none
Perte replication entre domaine Parent et Enfant RRS feed

  • Discussion générale

  • Bonjour,

    J'ai un soucis de perte de réplication entre un des domaines enfants et les autres domaines (parents et enfants) suite à une restauration des DC sur le domaine enfant rambouillet.cogip.fr.
    Donc sur le domaine rambouillet.cogip.fr il est possible de se connecter avec un compte du domaine  mais pas avec un autre compte de la forêt.

    Domaine Parent : cogip.fr (serveurs en Win2008R2)

    Domaine enfant : rambouillet.cogip.fr et ses deux serveurs DC  dc1ramb et dc2ramb (serveurs en Win2012)


    Les diagnostiques fait depuis le domaine enfant rambouillet.cogip.fr depuis le serveur dc1ramb

    PS C:\Users\Administrateur> dcdiag /test:replications
    Diagnostic du serveur d'annuaire
    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : DC1ramb
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.
    Exécution des tests initiaux nécessaires

       Test du serveur : Rambouillet\DC1RAMB
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de DC1RAMB a réussi

    Exécution des tests principaux

       Test du serveur : Rambouillet\DC1RAMB
          Démarrage du test : Replications
             ......................... Le test Replications
              de DC1RAMB a réussi


       Exécution de tests de partitions sur DomainDnsZones
       Exécution de tests de partitions sur rambouillet
       Exécution de tests de partitions sur ForestDnsZones
       Exécution de tests de partitions sur Schema
       Exécution de tests de partitions sur Configuration
       Exécution de tests d'entreprise sur cogip.fr
    PS C:\Users\Administrateur>


    PS C:\Users\Administrateur> repadmin /replsummary
    Heure de début du résumé de la réplication : 2016-03-14 10:24:20

    Début de la collecte des données pour le résumé de la réplication ;
    cette opération peut prendre un certain temps :
      ...............


    DSA source             différence max    nb échecs %%   erreur
     DC1ADMIN45                07m:50s    0 /  39    0
     DC1ADMIN55                08m:36s    0 /  25    0
     DC1ADMINSQY               06m:44s    0 /  32    0
     DC1BIB45                  07m:50s    0 /  23    0
     DC1BIBSQY                 06m:56s    0 /  23    0
     DC1ENS45                  06m:56s    0 /  23    0
     DC1ENSSQY                 06m:46s    0 /  23    0
     DC1IN45                   08m:36s    0 /  32    0
     DC1IN55                   07m:50s    0 /  32    0
     DC1RAMB                   24m:25s    0 /  16    0
     DC2INSQY                  08m:36s    0 /  39    0
     DC2RAMB                   33m:07s    0 /  16    0


    DSA de destination     différence max    nb échecs %%   erreur
     DC1ADMIN45                06m:52s    0 /  32    0
     DC1ADMIN55                03m:27s    0 /  25    0
     DC1ADMINSQY               01m:46s    0 /  32    0
     DC1BIB45                  07m:00s    0 /  23    0
     DC1BIBSQY                 03m:57s    0 /  37    0
     DC1ENS45                  06m:50s    0 /  30    0
     DC1ENSSQY                 04m:55s    0 /  30    0
     DC1IN45                   07m:54s    0 /  32    0
     DC1IN55                   08m:39s    0 /  25    0
     DC1RAMB                   33m:15s    0 /  16    0
     DC2INSQY                     :26s    0 /  32    0
     DC2RAMB                   24m:33s    0 /   9    0

    PS C:\Users\Administrateur> repadmin /kcc *

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet dc1in55.cogip.fr
    Versailles-Services-Centraux
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1BIB45.bib.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1BIBSQY.bib.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1meudonSQY.meudon.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1IN45.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1meudon45.meudon.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet dc1admin55.admin.cogip.fr
    Versailles-Services-Centraux
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1ADMIN45.admin.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1ADMINSQY.admin.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1ramb.rambouillet.cogip.fr
    Rambouillet
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1ramb.rambouillet.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC2RAMB.rambouillet.cogip.fr
    Rambouillet
    Actuel : Options de site : (none)
    La vérification de cohérence de DC2RAMB.rambouillet.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC2INSQY.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.


    la commande repadmin /syncall /Aed

    me donne également des erreurs d'accès refusé à la réplication :

    SyncAll a signalé les erreurs suivantes :
    Erreur lors de l'émission de la réplication : 8453 (0x2105):
        L'accès à la réplication a été refusé.


    PS C:\Users\Administrateur> dcdiag /TEST:machineaccount

    Diagnostic du serveur d'annuaire

    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : DC1ramb
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.

    Exécution des tests initiaux nécessaires

       Test du serveur : Rambouillet\DC1RAMB
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de DC1RAMB a réussi

    Exécution des tests principaux

       Test du serveur : Rambouillet\DC1RAMB
          Démarrage du test : MachineAccount
             ......................... Le test MachineAccount
              de DC1RAMB a réussi


       Exécution de tests de partitions sur DomainDnsZones
       Exécution de tests de partitions sur rambouillet
       Exécution de tests de partitions sur ForestDnsZones
       Exécution de tests de partitions sur Schema
       Exécution de tests de partitions sur Configuration
       Exécution de tests d'entreprise sur cogip.fr


    PS C:\Users\Administrateur> nltest  /sc_query:cogip.fr
    Indicateurs : 0
    Nom du contrôleur de domaine approuvé
    Statut de la connexion du contrôleur de domaine approuvé Status = 5 0x5 ERROR_ACCESS_DENIED
    La commande a été correctement exécutée


    Dans les LOGS :

    Lors de la création d’une référence entre les domaines à partir du domaine COGIP.FR, le centre de distribution
    de clés n’a pas pu trouver la clé appropriée pour vérifier le ticket. La version de clé du ticket était 29 dans la demande
    et la version de clé disponible était 28. La raison la plus courante de cette erreur est un délai dans la réplication des clés.
    Pour résoudre ce problème, essayez de forcer la réplication ou patientez jusqu’à la réplication des clés.

    Source : Kerberos-Key-Distribution-Center
    Evenement : 28


    L’inscription de certificat pour Système local n’a pas pu s’authentifier auprès de toutes les URL pour le serveur d’inscription associé à l’ID de stratégie : {B51A1397-5168-48E9-9120-DF3AD5928784} (Accès refusé. 0x80070005 (WIN32: 5)). Impossible d’inscrire le modèle : DomainController

    Source : CertificateServicesClient-CertEnroll
    Evenement : 82

    L’inscription de certificat pour Système local n’a pas pu inscrire un certificat DomainController avec l’ID de demande N/A à partir
    de SRV11INSQY.cogip.fr\in-SRV11INSQY-CA (d7 97 02 70 59 af e1 a3 e9 ab 6f b6 d6 04 05 76 06 67 66 ca).


    Source : CertificateServicesClient-CertEnroll
    Evenement : 13



    L’inscription automatique de certificat pour Système local a échoué (0x80070005) (Accès refusé.
    ).

    Source : CertificateServicesClient-Autoenrollment
    Evenement : 6

    On a testé les commandes suivantes  : http://www.tutodidacte.com/Active-Directory-Reparer-la-replication-entre-2-controleurs

    Donc depuis dc1ramb :

    net stop kdc

    klist purge

    netdom reset passwd /server:dc1in55 /UserD:administrateur@cogip.fr /PasswordD:*

    Mais on a eu "L'opération ne s'est pas bien déroulée".   sans plus de précision


    Si quelqu'un à des idées je suis preneur, j'ai du mal à trouver l'élément qui coince pour dépanner et rétablir la réplication.
    Bien entendu je peux fournir d'autres diag, j'ai essayé de ne pas trop surcharger le premier post.




    lundi 14 mars 2016 11:00

Toutes les réponses

  •   L'accès à la réplication a été refusé.

    Il faéut exécuter la commande en tant qu'administrateur  avec un compte ayant des droits suffisants !

    Par quel méthode avez-vous restauré les DC ? état du système ?

    lundi 14 mars 2016 11:21
    Modérateur
  • La commande est exécuté avec le compte Administrateur et j'ai bien fait un click-droit "Executer en tant qu'administrateur".

    Edit / précision : j'exécute la commande depuis DC2ramb (du domaine enfant)  le mot de passe administrateur est différent de celui du compte administrateur du domaine parent

    Les DC ont été restauré avec l'outil de restauration de Windows. Restauration complète du C:


    • Modifié Yves_78 lundi 14 mars 2016 12:38 Précision
    lundi 14 mars 2016 12:20

  • Sur le DC restauré repadmin /showrepl avec un compte admin du domaine en question en utilisant exécuter en tant qu'admin.

    lundi 14 mars 2016 12:44
    Modérateur
  • Petite précision : Pour régler partiellement le problème, nous avons créer une liaison d'approbation raccourci entre le domaine enfant Rambouillet (celui qui pose problème) et celui-ci de Meudon (enfant lui aussi) pour permettre aux utilisateurs de ce domaine de s'authentifier.

    Sur le DC restauré :

    PS C:\Users\Administrateur> repadmin /showrepl

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
    Rambouillet\DC1RAMB
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : 96453b95-4023-48da-adfc-9fbbed9f5555
    ID de l'invocation DSA : ddd3a2ee-3d68-41c1-a59c-07601002fcbd

    === INSTANCES VOISINES ENTRANTES ==================================

    CN=Configuration,DC=cogip,DC=fr
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 08:06:52, a réussi.

    CN=Schema,CN=Configuration,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.

    DC=ForestDnsZones,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.

    DC=rambouillet,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 08:15:15, a réussi.

    DC=DomainDnsZones,DC=rambouillet,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.

    DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.

    DC=admin,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.

    DC=meudon,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.

    DC=bib,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-15 07:51:14, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-15 08:06:14, a réussi.

    PS C:\Users\Administrateur>

    mardi 15 mars 2016 07:33
  • Tu peux vérifier la résolution de nom entre le domaine enfant vers le domaine parent ?

    Tu peux valider tes approbations parents / enfants depuis la console domaine et approbation ?

    mardi 15 mars 2016 18:02
    Modérateur
  • Oui cela marche ex, on ping sans problème le serveur qui a les rôle fsmo du domaine parent. idem si j'utilise le nom long. Idem quand je ping d'autres serveurs dans les autres domaines enfants (nom court et long).

    PS C:\Users\Administrateur> netdom query fsmo
    Contrôleur de schéma        dc1in55.cogip.fr
    Maître des noms de domaine  dc1in55.cogip.fr
    Contrôleur domaine princip. DC1ramb.rambouillet.cogip.fr
    Gestionnaire du pool RID    DC1ramb.rambouillet.cogip.fr
    Maître d'infrastructure     DC1ramb.rambouillet.cogip.fr
    L'opération s'est bien déroulée.

    PS C:\Users\Administrateur> ping dc1in55

    Envoi d'une requête 'ping' sur dc1in55.cogip.fr [192.168.82.1] avec 32 octets de données :
    Réponse de 192.168.82.1 : octets=32 temps=1 ms TTL=125
    Réponse de 192.168.82.1 : octets=32 temps=1 ms TTL=125
    Réponse de 192.168.82.1 : octets=32 temps=1 ms TTL=125
    Réponse de 192.168.82.1 : octets=32 temps=1 ms TTL=125

    Statistiques Ping pour 192.168.82.1:
        Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
    Durée approximative des boucles en millisecondes :
        Minimum = 1ms, Maximum = 1ms, Moyenne = 1ms
    PS C:\Users\Administrateur>

    Dans la console domaine et approbation :
    J'ai 2 liaisons entrantes et sortantes :

    Une liaison avec le domaine parent  (cogip.fr) 
    Type d'approbation : Parents

    Transitif : oui

    Avec un collègue on a pu revalider les relations approbations parent / enfant  entrante et sortante.

    Maintenant la commande repadmin /showrepl indique :  

      [...]     une raison normale, résultat 8418 (0x20e2):
        L'opération de réplication a échoué en raison d'une correspondance de schémas incorrecte entre les serveurs impliqué
    s.
            Dernière réussite le 2016-03-17 10:06:17.

    Je vais attendre un peu pour laisser les serveurs s'accorder eux même.
    Je reviens vers vous ensuite.

    Merci

    jeudi 17 mars 2016 09:44
  • ça progresse :

    PS C:\Users\Administrateur> nltest /sc_query:cogip.fr
    Indicateurs : 30 HAS_IP  HAS_TIMESERV
    Nom du contrôleur de domaine approuvé \\DC2INSQY.cogip.fr
    Statut de la connexion du contrôleur de domaine approuvé Status = 0 0x0 NERR_Success
    La commande a été correctement exécutée
    PS C:\Users\Administrateur>

    Alors qu'avant j'avais une erreur

    Par contre toujours les mêmes erreurs avec la commande repadmin /kcc *PS C:\Users\Administrateur> repadmin /kcc *

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet dc1in55.cogip.fr
    Versailles-Services-Centraux
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1BIB45.bib.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC1BIBSQY.bib.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    [.....]

    J'ai tronqué la sortie


    Je reste demain matin, pour voir si avec le temps j'ai une amélioration.

    jeudi 17 mars 2016 14:50
  • [...]     une raison normale, résultat 8418 (0x20e2):
        L'opération de réplication a échoué en raison d'une correspondance de schémas incorrecte entre les serveurs impliqué

    Vous avez fait une modification sur le schéma ? La sauvegarde des DC restauré était avant une opération qui as mis à jour le schéma ?

    Pae quel méthode avez vous restauré les DC?  

    Tu peux vérifier les partenaires de réplications des dC du domaine enfant et indiquer la totalité du repadmin /showrepl ?

    jeudi 17 mars 2016 17:50
    Modérateur
  • Pour le Schéma :
    La seule modification faite a été sur le domaine parent cogip.fr   les rôles FSMO on été déplacé sur un autre serveur. (à cause d'un autre soucis lié au serveur qui hébergeait ces rôles FSMO)

    Les DC on été restauré via la sauvegarde de Windows.

    Le repadmin /showrepl  passe un peu mieux maintenant.

    PS C:\Users\Administrateur> repadmin /showrepl

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
    Rambouillet\DC1RAMB
    Options DSA : IS_GC
    Options de site : (none)
    GUID de l'objet DSA : 96453b95-4023-48da-adfc-9fbbed9f5555
    ID de l'invocation DSA : ddd3a2ee-3d68-41c1-a59c-07601002fcbd

    === INSTANCES VOISINES ENTRANTES ==================================

    CN=Configuration,DC=cogip,DC=fr
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 08:24:46, a réussi.

    CN=Schema,CN=Configuration,DC=cogip,DC=fr
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.

    DC=ForestDnsZones,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.

    DC=rambouillet,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 08:24:55, a réussi.
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 08:24:58, a réussi.

    DC=DomainDnsZones,DC=rambouillet,DC=cogip,DC=fr
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.

    DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 07:51:18, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.

    DC=admin,DC=cogip,DC=fr
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 08:21:48, a réussi.
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 08:21:51, a réussi.

    DC=meudon,DC=cogip,DC=fr
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 07:51:48, a réussi.
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 07:51:51, a réussi.
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.

    DC=bib,DC=cogip,DC=fr
        Saint-Quentin-en-Yvelines\DC2INSQY via RPC
            GUID de l'objet DSA : 500c054a-70d2-4719-9819-f24713ae418d
            La dernière tentative, le 2016-03-18 08:21:18, a réussi.
        Rambouillet\DC2RAMB via RPC
            GUID de l'objet DSA : a72c14d8-3b0f-41eb-b622-2b2e0f7f442c
            La dernière tentative, le 2016-03-18 08:21:54, a réussi.
        Rambouillet\DC3RAMB via RPC
            GUID de l'objet DSA : 80b1559b-1868-4582-8bd5-e0cd3c87f7ae
            La dernière tentative, le 2016-03-18 08:21:57, a réussi.

    Hormis mes serveurs (dc2ramb, dc3ramb) je n'ai qu'un partenaire de replication :  DC2inSQY
    C'est également ce que je retrouve dans sites et service Active directory dans les NTDS Setting de mon serveur DC1ramb

    Hors je devrais avoir comme les autres seurveurs des autres domaines enfants plus de partenaires.

     Et toujours les mêmes erreurs avec la commande repadmin /kcc *

    Échec de DsReplicaConsistencyCheck() avec le statut 8453 (0x2105):
        L'accès à la réplication a été refusé.

    Par contre avec cette commande j'ai bien les autres serveurs des autres domaines enfants

    vendredi 18 mars 2016 07:57
  • Vérifie que sur tout tes sites il y a dans repadmin :

    Options DSA : IS_GC

    Options de site : (none)

    Car il est possible de désactiver la réplication entrante ou sortante ou de désactiver le kcc pour un site.

    Essaye d'ajouter un lien de réplication manuellement.

    vendredi 18 mars 2016 09:51
    Modérateur
  • Exemple sur un autre site,

    Repadmin : exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
    Saint-Quentin-en-Yvelines\DC1ADMINSQY
    Options DSA : IS_GC
    Options de site : (none)

    idem sur les autres sites testés.

    J'ai rajouté 2 liens de réplications sur DC1ramb via sites et services Active Directory.
    Faut-il aussi rajouter sur ces sites un lien manuel vers DC1ramb ?

    Quand je fais mon repadmin /showrepl sur DC1ramb  je vois bien les partenaires de réplication que j'ai rajouté manuellement.

    vendredi 18 mars 2016 13:32
  • Tu vois également les liens sur les partenaires de replications pour ceux ajouter manuellement  ?

    repadmin /showrepl ne donne pas d'erreur ?

    Dans repadmin /replsummary la latence des 2 DC est plus faible pour les 2 DC de ramb ?

    Refait un repadmin /kcc * à partir d'un compte membre du groupe admin de l'entreprise.


    samedi 19 mars 2016 09:19
    Modérateur
  • Je ne vois pas ces liens sur les partenaires de replications

    repadmin /showrepl  ne donne pas d'erreur.

    La latence est plus faible mais de peu :

    PS C:\Users\Administrateur> repadmin /replsummary
    Heure de début du résumé de la réplication : 2016-03-21 08:57:01

    Début de la collecte des données pour le résumé de la réplication ;
    cette opération peut prendre un certain temps :
      .................


    DSA source             différence max    nb échecs %%   erreur
     DC1ADMIN45                10m:57s    0 /  39    0
     DC1ADMIN55                11m:17s    0 /  25    0
     DC1ADMINSQY               08m:44s    0 /  39    0
     DC1BIB45                  10m:57s    0 /  23    0
     DC1BIBSQY                 09m:35s    0 /  30    0
     DC1ENS45                  09m:35s    0 /  23    0
     DC1ENSSQY                 09m:27s    0 /  23    0
     DC1IN45                   11m:17s    0 /  32    0
     DC1IN55                   10m:57s    0 /  39    0
     DC1RAMB                   06m:43s    0 /  32    0
     DC2ADMIN55                11m:17s    0 /  25    0
     DC2INSQY                  11m:17s    0 /  32    0
     DC2RAMB                   08m:44s    0 /  18    0
     DC3RAMB                   09m:27s    0 /  25    0


    DSA de destination     différence max    nb échecs %%   erreur
     DC1ADMIN45                06m:54s    0 /  32    0
     DC1ADMIN55                06m:23s    0 /  25    0
     DC1ADMINSQY               07m:27s    0 /  32    0
     DC1BIB45                  09m:36s    0 /  23    0
     DC1BIBSQY                 06m:46s    0 /  37    0
     DC1ENS45                  09m:28s    0 /  30    0
     DC1ENSSQY                 06m:43s    0 /  30    0
     DC1IN45                   10m:58s    0 /  32    0
     DC1IN55                   11m:17s    0 /  32    0
     DC1RAMB                   08m:45s    0 /  32    0
     DC2ADMIN55                   :34s    0 /  32    0
     DC2INSQY                  08m:37s    0 /  32    0
     DC2RAMB                   05m:38s    0 /  18    0
     DC3RAMB                   02m:01s    0 /  18    0

    Pour le test  repadmin /kcc *   je vois avec un collègue et je reviens vers vous.

    lundi 21 mars 2016 07:59
  • test repadmin /kcc * fait avec le compte administrateur du domain parent :

    C:\Users\Administrateur.cogip>repadmin /kcc *

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet dc
    1in55.cogip.fr
    Versailles-Services-Centraux
    Actuel : Options de site : (none)
    La vérification de cohérence de dc1in55.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1BIB45.bib.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1BIB45.bib.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1BIBSQY.bib.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1BIBSQY.bib.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1meudonSQY.meudon.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1meudonSQY.meudon.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1IN45.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1IN45.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1meudon45.meudon.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1meudon45.meudon.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet dc
    1admin55.admin.cogip.fr
    Versailles-Services-Centraux
    Actuel : Options de site : (none)
    La vérification de cohérence de dc1admin55.admin.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1ADMIN45.admin.cogip.fr
    Versailles-Sciences
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1ADMIN45.admin.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1ADMINSQY.admin.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1ADMINSQY.admin.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    1ramb.rambouillet.cogip.fr
    Rambouillet
    Actuel : Options de site : (none)
    La vérification de cohérence de DC1ramb.rambouillet.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    2RAMB.rambouillet.cogip.fr
    Rambouillet
    Actuel : Options de site : (none)
    La vérification de cohérence de DC2RAMB.rambouillet.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    2INSQY.cogip.fr
    Saint-Quentin-en-Yvelines
    Actuel : Options de site : (none)
    La vérification de cohérence de DC2INSQY.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    3ramb.rambouillet.cogip.fr
    Rambouillet
    Actuel : Options de site : (none)
    La vérification de cohérence de DC3ramb.rambouillet.cogip.fr a réussi.

    Repadmin : exécution de la commande /kcc sur le contrôleur de domaine complet DC
    2ADMIN55.admin.cogip.fr
    Versailles-Services-Centraux
    Actuel : Options de site : (none)
    La vérification de cohérence de DC2ADMIN55.admin.cogip.fr a réussi.

    Nous avons remarqué aussi une chose.  Dans Default-First-Site-Name  en regardant les propriété de ntds site settings  nous avant le DC1ramb du site de Rambouillet  en tant que générateur de topologie inter-sites.

    (je voulais rajouter une capture plus parlante mais je ne peux pas, mon compte n'ayant pas encore été activé)

    - Ce n'est pas une configuration de notre part.
    - Le domaine rambouillet  est le dernier domaine enfant rajouté au domaine parent.

    Je ne sais pas si ça peut avoir une influence sur le problème de réplication

    lundi 21 mars 2016 09:18

  • Tu as configuré tous les sites et les sous réseaux dans l'AD pour tenir compte de la géographie des installations ? 

    lundi 21 mars 2016 10:56
    Modérateur
  • Actuellement non, cela n'a pas encore été fait.
    C'est une chose qui est prévu. (je n'ai pas la gestion du domaine parent).

    Actuellement :
    Depuis mon domaine Rambouillet :
    - On peut se loguer sur mon serveur via le compte administrateur du domaine parent
    - Je peux me loguer en utilisant un compte d'un autre domaine enfant grâce à la liaison enfant<>enfant créé en "secours"
    - Je peux me loguer avec un autre compte d'un autre domaine enfant.

    Il faudrait que je supprime cette liaison enfant à enfant pour tester si il toujours possible de se loguer sur mon domaine avec un compte d'un autre domaine enfant mais pour ça je dois trouver un créneau sans utilisateur. J'aurais peut être une fenêtre de libre ce jeudi.

    mardi 22 mars 2016 11:06
  •  On peut se loguer sur mon serveur via le compte administrateur du domaine parent

    C'est normal le compte administrateur du domaine parent et administrateur de l'entreprise et donc il est dans admin du domaine de tous les domaines de la forêt. C'est d'ailleurs un compte admin de l'entreprise qu'il faut utiliser si tu veux faire le repadmin /kcc *

    Liaison enfant ? tu peux préciser ? Tu parles d'une approbation raccourci ? 

    Il est important de configurer les sites et sous réseaux pour ta réplication.

    mardi 22 mars 2016 11:22
    Modérateur
  • Oui on a fait une approbation raccourci pour permettre aux utilisateurs de se connecter le temps de régler le problème.

    Là on doit trouver un créneau pour enlever cette approbation raccourci et pour tester si on arrive toujours à se loguer sur les postes de mon domaine Rambouillet via des comptes des autres domaines enfants.

    Quand tu parles des sites et sous réseaux pour la réplication, tu parles de la partie "Subnets" de Sites et services Active Directory ?
    Actuellement cette partie est bien configuré, je vois bien les subnets correspondant à chaque Site ET chaque emplacement.

    Ex pour Rambouillet j'ai bien le subnet en 192.168.XX.0/24

    On a changé dans les NTDS setting du Default first site name  le générateur de topologie inter-sites pour mettre un des serveurs DC du domaine parent.

    Par contre, pas de changement dans mes NTDS setting de mes serveurs de Rambouillet. Je ne vois qu'en "généré automatiquement" mes serveurs entre eux et les deux liaisons faite manuellement pour tester.

    mercredi 23 mars 2016 07:40
  • l faudrait que je supprime cette liaison enfant à enfant pour tester si il toujours possible de se loguer sur mon domaine avec un compte d'un autre domaine enfant

    Tu peux faire le test sans l'approbation raccourci mais ce n'est pas un problème de la conserver, cela peut même améliorer les choses. 

    On a changé dans les NTDS setting du Default first site name  le générateur de topologie inter-sites pour mettre un des serveurs DC du domaine parent.

    Tu as bien un DC du site pour surveiller la topologie de réplication inter site . Tu peux également vérifier si la vérificateur de cohérence n'est pas désactiver avec https://technet.microsoft.com/fr-fr/library/dd723682(v=ws.10).aspx. Mais normalement on le voit dans les options lors d'un repadmin.


    Par contre, pas de changement dans mes NTDS setting de mes serveurs de Rambouillet. Je ne vois qu'en "généré automatiquement" mes serveurs entre eux et les deux liaisons faite manuellement pour tester

    Il ne crée pas obligatoirement de lien supplémentaires s'il ne considère pas cela utile .

    Lorsque tu crée un lien de réplication tu dois retrouver ce même paramètre de réplication sur les 2 DC concernés par le lien. C'est le cas ?

    On a pas parlé dans ce poste mais quel sont tes liens VPN entre les sites ? Bande passante ? Fiabilité ? Uniquement le site parent vers enfant ? maillage complet et lien entre les sites enfants ? La topology de réplication est faites pour s'adapter à la réalité de la connectivité entre les sites. Tu peux en plus des liens mettre une notion de cout pour prioriser les choses.

    Du coup pour l'instant tu n'as plus de problème d'authentification ?

    mercredi 23 mars 2016 09:37
    Modérateur
  • Non, quand je créé un lien de réplication je ne retrouve pas ce même paramètre de réplication sur les 2 DC concernés par le lien. Je le vois sur DC1ramb mais pas sur l'autre serveur de l'autre domaine enfant.

    J'ai créé ce lien via mon compte administrateur du domaine Rambouillet sur DC1ramb. Je ne sais pas si ça a une incidence et si ça aurait du être fait via le compte administrateur du domaine PARENT.

    Le vérificateur de cohérence n'est pas désactivé sur le domaine enfant Rambouillet (je ne le vois pas dans les éditeurs d'attributs).
    L'attribut InterSiteTopologyGenerator est fixé sur DC2ramb.

    Coté lien : on est en réseau Fibre optique 1gb/s  entre les sites. de ce côté là on est tranquille.

    Actuellement pas de problème d'authentification.  En revalidant les approbations parents / enfants depuis la console domaine et approbation ça a bien amélioré les choses.


    Encore merci pour votre aide et vos précisions.

    jeudi 24 mars 2016 07:16