4e35-ac34-02bccb20543f
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
    
    
    CN=Configuration,DC=DOMAIN,DC=local
    
        Toulouse\TLS-WIN2012-DC via RPC
    
            GUID de l'objet DSAÿ: dd27af5b-96b8-4e35-ac34-02bccb20543f
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
        Perpignan\SHC-DC via RPC
    
            GUID de l'objet DSAÿ: ba0a6418-d10d-426d-b1bf-9985107b3cbd
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
    
    
    CN=Schema,CN=Configuration,DC=DOMAIN,DC=local
    
        Toulouse\TLS-WIN2012-DC via RPC
    
            GUID de l'objet DSAÿ: dd27af5b-96b8-4e35-ac34-02bccb20543f
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
        Perpignan\SHC-DC via RPC
    
            GUID de l'objet DSAÿ: ba0a6418-d10d-426d-b1bf-9985107b3cbd
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
    
    
    DC=ForestDnsZones,DC=DOMAIN,DC=local
    
        Perpignan\SHC-DC via RPC
    
            GUID de l'objet DSAÿ: ba0a6418-d10d-426d-b1bf-9985107b3cbd
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
        Toulouse\TLS-WIN2012-DC via RPC
    
            GUID de l'objet DSAÿ: dd27af5b-96b8-4e35-ac34-02bccb20543f
    
            La derniŠre tentative, le 2018-04-20 08:12:11, a r‚ussi.
    
    
    
    DC=DomainDnsZones,DC=DOMAIN,DC=local
    
        Toulouse\TLS-WIN2012-DC via RPC
    
            GUID de l'objet DSAÿ: dd27af5b-96b8-4e35-ac34-02bccb20543f
    
            La derniŠre tentative, le 2018-04-20 08:12:12, a r‚ussi.
    
    
    
    DC=shc,DC=local
    
        Perpignan\SHC-DC via RPC
    
            GUID de l'objet DSAÿ: ba0a6418-d10d-426d-b1bf-9985107b3cbd
    
            La derniŠre tentative, le 2018-04-20 08:12:12, a r‚ussi.
    
        Toulouse\TLS-WIN2012-DC via RPC
    
            GUID de l'objet DSAÿ: dd27af5b-96b8-4e35-ac34-02bccb20543f
    
            La derniŠre tentative, le 2018-04-20 08:12:12, a r‚ussi.
    
    
    
    

    Il n'y a pas tous les sites dans le résultat de la commande.
    J'ai vu qu'ils n'y étaient pas tous dans "sites et services AD".

    Chaque DC n'a que lui même comme DNS primaire ?
    Oui.
    Ok pour la remarque, j'ai mis le DNS primaire vers DC1 sur tous les serveurs.
    Je n'ai pas encore redémarré NETLOGON ou fait les commandes sur les autres DC.
    J'ai vu l'article, OK, si je fais les commandes, ça ajoute les enregistrements manquants.

     _msdcs
    Voici 2 photos

    msdcs.domain.localmsdcs.domain.local
    1 : domain.local, le premier domaine.
    2 : une zone rajouté pour un accès à des sites extranet.
    3 : deuxième domaine dans la forêt, où j'ai un seul DC sur un site à part.

    msdcs enfant

    msdcs enfant

    rn-win2012-dc n'est pas le DC1.
    Le DC1 est mtb.
    Hier, j'ai essayé avec le nom mtb dans cet enregistrement pareil, donc j'ai remis ce DC.
    Historiquement, ce DC est le premier DC Windows 2012 installé.
    par la suite, j'ai déplacé les 5 rôle FSMO sur mtb, que j'appelle ici DC1.

    Tu as plusieurs sites ? Si oui tu as configuré les sites, les sous réseaux et les liens de sites(par défaut intervalle de réplication 180 minutes entre les sites)

    Tu parles je présume de "Sites et service AD".
    Au début j'avais touché (bien m'en as mal pris) les liens entre les sites.
    J'ai configuré chaque site avec le sous-réseaux correspondant, depuis le début.

    Pour DC1, il n'y a que 2 liens NTDS : Toulouse et Perpignan comme on peut voir avec repadmin /showrepl 
    Peut-être rajouter ensuite ceux qui manque une fois le DNS résolu.

    Le test DNS dcdiag donne la même chose qu'hier.

    vendredi 20 avril 2018 07:13
  • Repadmin /showrepl te donne le résultat de la réplication pour ce DC. Il faut également vérifier les autres.

    Il est possible d'avoir une vue d'ensemble avec AD replication Status Tool.

    https://www.microsoft.com/en-us/download/details.aspx?id=30005

    Fait un DCdiag sans mettte d'option de test DNS. Copie juste les erreurs.

    Tu parles je présume de "Sites et service AD".
    Au début j'avais touché (bien m'en as mal pris) 

    Il faut configurer les sites, les sous réseaux pour chaque site et créer les liens de sites en fonction des liens et tunnel VPN qui existe vraiment. Sinon la réplication AD ne sera pas optimal

    Il faut être conscient des délai de réplication dans un environnement multi-sites : plusieurs heures.

    Je n'ai pas compris si tu as 2 domaines ou deux zone en .local. Sur un _msdsc apparait en sous dossier sur l'autre en tant que délégation. Quel sont les paramètres des zones ?

    Au début tu parles de 4 sites (A,B,C,D) puis de site 5 du coup je ne comprends pas grand chose a ton environnement.

    Tu as regardé dans sites et service AD si chaque DC à un nombre suffisant de partenaire et si aucun site n'est isolé ?

    vendredi 20 avril 2018 07:49
    Modérateur
  • Désolé pour ne pas avoir mieux détaillé l'infra. En fait, j'ai 6 sites au total dans la forêt :
    1 fôret
    1er domaine : 5 sites avec 1 DC par sites.
    2e domaine : un 6e site avec 1 DC (Perpignan dans les logs).

    Repadmin /showrepl sur DC2 - Rouen

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine compl
    et localhost
    Rouen\RN-WIN2012-DC
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
    ID de l'invocation DSA : ba7d99d0-7918-42c5-bf78-569c493d2419
    
    === INSTANCES VOISINES ENTRANTES ==================================
    
    DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:37, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 09:48:37, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            777 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:34:19.
    
    CN=Configuration,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:37, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 09:48:38, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:34:19.
    
    CN=Schema,CN=Configuration,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:38, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 09:48:38, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:34:19.
    
    DC=ForestDnsZones,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:38, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 09:48:38, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:34:20.
    
    DC=DomainDnsZones,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:38, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 09:48:38, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:34:20.
    
    DC=shc,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:38, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 09:48:38, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:34:20.
    
    Source : Perpignan\SHC-DC
    ******* 875 Échecs consécutifs depuis 2018-04-11 05:54:19
    Dernière erreur : 8524 (0x214c):
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.
    
    Contexte de nom : DC=shc,DC=local
    Source : Perpignan\SHC-DC
    ******* Avertissement : une erreur a empêché le vérificateur de cohérence des
    données d'ajouter ce lien de réplica.
    
    Source : Montauban\MTB-WIN2012-DC
    ******* 776 Échecs consécutifs depuis 2018-04-12 08:34:20
    Dernière erreur : -2146893022 (0x80090322):
                Le nom principal de la cible n'est pas correct.

    DC3 - Toulouse

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine compl
    et localhost
    Toulouse\TLS-WIN2012-DC
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
    ID de l'invocation DSA : e59c6fb0-3d03-41f3-8c50-e2e88b40a0ab
    
    === INSTANCES VOISINES ENTRANTES ==================================
    
    DC=tpr,DC=local
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 08:10:32, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            66 échecs consécutifs.
            Dernière réussite le 2018-04-12 02:11:15.
        Rouen\RN-WIN2012-DC via RPC
            GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
        Mauguio\MTP-WIN2012-DC via RPC
            GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
    
    CN=Configuration,DC=tpr,DC=local
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 08:10:30, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            66 échecs consécutifs.
            Dernière réussite le 2018-04-12 02:11:13.
        Rouen\RN-WIN2012-DC via RPC
            GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
            La dernière tentative, le 2018-04-20 08:10:30, a réussi.
        Mauguio\MTP-WIN2012-DC via RPC
            GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
            La dernière tentative, le 2018-04-20 08:10:31, a réussi.
    
    CN=Schema,CN=Configuration,DC=tpr,DC=local
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 08:10:31, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            66 échecs consécutifs.
            Dernière réussite le 2018-04-12 02:11:15.
        Rouen\RN-WIN2012-DC via RPC
            GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
            La dernière tentative, le 2018-04-20 08:10:31, a réussi.
        Mauguio\MTP-WIN2012-DC via RPC
            GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
    
    DC=ForestDnsZones,DC=tpr,DC=local
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 08:10:30, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            66 échecs consécutifs.
            Dernière réussite le 2018-04-12 02:11:15.
        Rouen\RN-WIN2012-DC via RPC
            GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
        Mauguio\MTP-WIN2012-DC via RPC
            GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
    
    DC=DomainDnsZones,DC=tpr,DC=local
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 08:10:30, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            66 échecs consécutifs.
            Dernière réussite le 2018-04-12 02:11:15.
        Rouen\RN-WIN2012-DC via RPC
            GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
        Mauguio\MTP-WIN2012-DC via RPC
            GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
    
    DC=shc,DC=local
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 08:10:30, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            66 échecs consécutifs.
            Dernière réussite le 2018-04-12 02:11:16.
        Rouen\RN-WIN2012-DC via RPC
            GUID de l'objet DSA : f9438e21-3155-4ee4-8f8b-09deb2b294eb
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
        Mauguio\MTP-WIN2012-DC via RPC
            GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
            La dernière tentative, le 2018-04-20 08:10:32, a réussi.
    
    Source : Montauban\MTB-WIN2012-DC
    ******* 66 Échecs consécutifs depuis 2018-04-12 02:11:16
    Dernière erreur : -2146893022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
    
    Source : Perpignan\SHC-DC
    ******* 814 Échecs consécutifs depuis 2018-04-11 06:01:16
    Dernière erreur : 8524 (0x214c):
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.
    
    Contexte de nom : DC=ForestDnsZones,DC=tpr,DC=local
    Source : Perpignan\SHC-DC
    ******* Avertissement : une erreur a empêché le vérificateur de cohérence des
    données d'ajouter ce lien de réplica.
    
    Contexte de nom : DC=shc,DC=local
    Source : Perpignan\SHC-DC
    ******* Avertissement : une erreur a empêché le vérificateur de cohérence des
    données d'ajouter ce lien de réplica.
    
    Contexte de nom : CN=Configuration,DC=tpr,DC=local
    Source : Perpignan\SHC-DC
    ******* Avertissement : une erreur a empêché le vérificateur de cohérence des
    données d'ajouter ce lien de réplica.

    DC3 - Mauguio

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine compl
    et localhost
    Mauguio\MTP-WIN2012-DC
    Options DSA : IS_GC
    Erreur LDAP 32 (Aucun objet correspondant) Erreur Win32 -657461934.
    GUID de l'objet DSA : f8544d0f-52c4-4107-b7eb-a81eafb46130
    ID de l'invocation DSA : d64177c1-ae6d-413b-a037-6f37ac2929e8
    
    === INSTANCES VOISINES ENTRANTES ==================================
    
    DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:02:51, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 10:02:51, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:33:34.
    
    CN=Configuration,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:02:51, a réussi.
        Perpignan\SHC-DC via RPC
            GUID de l'objet DSA : ba0a6418-d10d-426d-b1bf-9985107b3cbd
            La dernière tentative, le 2018-04-20 08:02:58, a échoué, résultat 8524 (
    0x214c):
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.
            12 échecs consécutifs.
            Dernière réussite le (never).
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 10:02:51, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:33:34.
    
    CN=Schema,CN=Configuration,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:02:52, a réussi.
        Perpignan\SHC-DC via RPC
            GUID de l'objet DSA : ba0a6418-d10d-426d-b1bf-9985107b3cbd
            La dernière tentative, le 2018-04-20 08:03:05, a échoué, résultat 8524 (
    0x214c):
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.
            12 échecs consécutifs.
            Dernière réussite le (never).
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 10:02:51, a échoué, résultat -21468
    93022 (0x80090322):
                Le nom principal de la cible n'est pas correct.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:33:34.
    
    DC=ForestDnsZones,DC=tpr,DC=local
        Perpignan\SHC-DC via RPC
            GUID de l'objet DSA : ba0a6418-d10d-426d-b1bf-9985107b3cbd
            La dernière tentative, le 2018-04-20 08:02:58, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            12 échecs consécutifs.
            Dernière réussite le (never).
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:05, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 10:02:51, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:33:34.
    
    DC=DomainDnsZones,DC=tpr,DC=local
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:05, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 10:02:51, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:33:34.
    
    DC=shc,DC=local
        Perpignan\SHC-DC via RPC
            GUID de l'objet DSA : ba0a6418-d10d-426d-b1bf-9985107b3cbd
            La dernière tentative, le 2018-04-20 08:02:58, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            12 échecs consécutifs.
            Dernière réussite le (never).
        Toulouse\TLS-WIN2012-DC via RPC
            GUID de l'objet DSA : dd27af5b-96b8-4e35-ac34-02bccb20543f
            La dernière tentative, le 2018-04-20 08:03:05, a réussi.
        Montauban\MTB-WIN2012-DC via RPC
            GUID de l'objet DSA : 63efbac3-ccdb-4c8d-951a-6ef76e12bee8
            La dernière tentative, le 2018-04-20 10:02:51, a échoué, résultat 1256 (
    0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
            774 échecs consécutifs.
            Dernière réussite le 2018-04-12 08:33:34.
    
    Source : Perpignan\SHC-DC
    ******* 12 Échecs consécutifs depuis (never)
    Dernière erreur : 1256 (0x4e8):
                Le système distant n'est pas disponible. Pour obtenir des informatio
    ns à propos du dépannage réseau, consulter l'Aide Windows.
    
    Source : Montauban\MTB-WIN2012-DC
    ******* 773 Échecs consécutifs depuis 2018-04-12 08:33:34
    Dernière erreur : -2146893022 (0x80090322):
                Le nom principal de la cible n'est pas correct.


    le dcdiag, sur DC1, seulement les erreurs :

    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : mtb-win2012-dc
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.
    
          Démarrage du test : DFSREvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe.
             ......................... Le test DFSREvent
              de MTB-WIN2012-DC a échoué
          Démarrage du test : SysVolCheck
             ......................... Le test SysVolCheck
              de MTB-WIN2012-DC a réussi
          Démarrage du test : KccEvent
             Un événement d'erreur s'est produit. ID de l'événement : 0xC000060E
                Temps généré : 04/20/2018   10:02:10
                Chaîne d'événement :
                Le site suivant ne contient pas d'objet enfant Paramètres de site NT
    DS.
             ......................... Le test KccEvent
              de MTB-WIN2012-DC a échoué
          Démarrage du test : KnowsOfRoleHolders
    
    
    
          Démarrage du test : SystemLog
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 04/20/2018   09:11:58
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur 192.168.10.251 à l'aid
    e des protocoles configurés ; demande du PID      2b4 (C:\Windows\system32\dcdia
    g.exe).
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 04/20/2018   09:12:10
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur fec0:0:0:ffff::1 à l'a
    ide des protocoles configurés ; demande du PID      2b4 (C:\Windows\system32\dcd
    iag.exe).
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 04/20/2018   09:12:22
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur fec0:0:0:ffff::2 à l'a
    ide des protocoles configurés ; demande du PID      2b4 (C:\Windows\system32\dcd
    iag.exe).
             Un événement d'erreur s'est produit. ID de l'événement : 0x0000272C
                Temps généré : 04/20/2018   09:12:34
                Chaîne d'événement :
                DCOM n'a pas pu communiquer avec l'ordinateur fec0:0:0:ffff::3 à l'a
    ide des protocoles configurés ; demande du PID      2b4 (C:\Windows\system32\dcd
    iag.exe).

    Active directory replication status tool, colonne replication status collection details :
    tout est success, sauf ATB, le DC que j'ai dépromoté.

    Je n'ai pas compris si tu as 2 domaines ou deux zone en .local
    J'ai 2 domaines en .local
    Le .fr est une zone rajoutée.

    DC1 n'avait que 2 liens, j'ai rajouté les 2 manquant.

    - Tous les sites sont reliés par VPN.

    Les paramètres des 2 zones sont bien comme sur la photo écran.

    * Les liens entre les sites :
    A rajouter uniquement sur DC1 ou les autres manquant aussi ?


    vendredi 20 avril 2018 08:36
  • Source : Perpignan\SHC-DC
    ******* 814 Échecs consécutifs depuis 2018-04-11 06:01:16
    Dernière erreur : 8524 (0x214c):
                Échec de l'opération DSA en raison d'une défaillance de la recherche
     DNS.

    Dernière réussite le 2018-04-12 08:34:19.

    C'est la que tu as fait ta restauration ? Tu as bien fait une restauration de l'état du système avec un outil supporté ?

    Sinon au niveau DNS tes zones sont configurés pour être répliqué sur tout les DC de la forêt ou du domaine ?

    Quand tu crée un domaine enfant : enfant.parent.local, AD crée la délégation de zone pour enfant dans la zone parent.

    Si tu crée une nouvelle arborécence nouveaudomaine.local il n'est pas possible de faire une délégation dans la zone parent .local. Il faut donc s'assurer que tout les DCs voit la même chose. D'ou l'intérêt de mettre le même DNS primaire temporairement. Il faut toujours garder un secondaire ; lui même par exemple.

    Tu peux utiliser nslookup sur chaque DC pour vérifier ce que sait résoudre chaque serveur.

    vendredi 20 avril 2018 10:19
    Modérateur
  • J'ai fait une restauration du système avec Windows Backup, en prenant celle du 11/04 au soir, à 20h.
    Les zones sont configurées pour être répliquées sur tous les DC, j'ai laissé les paramètres par défaut, comme sur ta photo écran plus haut.

    Les DNS ont l'IP du DC1 depuis ce matin.

    nslookup : 
    Les 4 DC trouvent les autres de leur domaine, pas le DC du 2e domaine,
    sauf DC1, il trouve tous les DC + celui du 2e domaine.
    Le DC du 2e domaine trouve tous les DC.
    Le DC dépromoté ne trouve rien.

    15h40 : je met à jour le nslookup.
    j'ai redémarré le DC dépromoté, il trouve tous les DC, y compris celui du 2e domaine.

    Aussi, je n'ai pas redémarré le NETLOGON + la commande ipconfig.
    Je vais le faire sur l'un pour voir.

    vendredi 20 avril 2018 12:52
  • Normalement il devrait voir la même chose s'ils utilisent le même DNS primaire. Les protocles DNS ne sont pas bloqués entre les sites ?

    Toutes les zones DNS sont sur  répliqués sur tous les contrôleur de domaine de la forêt ?

    Sur le serveur DNS qui fait source pour tout le monde, il a bien l'ensemble des zones ?

    Les enregistrement avec le guid existent pour tous les DCs  sur ce DNS?

    Tous les DCs sont à l'heure ?

    Active directory replication status tool, colonne replication status collection details :
    tout est success, sauf ATB, le DC que j'ai dépromoté.

    Chaque serveur a au moins 2 partenaires ? Tous les sites ont des connexions entre eux ou il existe un lien de chaque site distant vers un site principal ?

    Il ne devrait plus apparaître si tu l'as rétrogradé.  S'il n'est vraiment plus DCs va dans sites et services AD sur les autres DCs, retrouve le serveur et supprimes la partie "NTDS Settings" si elle est encore présente. Ne le fait jamais pour un serveur qui est encore contrôleur de domaine.



    vendredi 20 avril 2018 13:48
    Modérateur
  • Aucun blocage entre les sites par le VPN.

    Toutes les zones DNS sont sur  répliqués sur tous les contrôleur de domaine de la forêt ?
    Zone domaine2.local sur son DC :

    sur le DC1 du domaine1.local, je l'avais ajoutée manuellement, elle se met bien à jour :

    Zone _msdcs.domaine1.local, sur DC1 du domaine2 :

    j'ai exactement la même chose (dernière image) sur tous les DC du domaine1.

    Sur le serveur DNS qui fait source pour tout le monde, il a bien l'ensemble des zones ?
    Oui,

    Zone sur DC1 domaine 1

    Zone sur DC 1 du domaine 2

    le GUID 63efbac3-ccdb-4c8d-951a-6ef76e12bee8 figure bien dans chaque DC.
    Les DC ont bien la même heure, à 2 secondes près pour l'un.

    Chaque serveur a 4 partenaires, sur DC1. Je dois les ajouter si besoin aux autres sites ?

    Effectivement, j'ai encore le DC ATB et ses liens sur les autres DC.
    Je supprime les liens. Je supprime le DC ATB ?



    vendredi 20 avril 2018 14:42
  • Les zones sont configurées pour être répliquées sur tous les DC, j'ai laissé les paramètres par défaut, comme sur ta photo écran plus haut.

    Sur la première image tu as, Tout les serveurs DNS de ce domaine. Sur la deuxième la zone n'est pas intégré AD et c'est une zone secondaire ?!?.

    Sur a zone de la forêt _msdcs tu as bien sur tout les DCs de la forêt.

    Si les zones ne sont pas répliqués sur tout les DC de la forêt il faut que tu rajoutes des redirecteur conditionnel afin que tout les domaines soient résolus depuis tout les DNS...

    Effectivement, j'ai encore le DC ATB et ses liens sur les autres DC.
    Je supprime les liens. Je supprime le DC ATB ?

    On va d'abord essayer d'avoir une conf DNS propre et la résolution de nom. 

    Si tu peux détailler les liens qui existent vraiment entre les sites (VPN par exemple) , cela pourrait aider a faire une topologie propre. Les liens de sites dans l'AD doivent représentés les liens de connexions réél entre les sites (VPN / MPLS). 


    vendredi 20 avril 2018 15:06
    Modérateur
  • Sur la première image tu as, Tout les serveurs DNS de ce domaine.
    1ère image : Propriétés de domaine2.local - "Tous les serveurs de ce domaine".
    3e image : Propriétés de _msdcs.domaine1.local : j'ai vérifié sur DC1.domaine2,
    J'ai bien tous les serveurs DNS de cette forêt.

    -> si j'ai "tous les serveurs DNS de cette forêt", dans _msdcs.domaine1 et _msdcs.domaine2, c'est bon ?

    Sur la deuxième la zone n'est pas intégré AD et c'est une zone secondaire ?!?
    C'est la zone de domaine2.local mise sur domaine1.local, depuis DC1.
    Quand j'ai créé DC1.domaine2.local, j'ai ajouté cette zone en secondaire sur DC1.domaine1.local pensant qu'il fallait faire ainsi pour avoir la liste des hôtes de domaine2.local sur domaine1.local, alors qu'une résolution DNS s'en occupe...

    Du coup, je viens de voir que je n'ai pas de _msdcs.domaine2.local sur DC1.domaine1.local (comme sur la photo), car ce n'est pas une zone principale.

    --> il me faudra effacer cette zone et la refaire en principale ?

    Sur a zone de la forêt _msdcs tu as bien sur tout les DCs de la forêt

     contenu msdcs.domaine1.local, depuis DC1.domaine1.local (là où tous les DNS primaire des autres DC pointent) :

    2 trucs que je trouve bizarres.

    - contenu de msdcs enfant de domaine1.local :

    --> 

    je n'ai qu'un DC et ce n'est pas DC1.
    Ajouter tous les DC ?
    J'avais mis le DC1 dans mes recherches de solution, la restauration de la sauvegarde a remis le DC2.

    Sur DC1.domaine2.local, au même endroit que respectivement l'image au dessus pour dc1.domaine1.local,
    le contenu de _msdcs enfant de domaine2.local est identique au _msdcs parent : 
    _msdcs.domaine1.local :
    il contient des dossiers DC et PDC.

    --> c'est normal de ne pas avoir les dossiers DC et PDC dans _msdcs enfant de domaine1.local, comme pour dc1.domaine2.local ?

    j'avais refait cette zone _msdcs en délégation. c'est le bon fonctionnement ?

    2e truc :
    Dans propriété de _msdcs.domaine1.local, onglet serveur de nom, j'ai bien tous les DC des 2 domaines.
    Mais DC1.domaine1.local avait une adresse IP inconnue.
    Je l'ai corrigé par son IP.

    Si les zones ne sont pas répliqués sur tout les DC de la forêt il faut que tu rajoutes des redirecteur conditionnel afin que tout les domaines soient résolus depuis tout les DNS...
    Chaque DC de tous les domaines ont les 2 zones.
    Peut-être apporter les même corrections comme ci-dessus, mais j'ai bien le DNS primaire de chaque DC vers DC1.domaine1.local

    VPN :
    Tous les sites ont accès aux autres sites. Sans exception.

    Les liens de sites dans l'AD doivent représentés les liens de connexions réél entre les sites (VPN / MPLS).
    Sur DC1, c'est bon.
    Je corrige sur les autres DC des autres sites, pour avoir la même chose ?

    samedi 21 avril 2018 07:07
  • -> si j'ai "tous les serveurs DNS de cette forêt", dans _msdcs.domaine1 et _msdcs.domaine2, c'est bon ?

    _msdcs.domaine2 => je ne vois pas a quoi ca correspond. ..

    Normalement tu ne devrait avoir qu'une seul zone _msdcs pour la forêt. C'est une seul forêt ?

    Mets :

    -zone intégré AD

    - tout les dns de la forêt

    -mise à jour sécurisé

    Pour toutes les zones DNS, pour que tous les serveurs soit en mesure de résoudre tous les noms, surtout pour celui qui sert de DNS primaire. Si la zone de domaine 2 n'est répliqué que sur les serveurs dns du domaine, tu peux également configuré des redirecteurs conditionnel stocké dans AD sur DC1 (cela évite de le faire sur tous les domaines).

    Dans ce cas tu n'as pas besoin de zone secondaire. 

    Chaque DC de tous les domaines ont les 2 zones

    Tu as 3 zones, les 2 zones de chaque domaine "domaine1.local" et "domaine2.local" et la zone de la forêt _msdcs dans "domaine1.local", si domaine1.local est le domaine racine.

    Par défaut la délégation de _msdcs apparait dans "domaine1.local", il n'y a pas de _msdcs dans domaine2.

    Je ne vois pas pourquoi tu as des zones secondaires dans tes images.

    Sur DC1, c'est bon.

    Ça  se configure sur la forêt donc si ces bons sur DC1, c'est bon pour la forêt, si la réplication fonctionne.

    Tu dois faire une conf propre pour les DNS, redémarrer netlogon et vérifier si la réplication fonctionne. Tout le reste vient après.




    samedi 21 avril 2018 10:10
    Modérateur
  • msdcs.domaine2 => je ne vois pas a quoi ca correspond. ..
    C'était pour indiquer le contenu de msdcs sur le DC1 du domaine2.
    Du coup, avec ta réponse, je comprend que cette zone est identique partout car c'est la forêt.

    Normalement tu ne devrait avoir qu'une seul zone _msdcs pour la forêt. C'est une seul forêt ?
    Oui, 1 seule forêt avec 2 domaine. domaine1.local est bien le nom racine de la forêt.
    Cette zone est bien intégré AD, tous les DNS de la forêt, maj sécurisé.

    Ok pour la suite de ta réponse sur cette partie. J'ai compris.

    En suivant à tes questions :
    la zone secondaire domaine2.local sur DC1.domaine1.local, c'est moi qui l'ai rajouté manuellement.
    J'ai compris quelle est inutile, je l'ai supprimée (d'ailleurs, pas de zone domaine1.local quand je regarde les DNS du DC1 du domaine2).

    Il y a d'autres trucs bizarres :
    - Depuis la console DNS sur le serveur DC1.domaine2.local, si je change de domaine pour domaine1, je vais avoir un message du genre authentification refusée.
    ça doit être normal vu l'état de mon DNS.

    Avec la commande dcdiag /test:dns, j'ai ceci comme erreur (indiqué au premier message) :

    [Broken delegated domain domain.local.domain.local.]

    est-ce que ça ne pourrait pas me guider pour trouver le problème DNS, car pas normal d'avoir domain.local.domain.local ?

    Ok, je comprend que je dois avoir un DNS propre sur DC1.
    J'ai testé sur un DC de redémarrer NETLOGON + ipconfig /registerdns, puis la commande :

    repadmin /replicate DC2.domaine1.local DC1.domaine1.local dc=domaine1,dc=local
    Échec de DsReplicaSync() avec le statut -2146893022 (0x80090322):
        Le nom principal de la cible n'est pas correct.
    
    n'a pas fonctionné.


    mardi 24 avril 2018 16:51
  • Je n'ai pas tout compris sur tes modifications. 

    Par défaut .msdcs est répliqué sur l'ensemble des DNS de la forêt. domaine1.local sur les DC du domaine 1 et domaine2.local sur l'unique DC du domaine 2. Hors tous les DCs doivent pouvoir résoudre les noms.

    Donc soit tu crée des redirecteurs :

    http://pbarth.fr/node/24

    Soit comme je te l'ai suggéré tu modifie domaine 1 et domaine 2 pour être répliqué sur tous les DC de la forêt.

    Tu fais pointer dans la conf réseau le DNS primaire de tous les DCs sur le même serveur DNS qui est a jour.

    Tu fais un ipconfig /registerdns et tu redémarres le service Netlogon sur tous les Dcs, un après un.

    Si tu as fais cela nslookup devrait permettre de vérifier que tous les DC peuvent résoudre les noms des 2 domaines.

    C'est a ce moment la qu'il faudra regarder pour la réplication AD.

    Tu as plusieurs problèmes et il faut les résoudre un par un en commençant par celui qui peut être la cause des autres.

    L'outil de base pour vérifier la résolution DNS c'est Nslookup

    http://pbarth.fr/node/22

    Si tu fais nslookup domaine1.local tu devrais avoir la liste des DCs du domaine.

    Depuis la console DNS sur le serveur DC1.domaine2.local, si je change de domaine pour domaine1, je vais avoir un message du genre authentification refusée.

    L'administrateur du domaine 2 n'a pas de droit d’administration par défaut sur le DNS du domaine 1 (racine).

    L'administrateur du domaine 1 qui est également administrateur de l'entreprise dispose par contre de droit sur le domaine 2.


    mardi 24 avril 2018 17:10
    Modérateur
  • Soit comme je te l'ai suggéré tu modifie domaine 1 et domaine 2 pour être répliqué sur tous les DC de la forêt

    J'ai ajouté les liens de réplication dans "sites et services AD", pour tous les DC depuis les autres DC, sur DC1.domaine1.local (en ouvrant une session dessus).
    Pas fais sur DC2, DC3, DC4, directement en connectant dessus.
    mais la réplication ne se fait pas.

    Tu fais pointer dans la conf réseau le DNS primaire de tous les DCs sur le même serveur DNS qui est a jour.
    Tous les DC du domaine1.local et le DC du domaine2.local ont leur DNS primaire vers DC1.domaine1.local (pour info, déjà fait).

    Tu fais un ipconfig /registerdns et tu redémarres le service Netlogon sur tous les Dcs, un après un.
    Fais un par un, à la suite sur tous les DC.

    Si tu as fais cela nslookup devrait permettre de vérifier que tous les DC peuvent résoudre les noms des 2 domaines.
    nslookup :
    - sur DC1.domaine1.local : tous les DC pour domaine1.local et celui de domaine2.local
    - les autres DC de domaine1.local : tous les DC pour domaine1.local mais pas celui de domaine2.local
    (pas de zone secondaire du domaine2.local affiché dans le gestionnaire DNS).

    Choses que j'ai remarqué :

    Je vais appeller siteF le site où se trouve DC1.domaine2.local.

    en regardant dans dans _msdcs.domaine1.local, DC, _sites, SiteF, _tcp :
    pour kerberos et ldap, les données sont DC3 et non l'hôte DC1.domaine2.local.

    Mais ça a dû toujours fonctionner comme ça.

    J'ai essayé en mettant DC1.domaine2.local, vider le cache, pareil.
    J'ai remis l'information initiale.

    mercredi 25 avril 2018 16:47

  • J'ai ajouté les liens de réplication dans "sites et services AD", pour tous les DC depuis les autres DC, sur DC1.domaine1.local (en ouvrant une session dessus).

    JE PARLE DE CELA  ET CA NA RIEN A VOIR AVEC SITES ET SERVICES AD.

      POUR TOUTES LES ZONES ET PAS QUE _MSDCS. 

    domaine1.local et domaine2.local

    Tu clique sur modifier à droite et tu prends tout les DCs de la forêt

    ou bien tu crée un redirecteur condifionnel sur le serveur qui sert de DNS primaire pour qu'il puisse résoudre l'autre domaine :

    ensuite tu refais les autres étapes (netlogon , ipconfig /registerdns ... )

    Le serveur qui sert de DNS primaire doit pouvoir résoudre toutes les zones domaine1.local, domaine2.local et _msdsc.domaine1.local.

    TES LIENS DANS SITE ET SERVICES NE SERVIRONT A RIEN SI LA RESOLUTION DNS NE MARCHE PAS !

    en regardant dans dans _msdcs.domaine1.local, DC, _sites, SiteF, _tcp :
    pour kerberos et ldap, les données sont DC3 et non l'hôte DC1.domaine2.local.
    Soit DC3 c'est enregistré comme DC priviliégié lors de la création du site soit les sites, sous réseaux sont mal configuré. Dans tout les cas cela n'a AUCUN LIEN avec tes erreurs de réplications et tes problèmes DNS.

    C'est juste que des postes clients de ce site peuvent demander à DC3 de faire les authentification. C'est pas optimal mais ce n'est pas le problème.


    mercredi 25 avril 2018 18:25
    Modérateur
  • Ok, voila ce que j'ai fait, sur DC1.domaine1.local :
    zone domaine1.local : réplication sur tous les DNS de la forêt
    zone domaine2.local : je l'ai supprimée (car je l'avais ajoutée au début, donc, pas mise par Windows) et mis en redirecteur conditionnel

    Puis les commandes ipconfig /registerdns et redémarrage de netlogon, sur tous les DC.

    mercredi 25 avril 2018 20:47
  • On peut supposer donc que le DNS qui sert de référence actuellement peut résoudre tout les noms (nslookuppermet de vérifier).

    Vérifies que l'heure et le fuseau horaire soit identique sur tous les DCs.

    Maintenant tu vas dans la console sites et services AD et tu vérifies que tout les DCs existant ont encore des NTDSSettings, et qui si un DC n'existent plus (rétrogradé) il n'a plus de NTDSSettings

    Dans NTDSSettings chaque DC doit avoir au moins 2 partenaire de réplication, mais il n'est pas utile de les mettres tous.

    Si c'est bon tu install 

    AD replication status Tool et tu vérifies toute la réplication 

    (attention à la latence de réplication en multi-sites avec 1 cycle toute les 180 minutes par défaut)

    https://www.microsoft.com/en-us/download/details.aspx?id=30005



    jeudi 26 avril 2018 05:37
    Modérateur
  • Sur DC1, nslookup :
    domaine1.local me donne les IPs des 4 DCs.
    domaine2.local me donne l'IP de DC1.domaine2.local

    L'heure et le fuseau horaire est identique sur tous les DCs.

    Console Sites & Services AD : chaque DC a les 4 partenaires en réplication (ils y étaient déjà).

    Résultat AD replication status tool :

    C'est en erreur pour :
    DC1 vers DC2 : "the target principal name is incorrect" et "le système distant n'est pas disponible" (ping ok).
    DC1 vers DC3 : "the target principal name is incorrect" et "le système distant n'est pas disponible" (ping ok).

    DC1.domaine2.local vers DC3 : Echec de l'opération DSA en raison d'une défaillance de la recherche DNS. et "le système distant n'est pas disponible" (ping ok).

    DC4 vers DC1.domaine2.local : accès refusé et "le système distant n'est pas disponible", pas de ping, pas de domaine2.local dans "redirecteurs conditionnels" sur DC4.
    DC1 vers DC4 : "the target principal name is incorrect" et "le système distant n'est pas disponible" (ping ok).

    Il n'y a que 2 réplications pour DC1 dans la liste :
    DC1 vers DC2 et DC3.
    Ce sont 2 liens ajoutés manuellement.
    Vers DC4 et DC1.domaine2.local, les liens ont été "générés automatiquement", pas indiqués dans AD replication status Tool.

    jeudi 26 avril 2018 06:48
  • A première vue le DC1 a l'air d'avoir pas mal de soucis et c'est lui qui sert de DNS primaire  je crois...

    Sur le serveur qui fait office de DNS primaire,  dans la zone DNS de la forêt vérifie que le guid est correct par rapport au nom complet du serveur :

    Tu retrouveras le guid de chaque serveur dans repadmin /showrepl, (voir image ci dessus)

    Ensuite vérifie dans la zone du domaine correspondante au serveur (domaine1.local ou domaine2.local) que chaque serveur a bien le bon enregistrement A


    Voir aussi :

    https://support.microsoft.com/en-us/help/288167/error-message-target-principal-name-is-incorrect-when-manually-replica

    Quel DC a été restauré ? 

    La sauvegarde utilisé date de quand ?

    Tu as réinitialisé le mot de passe du compte d'ordinateur du DC après la restauration ? (voir lien)

    Quel DC a les rôles FSMO ? voir netdom query fsmo



    jeudi 26 avril 2018 13:14
    Modérateur
  • j'ai vérifié tous les guid vu dans la commande repadmin /showrepl.
    également, un ping avec guid.domaine.local, ok.

    chaque zone de domaine.local a bien un enregistrement "hôte A" avec la bonne IP.

    La sauvegarde utilisé date de quand ?
    A part le test expliqué plus haut, je n'ai pas utilisé de sauvegarde.
    A la fin du test, j'ai remis la dernière sauvegarde. C'était un soir, elle n'avait que quelques heures.

    Tu as réinitialisé le mot de passe du compte d'ordinateur du DC après la restauration ? (voir lien)
    Non. 
    J'ai résolu cette erreur ainsi :
    sur le serveur cible, arrêt du service KDC.
    Réplication manuelle avec 

    repadmin /replicate cible.domaine.local sourcedomaine.local dc=domaine,dc=local

    Puis j'ai redémarré le service.
    La réplication réussi à nouveau avec la même commande. En espérant que ce n'est pas temporaire.
    C'était l'erreur "-2146893022"

    Quel DC a les rôles FSMO ? voir netdom query fsmo
    DC1 a tous les rôles FSMO

    Comme erreur restante :
    8524 : DC1.domaine2.local vers DC3.domaine1.local sur CN=Configuration et CN=Schema
    5 : DC4.domaine1.local vers DC1.domaine2.local

    jeudi 26 avril 2018 14:47
  • Mise à jour (j'ai rafraîchi cette page, j'ai vu que tu m'as apporté une piste pour ces erreurs, pendant que je taper cette mise à jour) :

    Suite aux commandes pour résoudre l'erreur "-2146893022", les 2 dernières cités plus haut ont maintenant disparues.

    AD :
    Le résultat de AD Replication Status Tool est propre.

    Je passe le 1er écran pour re-promoter le dernier DC.
    Je ne suis pas allé plus loin car son site n'est pas proposé :
    Depuis DC1.domaine.local, j'avais enlevé son site dans la console "AD sites et services" dans la semaine.
    Je l'ai remis. Il n'est pas encore proposé dans la liste des sites pendant l'assistant.

    L'AD sur les autres sites se met bien à jour.
    J'ai créé un utilisateur de test sur DC1.domaine.local, il s'est ajouté sur les autres DC, avec l'opération manuelle. Je vais en créer un autre et voir plus tard si la réplication se fait bien.

    DNS :
    Le contenu DNS ne se met pas à jour sur les autres DC.
    par exemple, j'avais supprimé le site du DC dé-promoté dans la console gestion DNS du DC1.domaine1.local.

    J'ai accès à la console "gestion des stratégies de groupe" sur chaque DC (impossible avant).

    jeudi 26 avril 2018 15:45
  • Le résultat de AD Replication Status Tool est propre.

    Bonne nouvelle.

    La commande repadmin /replicate va lancer la réplication de suite plutôt que d'attendre. Mais elle ne corrige pas forcément le problème. Comme expliqué avant en multi sites, même si tu corriges la cause, des erreurs peuvent apparaître dans AD replication Status tool et repadmin encore pendant plusieurs heures, en fonction des liens de réplication.

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742152(v=ws.10)

    Un article sur la latence de réplication en multi sites (perso j'ai déja vu des deltas supérieurs à 6heures) :

    http://pbarth.fr/node/143

    Je passe le 1er écran pour re-promoter le dernier DC.

    Perso j'aurai attendu quelques heures et refait un DCdiag (sans option testDNS). Le DCdiag en général redevient propre après 24h, car il recherche les erreurs dans le journal sur cette période et même si elle est déjà résolu.

    A part le test expliqué plus haut, je n'ai pas utilisé de sauvegarde.
    A la fin du test, j'ai remis la dernière sauvegarde. C'était un soir, elle n'avait que quelques heures.

    Quand tu parles de test je ne pense pas que tu l'as fait dans un environnement de test isolé.

    Chaque ordinateur a un compte et un mot de passe dans l'AD. Le mot de passe change automatiquement sur un cycle de 30 jours.

    Admettons tu as une sauvegarde S1 d'il y a 15 jours et une S2 de hier. Tu décide de restaurer S1 à 10h00. Le DC change automatiquement son MDP à 10h30 et le réplique à 11h00 avec DC2. Il le répliquera avec DC3 à 12h00. Sauf que à 11h15 qui restaure une autre sauvegarde S2 et tu reviens sur un autre mot de passe. Cela peut mettre un peu la pagaille. 

    Autre élément lorsque tu restaure un DC, après le redémarrage il va automatiquement rattrapé le retard entre la date de la sauvegarde et l'instant présent en répliquant avec les autres DCs. Restauré une autre sauvegarde plus récente n'apportera pas grand chose.

    En général on ne restaure pas un DC HS on le refait. Sauf s'il faut restaurer le domaine entier, on restaure le premier, on nettoye l'AD et on refait les autres.

    DNS :
    Le contenu DNS ne se met pas à jour sur les autres DC.
    par exemple, j'avais supprimé le site du DC dé-promoté dans la console gestion DNS du DC1.domaine1.local.Tu as supprimé le site dans les zone DNS ?

    Si tes zones sont intégrés AD, la réplication AD devrait les mettres à jours. Si la réplication ne les mets pas à jours, tu devrais avoir une erreur dans AD Replication Status Tool. 

    Je ne comprends pas trop, ton information...

    jeudi 26 avril 2018 16:36
    Modérateur
  • J'avais réglé l'erreur -2146893022 par :
    https://support.microsoft.com/fr-fr/help/2090913/troubleshooting-ad-replication-error-2146893022-the-target-principal-n

    Ce matin :
    L'AD Replication Status Tool est toujours propre.
    Chaque user créé sur chaque DC se retrouve sur tous les DC de son domaine.

    Re-promoter le dernier DC : Je ne l'avais pas fait. Je me suis pas mal exprimé.
    Avant je ne passais pas le 1er écran de l'assistant.
    J'ai seulement testé de passer ce 1er écran pour voir "si ça passe". Je ne suis pas allé plus loin.

    A l'écran suivant, où l'on peut choisir d'attribuer un site au nouveau DC, je n'ai pas le site correspondant ajouté sur DC1.domaine.local dans la console "AD sites et services".
    J'ai bien attribué le sous-réseau.
    L'IP du DNS primaire est bien DC1.domaine1.local.

    Tu as supprimé le site dans les zone DNS ?
    Le site apparaît dans les zones DNS, il me semble l'avoir supprimé avant de l'avoir ajouté.
    Je le supprime dans les zones DNS + la console site et service AD, et je le recréé ?

    DCDIAG :
    Me retourne l'erreur :

          Démarrage du test : DFSREvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe.
             ......................... Le test DFSREvent
              de DC1 a échoué

    J'ai aussi l'avertissement suivant :

             Un événement d'avertissement s'est produit. ID de l'événement :
             0x000016AF
                Temps généré : 04/27/2018   08:28:54
                Chaîne d'événement :
                Lors des 4.15 dernières heures, 58 ordinateurs client se sont connec
    tés à ce contrôleur de domaine, leurs adresses IP ne correspondant à aucun des s
    ites existants de l'entreprise. Ces clients ont donc des sites indéfinis et peuv
    ent se connecter à n'importe quel contrôleur de domaine, y compris ceux se trouv
    ant dans des emplacements distants éloignés des clients. 
    Normal vu le DNS primaire des autres DCs vers DC1.

    Je vais créé un enregistrement DNS, un hôte pour voir la réplication.

    Merci pour les explications sur les MDP ordinateur.


    vendredi 27 avril 2018 07:31
  •   Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe.

    Si tu fais un net share sur le serveur, tu as bien les partages sysvol et netlogon ?

    Il est possible que l'erreur soit déjà corrigé mais comme dcdiag affiche les erreurs trouvé sur 24h il apparaît encore ...

    Si tu crée un fichier test.txt sur un autre DC du même site (je ne sais si tu en as, sinon prend un autre mais ce sera plus long), le fichier devrai appraitre sur les autres DCs et entre autre sur DC1. Tu peux aussi mettre un fichier sur netlogon de DC1 et regarder sur les autres? C'est un moyen rapide de tester la réplication SYSVOL.

    Sinon la réplication sysvol, c'est une réplication des fichiers et n'a rien a voir avec la réplication AD.

    Sysvol peut être répliqué de deux manières selon le niveau fonctionnel du domaine lors de sa création.

    Voir :

    http://pbarth.fr/node/75

    Comment corrigé :

    DFS-R http://pbarth.fr/node/135

    ou 

    NTFRS : https://support.microsoft.com/fr-fr/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

    Lors des 4.15 dernières heures, 58 ordinateurs client se sont connec
    tés à ce contrôleur de domaine, leurs adresses IP ne correspondant à aucun des s
    ites existants de l'entreprise. 

    Tu as bien créé les sous réseaux et configuré les sites ?

    http://pbarth.fr/node/127

    vendredi 27 avril 2018 11:35
    Modérateur
  • J'ai créé un fichier dans le NETLOGON du DC1.domaine1.local, le fichier s'est répliqué à 2 autres DCs sur 3.

    Je pars en congés ce soir, 15 jours.
    Merci pour tes liens, je les regarderai à mon retour.
    Bon week-end.

    vendredi 27 avril 2018 14:19
  • Bonjour Philippe,
    Je n'ai pas répondu à mon retour de congé.
    J'ai préféré terminer d'autres dossiers pour être plus disponible ensuite pour mon problème.

    J'ai consulté les liens.
    J'ai appliqué une restauration autoritaire sysvol depuis DC1.
    ça a fonctionné. Le DC qui n'avait pas les fichiers de test créé en avril les a reçus.
    J'ai créé un nouveau fichier de test sur DC1, il a bien été répliqué sur tous les DC du domaine 1.

    A propos de ton tuto :
    au début de la restauration autoritaire, tu expliques changer l'option :
    msDFSR-options=1

    Une fois terminée, faut-il remettre msDFSR-options=<vide> ?
    (sauf erreur de ma part, non indiqué dans le tuto).

    Etat des lieux :
    AD Replication Status Tool : tout est ok.
    Sysvol et Netlogon sont bien répliqués partout.
    J'ai ajouté une GPO de test : elle est bien répliquée avec son contenu partout.
    Rapport de santé de réplication DFS : ok. Les 4 serveurs du domaine 1 sont dans le vert.

    mais, j'ai des erreurs avec dcdiag :

     
         Démarrage du test : DFSREvent
             Erreurs ou avertissements détectés au cours des dernières 24 heures
             après le partage de SYSVOL. Des problèmes liés à l'échec de la
             réplication SYSVOL peuvent provoquer des problèmes de Stratégie de
             groupe.
             ......................... Le test DFSREvent
              de DC1 a échoué
          Démarrage du test : KccEvent
             Un événement d'erreur s'est produit. ID de l'événement : 0xC000060E
                Temps généré : 05/29/2018   10:49:22
                Chaîne d'événement :
                Le site suivant ne contient pas d'objet enfant Paramètres de site NT
    DS.
             ......................... Le test KccEvent
              de DC a échoué

    Dans l'observateur d’événements, j'ai l'erreur DFSR 5002.

    Le service de réplication DFS a rencontré une erreur lors de la communication avec le partenaire DC2 pour le groupe de réplication Domain System Volume. 
    
    Adresse DNS du partenaire : dc2.domaine1.local 
    
    Données facultatives, le cas échéant : 
    Adresse WINS du partenaire : DC2
    Adresse IP du partenaire : <IP du DC2>
    
    Le service réessaiera d’établir la connexion régulièrement. 
    
    Informations supplémentaires : 
    Erreur : 9036 (En pause pour la sauvegarde ou la restauration.) 
    ID de la connexion : 929E5EC8-FBA0-45FD-AA07-4544FF52B2B1 
    ID du groupe de réplication : 36154F52-A9EB-4D4F-8845-0270A4E90F05
    

    Or, les fichiers dans SYSVOL, NETLOGON et les Stratégies de Groupe sont bien répliqués sur DC2 depuis DC1.
    Les 2 sites sont en fibres. Pas de paquets perdus aux heures de l'erreur.

    les commandes ping dc2.domaine1.local et nslookup dc2.domaine1.local sont ok.

    Avec ce serveur, j'ai également l'événement DFSR 5004 :

    Le service de réplication DFS a établi une connexion entrante avec le partenaire DC2 pour le groupe de réplication Domain System Volume. 
    Donc en entrant, c'est ok.

    Pour l'erreur du site ne contenant pas d'enfant, dans l'observateur d'événement :

    Le site suivant ne contient pas d’objet enfant Paramètres de site NTDS. 
     
    Site :
    CN=Site3,CN=Sites,CN=Configuration,DC=domaine,DC=local 
     
    Action utilisateur 
    Créez un objet Paramètres de site NTDS pour ce site.

    Dans "sites et services active directory", NTDS settings du serveur DC3 du site 3 a bien les autres DC.

          
    mardi 29 mai 2018 09:38
  • Bonjour,
    j'ai résolu la première erreur en créant un nouveau site :
    - renommer le site Site2 concerné par DC2 en Site2-old.
    - créer un nouveau site Site2, attribuer le sous-réseau.
    - déplacer le serveur DC2 dans site2.

    Pour l'autre erreur, je regarderai d'ici la fin juillet. 
    Je ne pourrais pas bien m'y consacrer avant, mais je posterai la réponse si je trouve, si ça peut aider.

    jeudi 7 juin 2018 14:48