none
Problème replication AD Tombstone dépassé RRS feed

  • Discussion générale

  • Bonjour,

    Je solicite votre aide car via l'outil ad repl status ainsi que dcdiag, j'arrive à voir que j'ai chez un client un DC qui a dépassé le tombstone life. Le problème est que je n'arrive pas à comprendre lequel des 2 DC c'est.

    Comment l'identifier ?

    Sur le premier des DC le dcdiag est OK.

    Sur le second, j'ai pleins d'erreur qui me disent qu'il n'arrive plus à communiqué avec le premier depuis 08/2019 et que le tombstone est dépassé.

    C'est donc le premier qui a un problème c'est bien ça ?

    Pour résoudre ca, il faut que je seize les role pour les avoir sur le second, dépromouvoir puis repromouvoir le DC1 et retransférer les roles dessus.

    Est ce qu'il y a certains impacts à prévoir ?Je suppose qu'il peut y avoir des erreurs pendant les 10 prochaines heures (durée du TGT)

    Ce problème provoque des erreur de type "le nom du compte cible est incorect" car il y  a un problème lors du déchiffrement des tickets je suppose...

    Merci par avance pour vos retours


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 14 janvier 2020 12:19

Toutes les réponses

  • Bonjour Matteu31400,

    Pour ce genre de problème , afin de rétablir la réplication entre les DC si le tombstone est dépassé , essaie de acttiver le mode sctric replication sur tous les DCs.

    Tu peux l'activer via la clé Strict Replication Consistency ou via la commande  repadmin /regkey * +strict:


    The registry key for strict replication is the following: 

    Path: hklm\system\ccs\services\ntds\parameters
    Setting: Strict Replication Consistency                                 <- not case sensitive
    Type: reg_dword
    Value: 0 | 1

    Pour avoir plus de détails , je t'invite à consulter ce lien : Active Directory Replication Error 8614 The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 14 janvier 2020 13:40
    Modérateur
  • Bonjour et merci pour ton retour.

    Toutefois, je souhaite vraiment dépromouvoir un des DCs parce que je vais me retrouver avec des problèmes sur certains objets qui ont été modifiés des 2 côtés sinon ou des choses comme ça je suppose et je n'ai pas envie.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    mercredi 15 janvier 2020 10:21
  • Aujourd'hui, voilà mon constat :

    DC1 réplique bien depuis DC2

    DC2 ne réplique pas depuis DC1 car tombstone dépassé.

    Dans cette situation, est ce que je peux dépromouvoir DC2 est espérer qu'en installant à nouveau les services AD tout va fonctionner ou bien il y a un FLAG sur DC1 qui va l'empêcher de répliquer avec qui que ce soit ?

    Merci par avance :)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 16 janvier 2020 10:37
  • Bonjour Matteu, pour moi il faut que tu prépares bien ton intervention.

    - Il faudrait connaitre l'origine du problème si possible pour investiguer et entreprendre la bonne méthode pour impacter le moins possible ton client et remettre tout en ordre de marche le plus vite possible

    - Assures toi qu'il n' y a pas de problèmes réseau entre les deux sites

    - tu pourras  ensuite mettre hors ligne le serveur défectueux (HNO si possible), Seize des rôles, nettoyage des métada... et reconstruction du DC.

    Avant d'en arriver jusque là, il faudrait vérifier les messages d'erreurs sur le serveur et essayer de réparer sans tout décommisionner.

    Exemple d'erreurs que j'ai pu rencontrées avec des problèmes tombstone:

    DCDIAG reports that the Active Directory Replications test has failed with error -2146893022: “The target principal name is incorrect."

    Il a fallu réinitialiser les mots de passe des comptes ordinateurs de chaque DC en croisé puis redémarrer tous les DCs pour que la réplication se remette en fonctionnement.

    https://support.microsoft.com/en-us/kb/2090913

    The "netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> command executed from an admin-privileged CMD prompt on the console of the DC needing a password reset can be used to reset DC machine account passwords.

    Après n'hésite pas si possible à ouvrir un case Microsoft pour valider ton scénario choisi.

    Cordialement.




    jeudi 16 janvier 2020 13:49
  • Bonjour et merci pour ta contribution.

    J'avais déjà eu ce cas également avec le reset du compte ordinateur à réaliser et ça avait fonctionné.

    J'ai cette erreur la aussi.

    En fait, ad replications status me remonte 2 erreurs visibles ici :

    Il y aurait donc bien le reset des comptes à réalisé que j'avais bien vu.

    Je cherche à comprendre d'un point de vue compte machine, comment cela se comportes pour les postes clients.

    Comment se fait il qu'un poste utilisateur arrive à se loguer après ? J'aurai pensé qu'il rencontre le message : La relation d'approbation entre le domaine et la station de travail a échoué".

    Le poste aura changé son mot de passe machine avec DC1 mais cela n'a pas été répliqué sur DC2 donc quand la réplication va se remettre à fonctionne, le mot de passe machine de la machine ne correspondra pas à celui stocké dans l'AD. Quel est le procédé technique qui permet d'éviter cette erreur ?

    Pour la cause racine, cela semble correspondre avec l'ajout du 2eme DC selon le client. Il a été crée sur le même site que le 1er puis déplacer sur un site distant ensuite donc demain je vais voir ce que donne un port query au cas où...

    Pour escalader chez Microsoft ce ne sera pas possible. Même si mon entreprise est partenaire, nous avons le droits à 20h/an et c'est à utiliser qu'en cas de blocage. La il y a une solution de contournement possible si la réparation ne fonctionne pas (dépromotion + repromotion avec le seize )


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    jeudi 16 janvier 2020 21:23
  •  

    Bonjour matteu31400,

    Pouvons-nous considérer que vous avez résolu votre problème avec le scénario proposé? 
    Dans l'affirmative, merci de marquer comme réponse et partager avec nous la solution, afin que d'autres personnes avec le même problème en puissent profiter.

    Merci d'avance pour votre retour.
    Cordialement,

    Biliana


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.


    lundi 3 février 2020 11:10
    Modérateur
  • Bonjour,

    La manipulation ne sera malheureusement tenté que lorsque le client le pourra. Cela n'a pas encore été réalisé donc je n'ai pas pu indiqué le retour de l'action.

    Le plan prévu est de créer un environnement de test isolé et voir si la dépromotion du second DC et la promotion d'un nouveau permet de résoudre ce problème ou non.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    lundi 3 février 2020 22:23