Erreur de réplication Active Directory 8456 ou 8457 : La source | Le serveur de destination rejette actuellement les demandes de réplication

  • Article

Cet article décrit les symptômes, la cause et les étapes de résolution des situations où les opérations Active Directory échouent avec l’erreur 8456 ou 8457.

S’applique à : Windows Server (toutes les versions prises en charge)
Numéro de la base de connaissances d’origine : 2023007

Remarque

Utilisateurs à domicile : Cet article s’adresse uniquement aux agents de support technique et aux professionnels de l’informatique. Si vous recherchez de l’aide pour résoudre un problème, demandez à la communauté Microsoft.

Symptômes

Les opérations Active Directory échouent avec l’erreur 8456 ou 8457 : La source | Le serveur de destination rejette actuellement les demandes de réplication.

  1. La promotion DCPROMO d’un nouveau contrôleur de domaine dans une forêt existante échoue avec l’erreur : Le serveur source rejette actuellement les demandes de réplication.

    Texte du titre de la boîte de dialogue : Texte du message de la boîte de dialogue De l’Assistant Installation d’Active Directory :

    L’opération a échoué car : Active Directory n’a pas pu transférer les données restantes dans le chemin> DN de la partition du répertoire de partition <d’annuaire vers le contrôleur de domaine de destination> du contrôleur <de domaine. « Le serveur source rejette actuellement les demandes de réplication. »

  2. DCDIAG signale l’erreur : le serveur source rejette actuellement les demandes de réplication ou le serveur de destination rejette actuellement les demandes de réplication.

    Serveur de test : Nom du contrôleur de domaine par défaut premier site<>
    Démarrage du test : réplications
    * Vérification des réplications
    [Vérification des réplications,<DC NAME>] Une tentative de réplication récente a échoué :
    De IADOMINO à <DC NAME>
    Contexte d’affectation de noms : DC=<Chemin d’accès DN de la partition>
    La réplication a généré une erreur (8456) :
    Le serveur source rejette actuellement les demandes de réplication.
    L’échec s’est produit à date><et <heure>.
    Le dernier succès s’est produit à date><et <heure>.
    957 échecs se sont produits depuis le dernier succès.
    La réplication a été explicitement désactivée via les options de serveur

    Serveur de test : Nom du contrôleur de domaine par défaut premier site<>
    Démarrage du test : réplications
    * Vérification des réplications
    [Vérification des réplications,<DC NAME>] Une tentative de réplication récente a échoué :
    De IADOMINO à <DC NAME>
    Contexte d’affectation de noms : DC=<Chemin d’accès DN de la partition>
    La réplication a généré une erreur (8457) :
    Le serveur de destination rejette actuellement les demandes de réplication.
    L’échec s’est produit à date><et <heure>.
    Le dernier succès s’est produit à date><et <heure>.
    957 échecs se sont produits depuis le dernier succès.
    La réplication a été explicitement désactivée via les options de serveur

  3. REPADMIN indique que la réplication Active Directory entrante et sortante peut échouer avec l’erreur : La source | Le serveur de destination rejette actuellement la réplication.

    DC=Contoso,DC=COM
    <nom du site><dc name> via RPC
    GUID de l’objet DC : <objectguid of source DCs NTDS settings object>
    Échec de la dernière tentative à la <date><et à l’heure> , résultat 8457 (0x2109) :
    Le serveur de destination rejette actuellement les demandes de réplication.

    DC=Contoso,DC=COM
    <nom du site><dc name> via RPC
    GUID de l’objet DC : <objectguid of source DCs NTDS settings object>
    Dernière tentative @ <date-heure><> ayant échoué, résultat 8456 (0x2108) :
    Le serveur source rejette actuellement les demandes de réplication.

    Remarque

    Les commandes REPADMIN peuvent afficher à la fois l’équivalent hexadécimal et l’équivalent décimal pour l’erreur de réplication en cours de rejet.

  4. Les sources d’événements et les ID d’événement qui indiquent qu’une restauration USN s’est produite incluent, sans s’y limiter, les éléments suivants.

    Source de l’événement ID d’événement Chaîne d’événement
    NTDS KCC 1308 Le vérificateur de cohérence des connaissances (KCC) a détecté que les tentatives successives de réplication avec le contrôleur de domaine suivant ont échoué de manière cohérente.
    NTDS KCC 1925 La tentative d’établissement d’un lien de réplication pour la partition de répertoire accessible en écriture suivante a échoué.
    NTDS KCC 1926 Échec de la tentative d’établissement d’un lien de réplication vers une partition de répertoire en lecture seule avec les paramètres suivants
    Réplication NTDS 1586 Le point de contrôle de réplication Windows NT 4.0 ou version antérieure avec l’émulateur PDC master a échoué. Une synchronisation complète de la base de données du gestionnaire de comptes de sécurité (SAM) avec les contrôleurs de domaine exécutant Windows NT 4.0 et versions antérieures peut se produire si le rôle d’émulateur de contrôleur de domaine principal master est transféré vers le contrôleur de domaine local avant le prochain point de contrôle réussi. Le processus de point de contrôle sera essayé à nouveau dans quatre heures.
    Réplication NTDS 2023 Le contrôleur de domaine local n’a pas pu répliquer les modifications apportées au contrôleur de domaine distant suivant pour la partition de répertoire suivante.
    Microsoft-Windows-ActiveDirectory_DomainService 2095 Lors d’une demande de réplication services de domaine Active Directory, le contrôleur de domaine local a identifié un contrôleur de domaine distant qui a reçu des données de réplication du contrôleur de domaine local en utilisant des numéros de suivi USN déjà reconnus.
    Microsoft-Windows-ActiveDirectory_DomainService 2103 La base de données services de domaine Active Directory a été restaurée à l’aide d’une procédure de restauration non prise en charge. services de domaine Active Directory ne pourront pas se connecter aux utilisateurs tant que cette condition persiste. Par conséquent, le service Net Logon s’est interrompu.

    Lorsque les codes status incorporés 8456 et 8457 correspondent à ce qui suit.

    Erreur décimale Erreur hexadécimale Chaîne d’erreur
    8456 2108 Le serveur source rejette actuellement la réplication
    8457 2109 Le serveur de destination rejette actuellement la réplication

  5. L’événement général NTDS 2013 peut être enregistré dans le journal des événements des services d’annuaire. Cela indique qu’une restauration USN s’est produite en raison d’une restauration ou d’une restauration non prise en charge de la base de données Active Directory.

    Type d'événement : Erreur
    Source de l’événement : NTDS General
    Catégorie d’événement : Contrôle de service
    ID d’événement : 2103
    Date : <date>
    Heure : <heure>
    Utilisateur : <nom d’utilisateur>
    Ordinateur : <nom de l’ordinateur>
    Description : la base de données Active Directory a été restaurée à l’aide d’une procédure de restauration non prise en charge. Active Directory ne pourra pas connecter les utilisateurs tant que cette condition persiste. Par conséquent, le service Net Logon s’est interrompu. Action de l’utilisateur Consultez les journaux des événements précédents pour plus d’informations. Pour plus d’informations, visitez le Centre d’aide et de support à l’adresse https://support.microsoft.com.

  6. L’événement général 1393 NTDS peut être enregistré dans le journal des événements des services d’annuaire. Cela indique que le lecteur physique ou virtuel qui héberge la base de données Active Directory ou les fichiers journaux n’a pas suffisamment d’espace disque libre :

    Type d'événement : Erreur
    Source de l’événement : NTDS General
    Catégorie d’événement : Contrôle de service
    ID d’événement : 1393
    Date : <date>
    Heure : <heure>
    Utilisateur : <nom d’utilisateur>
    Ordinateur : <nom de> l’ordinateur Description :
    Les tentatives de mise à jour de la base de données du service d’annuaire échouent avec l’erreur 112. Étant donné que Windows ne peut pas se connecter aux utilisateurs tant que cette condition persiste, le service NetLogon est suspendu. Assurez-vous que suffisamment d’espace disque libre est disponible sur les lecteurs où se trouvent la base de données de répertoires et les fichiers journaux.

Cause

La réplication entrante ou sortante a été automatiquement désactivée par le système d’exploitation en raison de plusieurs causes racines.

Trois événements qui désactivent la réplication entrante ou sortante sont les suivants :

  • Une restauration USN s’est produite (événement général NTDS 2103).
  • Le disque dur est plein (événement général NTDS 1393).
  • Un vecteur UTD endommagé est présent (événement 2881).

Le système d’exploitation apporte automatiquement quatre modifications de configuration lorsque l’une des trois conditions se produit. Les quatre modifications de configuration sont les suivantes :

  1. La réplication Active Directory entrante est désactivée.
  2. La réplication Active Directory sortante est désactivée.
  3. DSA non accessible en écriture est défini sur une valeur différente de zéro dans le Registre.
  4. Le status du service NETLOGON passe de l’exécution à l’arrêt.

La cause racine dominante de cette condition d’erreur est une restauration USN décrite dans Un contrôleur de domaine Windows Server journalise l’événement 2095 des services d’annuaire lorsqu’il rencontre une restauration USN.

Ne partez pas du principe qu’une valeur différente de zéro pour DSA n’est pas accessible en écriture ou qu’un serveur source ou de destination rejette actuellement les demandes de réplication pendant la réplication DCPROMO/AD signifie définitivement qu’une restauration USN s’est produite et que ces contrôleurs de domaine doivent implicitement être rétrogradés ou repromotés de force. La rétrogradation peut être l’option correcte. Toutefois, elle peut être excessive lorsque l’erreur est due à un espace disque disponible insuffisant.

Résolution

  1. Vérifiez la valeur de DSA non accessible en écriture.

    Pour chaque contrôleur de domaine qui enregistre l’erreur 8456 ou 8457, déterminez si l’un des trois événements déclencheurs a automatiquement désactivé la réplication Active Directory entrante ou sortante en lisant la valeur « DSA non accessible en écriture » dans le registre local.

    Lorsque la réplication est automatiquement désactivée, le système d’exploitation écrit l’une des quatre valeurs possibles dans DSA non accessible en écriture :

    • Chemin: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • Paramètre : DSA non accessible en écriture
    • Type : Reg_dword
    • Valeurs :
      • #define DSA_WRITABLE_GEN 1
      • #define DSA_WRITABLE_NO_SPACE 2
      • #define DSA_WRITABLE_USNROLLBCK 4
      • #define DSA_WRITABLE_CORRUPT_UTDV 8

    La valeur 1 peut être écrite uniquement lorsque la version de la forêt n’est pas compatible avec le système d’exploitation (par exemple, le contrôleur de domaine W2K est promu en forêt de niveau fonctionnel de forêt Windows Server 2003 ou autre).

    La valeur 2 signifie que le lecteur physique ou virtuel qui héberge la base de données Active Directory ou les fichiers journaux n’a pas suffisamment d’espace disque libre.

    La valeur 4 signifie qu’une restauration USN s’est produite parce que la base de données Active Directory a été restaurée de manière incorrecte dans le temps. Les opérations connues pour provoquer une restauration USN sont les suivantes :

    • Démarrage à partir d’instantanés de machine virtuelle précédemment enregistrés d’ordinateurs de rôle contrôleur de domaine sur des hôtes Hyper-V ou VMWARE.
    • Conversions physiques-virtuelles (P2V) incorrectes dans les forêts qui contiennent plusieurs contrôleurs de domaine.
    • Restauration d’ordinateurs de rôle DC à l’aide de produits de création d’images tels que Ghost.
    • Le déploiement du contenu d’une partition qui héberge la base de données Active Directory dans le temps à l’aide d’un sous-système de disque avancé.

    La valeur 8 indique que le vecteur à jour est endommagé sur le contrôleur de domaine local.

    Techniquement, DSA non accessible en écriture peut se composer de plusieurs valeurs. Par exemple, une valeur de Registre de 10 indique un espace disque insuffisant et une UTD endommagée. En règle générale, une valeur unique n’est pas accessible en écriture dans DSA.

    Remarque

    Il est courant que les professionnels et les administrateurs du support technique désactivent partiellement la mise en quarantaine de la réplication en activant la réplication sortante, en activant la réplication entrante, en modifiant la valeur de démarrage du service NETLOGON de désactivé à automatique et en démarrant le service NETLOGON. Par conséquent, la configuration complète de la mise en quarantaine peut ne pas être en place lors de son examen.

  2. Vérifiez les événements de quarantaine dans le journal des événements du service d’annuaire.

    En supposant que le journal des événements du service d’annuaire n’a pas été encapsulé, vous pouvez trouver un ou plusieurs événements connexes enregistrés dans le journal des événements du service d’annuaire d’un contrôleur de domaine qui enregistre l’erreur 8456 ou 8457.

    Événement Détails
    NTDS Général 2103 La base de données Active Directory a été restaurée à l’aide d’une procédure de restauration non prise en charge. Active Directory ne pourra pas connecter les utilisateurs tant que cette condition persiste. Par conséquent, le service Net Logon s’est interrompu. Action de l’utilisateur Consultez les journaux des événements précédents pour plus d’informations.
    Événement général NTDS 1393 L’espace est insuffisant sur le disque.
    Événement 2881 Non applicable

  3. Effectuez la récupération en fonction de la valeur de DSA non accessible en écriture ou des événements enregistrés sur le système :

    • Si DSA n’est pas accessible en écriture est égal à 4 ou si l’événement général 2103 NTDS est enregistré, effectuez les étapes de récupération d’une restauration USN. Pour plus d’informations, consultez Un contrôleur de domaine Windows Server enregistre l’événement 2095 des services d’annuaire lorsqu’il rencontre une restauration USN.

    • Si DSA n’est pas accessible en écriture est égal à 2 ou si l’événement NTDS Général 1393 est enregistré, case activée d’espace disque disponible suffisant sur les partitions physiques et virtuelles qui hébergent la base de données Active Directory et les fichiers journaux. Libérez de l’espace en fonction des besoins.

    • Si DSA n’est pas accessible en écriture est égal à 8, rétrogradez, puis reproduisez le contrôleur de domaine avant qu’il puisse répliquer sa valeur incorrecte sur d’autres contrôleurs de domaine dans la forêt.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.