Comment faire pour dépanner des échecs de la réplication intrasite

Traductions disponibles Traductions disponibles
Numéro d'article: 249256 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article s'applique à Windows 2000. Le support pour Windows 2000 prend fin le 13 juillet 2010. Le Centre de solutions Fin du support pour Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, reportez-vous à la politique de support de Microsoft.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit pas à pas les différents symptômes et méthodes de résolution que vous pouvez utiliser pour résoudre les problèmes d'échec de la réplication intrasite.

Important Bien que la réplication des services d'annuaire (DS) et que les services de réplication de fichiers (FRS) utilisent les mêmes mécanismes d'installation de la connexion et la même planification des réplications, ce sont deux composants complètement différents. Cet article décrit les outils et techniques communs pour dépanner des objets connexion de la réplication afin de diagnostiquer des problèmes de réplication intrasite.

Symptômes communs de l'échec de la réplication

Important Ces étapes peuvent augmenter le risque pour la sécurité et rendre votre ordinateur ou votre réseau plus vulnérable aux attaques d'utilisateurs ou de logiciels malveillants tels que les virus. Nous recommandons le processus décrit dans cet article pour permettre aux programmes de fonctionner normalement ou pour implémenter des fonctionnalités spécifiques du programme. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de ce processus dans votre environnement propre. Si vous décidez d'implémenter ce processus, prenez toutes les mesures nécessaires pour protéger votre système. Nous vous recommandons de n'utiliser ce processus que si vous en avez vraiment besoin.

Symptômes communs qui indiquent l'échec de la réplication intrasite :
  • Des utilisateurs et des ordinateurs ne reçoivent pas de stratégies mises à jour.
  • Le contenu du partage SYSVOL correct n'est pas répliqué sur tous les contrôleurs de domaine (DC).

    Remarque Cela peut également se produire à cause d'un échec du service de réplication de fichiers.
Pour résoudre ces problèmes, procédez comme suit :
  • Utilitaires diagnostics du contrôleur de domaine (Dcdiag.exe) et diagnostics réseau (Netdiag.exe). Vous pouvez obtenir ces outils dans les outils de support de Windows 2000 inclus dans le CD-ROM Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    301423 Comment faire pour installer les outils de support de Windows 2000 sur un ordinateur Windows 2000 Server
    Pour plus d'informations sur la façon d'obtenir et d'utiliser les utilitaires de diagnostic Dcdiag.exe et Netdiag.exe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    265706 DCDiag et NetDiag dans Windows 2000 facilitent la jointure de domaines et la création de contrôleurs de domaine
  • Utilitaire de diagnostic de la réplication (Repadmin.exe). Utilisez cet outil pour vérifier les liaisons de sites correctes et pour afficher des connexions entrantes et sortantes. Vous pouvez également l'utiliser pour afficher la file d'attente de la réplication. Vous pouvez obtenir cet outil dans les outils de support de Windows 2000 inclus dans le CD-ROM Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    Pour plus d'informations sur la façon de vous procurer et d'utiliser l'utilitaire Repadmin.exe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    229896 Utilisation de Repadmin.exe pour résoudre la réplication Active Directory
  • Utilitaire du service de réplication de fichiers (Ntfrsutil.exe).
  • Moniteur de réplication du service Active Directory (Replmon.exe). Vous pouvez obtenir cet outil dans les outils de support de Windows 2000 inclus dans le CD-ROM Windows 2000.
La liste suivante décrit les étapes de base à suivre lorsque vous essayez de résoudre des problèmes de ce type :
  • Assurez-vous que le service de noms de domaines (DNS) est correctement configuré. Une configuration DNS correcte est nécessaire pour corriger la réplication d'annuaire.
  • Assurez-vous que vous pouvez utiliser l'utilitaire Ping.exe pour "'exécuter la commande PING" sur le contrôleur de domaine par le nom d'hôte et l'adresse IP de son partenaire de concentrateur.
  • Assurez-vous que les ordinateurs situés dans la branche peuvent résoudre les noms dans le concentrateur. Par exemple, "exécuter la commande PING" sur serveur1.domaine1.site1.forest.com.
  • Assurez-vous que vous pouvez exécuter la commande PING sur les serveurs par leurs identificateurs globaux uniques (GUID) tels qu'ils sont répertoriés dans les journaux d'événements. Si vous pouvez exécuter avec succès la commande PING sur un serveur par son nom d'hôte, mais pas par son GUID, un problème de configuration DNS existe.
  • Exécutez l'utilitaire Dcdiag.exe. Cet utilitaire exécute une série de tests dont le résultat est "réussi" ou "échoué." Assurez-vous que tous les tests sont réussis.
  • Affichez les fichiers journaux du service d'annuaire de l'Observateur d'événements sur la branche où vous rencontrez des problèmes. Examinez les erreurs puis résolvez-les.
  • Vérifiez les liaisons de sites correctes à l'aide de l'utilitaire Repadmin.exe avec le commutateur /showreps.
  • Vérifiez les connexions entrantes à l'aide de l'utilitaire Repadmin.exe avec le commutateur /showconn.
  • Affichez tous les fichiers journaux dans le dossier Winnt\Debug.

Symptômes spécifiques et instructions de dépannage

Remarque Dans les sections suivantes, le contrôleur de domaine qui rapporte le problème est appelé « serveur de destination ». Le contrôleur de domaine à partir duquel le serveur de destination essaie de répliquer le contenu est appelé "serveur source".

Messages d'erreur « Accès refusé »

Lorsque vous utilisez l'outil Repadmin.exe avec le commutateur /showreps, un ou plusieurs messages d'erreur « Accès refusé » sont répertoriés dans les informations d'état de la réplication qui sont renvoyées. Elles indiquent que le contrôleur de domaine a échoué en essayant de contacter l'autre contrôleur de domaine. Comme un contrôleur de domaine est un membre du groupe Enterprise Domain Controllers, il est autorisé à appeler toute fonction ou tout autre contrôleur de domaine. Si vous voyez que les appels entre les contrôleurs de domaine provoquent des erreurs "Accès_Refusé", le problème n'est pas lié au manque d'informations d'identification correctes mais à un des contrôleurs de domaine qui n'est pas configuré correctement.
  • Si l'erreur est "ERROR_ACCESS_DENIED", recherchez un problème Kerberos.
  • Si l'erreur est "ERROR_DRA_ACCESS_DENIED", vérifiez si les comptes d'ordinateur des deux ordinateurs concernés ou des deux annuaires, sont corrects. Assurez-vous que le champ userAccountControl est correct pour un contrôleur de domaine.

Repadmin.exe ou Replmon.exe rapportent l'erreur « Accès refusé » pour une partition particulière de l'annuaire

Ce problème indique en général un problème d'authentification Kerberos bien que plusieurs exceptions existent. Dans ce cas, pour résoudre l'échec de la réplication, résolvez la défaillance de l'authentification avant d'essayer de résoudre le problème de réplication. Pour résoudre ce problème, procédez comme suit :
  1. Assurez-vous que le droit utilisateur "Accéder à cet ordinateur à partir du réseau" dans la stratégie de sécurité du serveur source comprend le compte ordinateur des serveurs de destination. Vous pouvez y parvenir par le groupe Tout le monde, le groupe Enterprise Domain Controllers ou en le spécifiant individuellement.
  2. Assurez-vous que le service du centre de distribution de clés est démarré. Vous pouvez utiliser Dcdiag.exe pour tester l'échec du service sur tous les contrôleurs de domaine à l'aide de la commande dcdiag/test:services.

    Remarque Dans cette commande, il y a deux-points entre "test" et "services."
  3. Assurez-vous que le serveur de destination dispose d'objets connexion d'autres serveurs sources. Si ce n'est pas le cas, vous devrez peut-être créer des connexions manuelles si le vérificateur de cohérence des connaissances (KCC) ne les crée pas automatiquement ou s'il a été désactivé.
  4. Assurez-vous que la topologie du vérificateur de cohérence des connaissances est connectée. Si le vérificateur de cohérence des connaissances n'a pas formé de topologie complète, les modifications ne peuvent pas être répliquées. Pour le tester, utilisez la commande dcdiag/test:topology, spécifiez la topologie du domaine que vous souhaitez vérifier.
  5. Assurez-vous que la case à cocher Approuver l'ordinateur pour la délégation est activée sur l'onglet Général des Propriétés du contrôleur de domaine dans le logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory.
  6. Si le problème existe entre les contrôleurs de domaine de domaines différents, vérifiez la relation d'approbation. Pour cela, utilisez le composant logiciel enfichable Domaines et approbations Active Directory ou la commande netdom trust nom_domaine_approuvant /domain:nom_domaine_approuvé/verify/kerberos.
  7. Assurez-vous que chaque ordinateur est synchronisé pour le contexte de nommage de configuration (Config NC). Le vérificateur de cohérence des connaissances doit savoir ce que sont les serveurs et les sites. Vous pouvez utiliser la commande repadmin/syncall pour forcer un serveur à être mis à jour avec toute l'entreprise. Spécifiez que le contexte de nommage que vous souhaitez synchroniser est le contexte de nommage de configuration. Assurez-vous que votre topologie de liaison de sites est correcte. Forcez le vérificateur de cohérence des connaissances à s'exécuter sur chaque serveur pour reconstituer la topologie ou attendez 15 minutes.
  8. Assurez-vous que les serveurs ponts clés sont opérationnels. Vous devez déterminer si les modifications peuvent circuler dans l'entreprise. Exécuter la commande dcdiag/test:intersite une fois pour chaque site. Cette commande renvoie les noms des serveurs ponts et s'ils rapportent ou non des erreurs.
  9. Vérifiez l'attribut de la propriété userAccountControl. Assurez-vous que les attributs UF_SERVER_TRUST_ACCOUNT 0x2000 et UF_TRUSTED_FOR_DELEGATION 0x80000 sont définis. Par exemple, si vous convertissez la valeur d'attribut décimale 532480 en valeur hexadécimale, le résultat est 0x82000, avec 0x80000 correspondant à UF_TRUSTED_FOR_DELEGATION et 0x2000 correspondant à UF_SERVER_TRUST_ACCOUNT.
  10. Utilisez l'utilitaire Replmon.exe pour déterminer si les attributs pwdLastSet et unicodePwd ont des cachets de date et d'heure cohérents sur les ordinateurs.
  11. Assurez-vous que les noms principaux du service (SPN) sont enregistrés sur chaque contrôleur de domaine. Utilisez la commande dcdiag/test:outboundsecurechannels pour les tester. Vous pouvez identifier les noms principaux du service qui sont utilisés pour la réplication par le GUID précédent : E3514235-4B06-11D1-AB04-00C04FC2DCD2/b2f6f255-4446-45e8-81a3-0649d5d71a66/domaine.com.
  12. Forcez tous les comptes d'ordinateur à être répliqués dans l'entreprise. Cela signifie que tous les contrôleurs de domaine doivent être synchronisés avec toutes les autres copies de leur domaine. Pour chaque ordinateur qui rapporte une erreur de réplication telle que "Accès refusé", utilisez la commande repadmin/syncall pour forcer cet ordinateur à être mis à jour. Notez que vous devez spécifier le domaine que vous souhaitez synchroniser.
  13. Le message d'erreur suivant peut s'afficher lorsque vous exécutez la commande précédente Repadmin.exe :
    Le contexte de sécurité n'a pas pu être établi à cause d'un échec dans la qualité de service requise.
    Si vous y parvenez, augmentez le traitement interne et recherchez les "DSID". Contactez les Services de Support Technique de Microsoft (PSS) pour obtenir des informations sur la façon d'obtenir l'outil Dsid.exe. Pour plus d'informations sur la façon de contacter Microsoft PSS, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://support.microsoft.com/
  14. Assurez-vous que le groupe Enterprise Domain Controllers dispose des autorisations nécessaires sur les listes de contrôle d'accès (ACL) des partitions de l'annuaire :
    1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
    2. Dans le menu Affichage, cliquez sur Fonctionnalités avancées\ (si cette option n'est pas déjà sélectionnée).
    3. Cliquez avec le bouton droit sur l'objet du domaine racine, puis cliquez sur Propriétés.
    4. Cliquez sur l'onglet Sécurité, sur ENTERPRISE DOMAIN CONTROLLERS dans la liste des noms, puis assurez-vous que les autorisations suivantes sont sélectionnées sous Autoriser :
      Gérer la topologie de la réplication
      Réplication des changements de répertoire en cours
      Synchronisation de la réplication
  15. Utilisez le composant logiciel enfichable Sites et services Active Directory pour vous assurer que l'objet Serveur et son objet enfant "Paramètres NTDS" correspondant existe sur le site correct.
  16. Vérifiez le serveur de destination en vue de détecter la présence de tickets anciens ou non valides destinés au serveur source. Utilisez les utilitaires du Kit de ressources de Windows 2000 Kerbtray et Klist pour exécuter ces tests. Utilisez la commande NETDOM RESETPWD pour réinitialiser le mot de passe du compte et écrire cette modification sur un partenaire de réplication immédiate. Cela modifie effectivement le mot de passe, définit l'ancien et le nouveau mot de passe afin qu'ils soient identiques et écrit cette modification sur le partenaire de réplication. Cela nécessite l'utilisation de la commande suivante ou le redémarrage de l'ordinateur :
    klist purgeall

Message d'erreur « Échec de l'opération DSA en raison d'une défaillance de la recherche DNS »

Pour résoudre cette erreur, procédez comme suit :
  1. Utilisez la commande Nltest /dsgetdc: /pdc /force /avoidself pour déterminer si le contrôleur principal de domaine correct est renvoyé.
  2. Si un objet connexion et non un lien de réplication est rapporté par les commandes REPLMON ou REPADMIN, le problème peut être lié au vérificateur de cohérence des connaissances.
  3. Exécutez les commandes suivantes sur le contrôleur principal de domaine, puis soumettez la sortie à Microsoft PSS pour une meilleure résolution des problèmes :
    nltest /DBFLAG:0x2000FFFF

    - et -

    nltest /DSGETDC: /GC
  4. Exécuter la commande nltest /dsgetdc: /gc /force pour déterminer si vous pouvez contacter un serveur de catalogue global (GC).
  5. Vérifiez le paramètre "Dernière modification du mot de passe"sur le contrôleur principal de domaine et le(s) serveur(s) avec lesquels vous rencontrez le problème.

Opération en file d'attente ou aucun lien de réplication n'est affiché

Aucun lien de réplication n'est rapporté lorsque vous exécutez les utilitaires Repadmin.exe ou Replmon.exe. Pour résoudre ce problème, déclenchez le vérificateur de cohérence des connaissances et recherchez tous les événements qui lui sont liés dans le journal des services d'annuaire. Cela montre en général un échec de communication avec un contrôleur de domaine.

Accès à la réplication refusé ou contexte de nommage en cours de suppression

L'un des messages d'erreur suivants s'affiche lorsque vous essayez de déclencher la réplication :
L'accès à la réplication a été refusé.
- ou -
Le contexte de nommage est en cours de suppression.
Cela peut se produire si l'utilisateur qui utilise le composant logiciel enfichable Sites et services Active Directory pour déclencher la réplication sur un contrôleur de domaine ne dispose pas de l'autorisation appropriée pour initialiser la réplication. Vérifiez les informations d'identification de l'utilisateur qui exécute cette opération.

Objets connexion dupliqués entre les sites

Pour résoudre ce problème, procédez comme suit : Important Cette section, méthode ou tâche explique la procédure à suivre pour modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Procédure de sauvegarde, de modification et de restauration du Registre dans Windows XP
  1. Déterminez si des têtes de pont explicites entre les sites ont été utilisées et n'ont pas été supprimées ou si elles sont actuellement utilisées et mal configurées. Pour le vérifier, il suffit d'utiliser l'outil LDP pour vous connecter au Générateur de topologie inter-sites (ISTG) dans le site qui dispose de connexions dupliquées. Si vous recherchez le conteneur Transports intersites dans le contexte de nommage de configuration, puis cn=ip, vous localisez cet objet. S'il contient l'attribut "bridgeheadServerListBL", les têtes de pont explicites existent. Pour plus d'informations sur la procédure à suivre pour déterminer l'ISTG d'un site, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    224599 Déterminer le Générateur de topologie inter-site (ISTG) d'un site dans Active Directory
  2. Déterminez si les connexions dupliquées s'affichent dans tous les sites ou dans un sous-ensemble particulier. Recherchez un motif tel que les connexions dupliquées entre certains jeux de serveurs. Dans un site qui dispose de connexions dupliquées, affichez l'attribut fromServer sur la connexion dupliquée. Pour cet attribut "fromServer", examinez le site dans lequel l'attribut "fromServer" réside. Essayez d'isoler les activités dans ce site. Combien ce site dispose-t-il de serveurs ? Certains serveurs sont-ils accessibles en utilisant l'utilitaire Ping de l'ISTG ?
  3. Assurez-vous que l'intervalle de réplication est convenablement défini et que l'ISTG peut terminer sa réplication.
  4. Pour isoler les problèmes de connexion dupliquée, procédez comme suit :
    1. Choisissez un contrôleur de domaine qui crée des connexions inter-sites entrantes dupliquées. Par exemple, le même contrôleur de domaine source et le contrôleur de domaine de destination, pas uniquement le même site source et le même site de destination. Le contrôleur de domaine sélectionné doit être le générateur de topologie inter-sites de son site. Vous pouvez déterminer l'ISTG d'un site en affichant les propriétés Paramètres de site NTDS de ce site dans le composant logiciel enfichable Sites et services Active Directory.
    2. Augmentez la taille du journal d'événements du service d'annuaire en une très grande taille. Par exemple, 64 mégaoctets (Mo).
    3. Utilisez l'Éditeur du Registre (regedit) afin d'attribuer la valeur de données 5 à la valeur 1 Knowledge Consistency Checker et la valeur de données 1 à la valeur 9 Internal Processing dans la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    4. Exécuter la commande ldifde -f before.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com".
    5. Laissez T0 = heure actuelle.
    6. Exécutez la commande repadmin/Kcc, puis attendez qu'elle se termine.
    7. Démarrez l'Observateur d'événements, puis assurez-vous que le journal d'événements du service d'annuaire a enregistré les événements d'information à l'heure T0 (y compris l'événement 1099 du vérificateur de cohérence des connaissances, "Le vérificateur de cohérence a commencé la mise à jour de la topologie de réplication pour ce serveur"). Sinon, doublez la taille du journal d'événements et retournez à l'étape e : Laissez T0 = heure actuelle.
    8. Enregistrez le journal d'événements du service d'annuaire.
    9. Exécuter la commande ldifde -f after.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com".
    10. Analysez en profondeur Before.ldf, After.ldfl et les journaux d'événements du service d'annuaire.

La stratégie de groupe n'est pas appliquée correctement sur les contrôleurs de domaine

Vous pouvez utiliser l'exemple de script suivant pour vous assurer que la stratégie de groupe a correctement répliqué sur les contrôleurs de domaine de votre domaine. Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie explicite ou implicite, y compris, de manière non limitative, les garanties implicites de qualité marchande et/ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques.
Si vous ne maîtrisez que partiellement la programmation, vous pouvez contacter un partenaire certifié Microsoft ou les Services de conseil de Microsoft. Pour plus d'informations, reportez-vous aux sites Web de Microsoft aux adresses suivantes :

Partenaires certifiés Microsoft - https://partner.microsoft.com/global/30000104

Services de conseil de Microsoft - http://support.microsoft.com/gp/advisoryservice/fr

Pour plus d'informations sur les options de support technique disponibles et la façon de contacter Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante : http://support.microsoft.com/default.aspx?scid=fh;FR-FR;CNTACTMS Utilisez la commande chkpolicy nom_de_votre_domaine pour exécuter ce script :
@echo off

REM \logs\chkpolicy nom_domaine

set filename=sysvol\%dom_name%\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GPTTMPL.INF

nltest /dclist:%nom_domaine% > dclist.tmp

del dclist1.tmp

FOR /F "eol=; tokens=1 delims=, " %%i in (dclist.tmp) do (

     @echo %%i >> dclist1.tmp

)

FOR /F "eol=. tokens=1 delims=. " %%i in (dclist1.tmp) do (

      @echo %%i

     dir  "\\%%i\%nom_fichier%"

)

Le service d'annuaire est occupé et ne peut pas terminer l'opération

Le message d'erreur 8438, ERROR_DS_DRA_BUSY, peut s'afficher : « Le service d'annuaire est occupé et ne peut pas terminer l'opération de réplication actuellement ». C'est l'erreur que le service d'annuaire renvoie lorsqu'il a progressé dans la suppression du contexte de nommage (500 objets supprimés) mais qu'il y a trop d'objets pour terminer en une seule transmission sans entraver la file d'attente de la réplication. Si le nettoyage du catalogue global empêche que la réplication ne soit correcte, créez un fichier de commandes pour accélérer le processus. Vous pouvez repromouvoir ensuite l'ordinateur pour qu'il fonctionne comme serveur de catalogue global. L'exemple de script suivant fournit cette fonctionnalité : Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie explicite ou implicite, y compris, de manière non limitative, les garanties implicites de qualité marchande et/ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques. Si vous ne maîtrisez que partiellement la programmation, vous pouvez contacter un partenaire certifié Microsoft ou le service client Microsoft au 0825 827 829 qui pourra transmettre votre demande de consulting aux équipes Microsoft appropriées. Pour plus d'informations sur les partenaires certifiés Microsoft (Microsoft Certified Partners), reportez-vous au site Web de Microsoft à l'adresse suivante :
https://partner.microsoft.com/global/30000104
Pour plus d'informations sur les options de support technique disponibles, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=fh;FR-FR;CNTACTMS
setlocal

set destgc=__setgcnamehere__.site1.forest1.com

:domain1

repadmin /delete DC=domain1,DC=site1,DC=forest1,DC=com %destgc% /nosource

if %errorlevel% == 8438 goto :domain2

:domain2

repadmin /delete DC=domain2,DC=Site1,DC=forest1,DC=com %destgc% /nosource

if %errorlevel% == 8438 goto :domain3

REM ...

endlocal

Solutions de dépannage avancées

Vérificateur de cohérence des connaissances et ISTG

Vous pouvez créer un journal d'événements pour le vérificateur de cohérence des connaissances qui contient des informations de diagnostic supplémentaires. Pour cela, appliquez les étapes suivantes sur l'ISTG du site où les connexions dupliquées s'affichent :
  1. Enregistrez le contenu du journal d'événements, puis effacez le journal d'événements.
  2. Attribuez à la valeur DWORD de Registre 1 Knowledge Consistency Checker la valeur 5 dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
  3. Exécuter le vérificateur de cohérence des connaissances en exécutant la commande repadmin/Kcc.
  4. Réinitialisez la valeur DWORD de Registre 1 Knowledge Consistency Checker sur 0 (zéro).
  5. Enregistrez le nouveau journal d'événements.
Pour obtenir une nouvelle mesure de la ligne de base, procédez comme suit :
  1. Assurez-vous que l'ordinateur dispose d'une liaison de site vers le concentrateur. Si ce n'est pas le cas, créez-en une.
  2. Supprimez tous les objets connexion qui se trouvent dans l'ordinateur.
  3. Exécutez le vérificateur de cohérence des connaissances en exécutant la commande repadmin/Kcc.
  4. Assurez-vous qu'il a créé les connexions que vous attendez en exécutant la commande repadmin/showconn.
  5. Recherchez des erreurs dans le journal d'événements du service d'annuaire. Vous pouvez voir des erreurs (par exemple, l'ID d'événement 1265) qui indiquent qu'un réplica ne peut pas être ajouté pour le contexte de nommage X et l'erreur Y. Déterminez si l'erreur est en rapport avec un problème DNS ou si c'est une erreur de connectivité, puis essayez de résoudre le problème correspondant. Si l'erreur indique qu'un nom de compte cible est incorrect ou si c'est une erreur de noms principaux du service, elle peut être plus difficile à résoudre.
  6. Si le journal d'événements rapporte que le réplica a été ajouté avec succès, effectuez la vérification en exécutant la commande repadmin/showreps.
Après avoir ajusté les intervalles de réplication de la liaison des sites, attendez la modification de la configuration pour répliquer sur d'autres serveurs du concentrateur, puis redémarrez chacun des serveurs du concentrateur pour effacer la file d'attente de la réplication. Vous pouvez utiliser la commande repadmin/sync ou le composant logiciel enfichable Sites et serveurs Active Directory pour forcer la réplication du contexte de nommage de configuration afin que les liaisons de site mises à jour soient visibles sur chacun des serveurs du concentrateur avant de les redémarrer. Utilisez l'utilitaire Dcdiag.exe pour évaluer la santé de la réplication de chaque site. Il peut être exécuté à distance à l'aide d'un script et la sortie est analysée en vue de détecter le terme "fail." Vous pouvez utiliser l'exemple de script suivant comme exemple : Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie explicite ou implicite, y compris, de manière non limitative, les garanties implicites de qualité marchande et/ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques. Si vous ne maîtrisez que partiellement la programmation, vous pouvez contacter un partenaire certifié Microsoft ou le service client Microsoft au 0825 827 829 qui pourra transmettre votre demande de consulting aux équipes Microsoft appropriées. Pour plus d'informations sur les partenaires certifiés Microsoft (Microsoft Certified Partners), reportez-vous au site Web de Microsoft à l'adresse suivante :
https://partner.microsoft.com/global/30000104
Pour plus d'informations sur les options de support technique disponibles, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=fh;FR-FR;CNTACTMS
REM vérifie les réplications du site site1

dcdiag /s:dc1 /test:replications /a /n:domaine1

dcdiag /s:dc1 /test:replications /a /n:domaine2

dcdiag /s:dc1 /test:replications /a /n:domaine3

REM vérifie les réplications du site site2

REM poursuit les instructions Dcdiag pour les domaines du site2

Service de réplication de fichiers (FRS)

  1. Si vous supposez que la réplication du service d'annuaire fonctionne, mais que le service de réplication de fichiers échoue, assurez-vous que le correctif ultérieur au Service Pack1 (SP1) FRS est installé sur tous les partenaires de la réplication. Cette mise à jour est fournie dans les Service Pack 2 et Service Pack 3 pour Windows 2000.
  2. Exécutez la commande Ntfrsutil ds pour vérifier ce qui suit :
    • Assurez-vous qu'il y a seulement un objet abonné nommé "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" et qu'il dispose d'une "Member Ref." Par exemple :
      • SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
      • Member Ref: CN = TEST1, CN=Domain System Volume (SYSVOL share),CN=File Replication Se...
    • Recherchez la sortie objet membre ("vidage") de ce contrôleur de domaine, puis assurez-vous qu'elle dispose de l'attribut Server Ref et Computer Ref. Assurez-vous également qu'au moins une connexion existe sous cet objet du membre. C'est la connexion entrante sur ce contrôleur de domaine. Par exemple : MEMBER: TEST1
      • Server Ref : CN=NTDS Settings,CN=TEST1,CN=Serveurs,CN=Default-First-Site-Name,CN=Sit...
      • Computer Ref : cn=test1,ou=domain controllers,dc=domain1,dc=site1,dc=forest1,dc=com...
      • DN : cn=d7874204-c331-4750-82ec-30b96a8ec732,cn=ntds settings,cn=test1,cn=s...
    • Assurez-vous qu'au moins un autre objet membre disposait de ce contrôleur de domaine comme son partenaire entrant. Utilisez l'attribut Partner Dn pour indiquer de quel partenaire provient cette connexion.
      • Partner Dn : cn=ntds settings,cn=test1,cn=serveurs,cn=default-first-site-name,cn=sit...
  3. Exécutez la commande Ntfrsutil pour vérifier ce qui suit :
    • Assurez-vous que la valeur ACTIVE est attribuée à Service State dans le jeu de réplicas DOMAIN SYSTEM VOLUME (SYSVOL SHARE). Par exemple :
      ServiceState : 3 (ACTIVE)
    • Assurez-vous qu'il y en a au moins une connexion entrante et une connexion sortante sur ce contrôleur de domaine. Par exemple :
      Entrant  : FALSE
      Entrant  : TRUE
  4. Augmentez les niveaux d'enregistrement du service de réplication de fichiers. Pour cela, ajoutez les valeurs de Registre suivantes à la sous-clé
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
    du Registre :
    Nom de la valeur : Debug Log Severity
    Type de la valeur : REG_DWORD
    Valeur : 0x00000004
    Nom de la valeur : Debug Maximum Log Messages
    Type de la valeur : REG_DWORD
    Valeur : 50000
    Nom de la valeur : Debug Log Files
    Type de la valeur : REG_DWORD
    Valeur : 0x00000032
  5. Pour vous aider à résoudre les problèmes, vous pouvez "vider" l'état du FRS sur un contrôleur de domaine dans un fichier. Utilisez l'exemple de script suivant comme exemple : Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie explicite ou implicite, y compris, de manière non limitative, les garanties implicites de qualité marchande et/ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques. Si vous ne maîtrisez que partiellement la programmation, vous pouvez contacter un partenaire certifié Microsoft ou le service client Microsoft au 0825 827 829 qui pourra transmettre votre demande de consulting aux équipes Microsoft appropriées. Pour plus d'informations sur les partenaires certifiés Microsoft (Microsoft Certified Partners), reportez-vous au site Web de Microsoft à l'adresse suivante :
    https://partner.microsoft.com/global/30000104
    Pour plus d'informations sur les options de support technique disponibles, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://support.microsoft.com/default.aspx?scid=fh;FR-FR;CNTACTMS
    @echo off
    
    REM FRS_CHECK.CMD - Enregistre l'état du FRS
    
    SETLOCAL ENABLEEXTENSIONS
    
    SET FRSCK=C:\FRS_CHECK
    
    if NOT EXIST %FRSCK% (md %FRSCK%)
    
    REM  run dcdiag
    
    dcdiag  >  %FRSCK%\dcdiag.txt
    
    REM pour FRS 
    
    ntfrsutl  ds  > %FRSCK%\ntfrs_ds.txt
    ntfrsutl  sets  > %FRSCK%\ntfrs_sets.txt
    ntfrsutl  inlog  > %FRSCK%\ntfrs_inlog.txt
    ntfrsutl  outlog  > %FRSCK%\ntfrs_outlog.txt
    ntfrsutl  version  > %FRSCK%\ntfrs_version.txt
    regdmp HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters > %FRSCK%\ntfrs_reg.txt
    dir \\.\sysvol /s > %FRSCK%\ntfrs_sysvol.txt
    
    REM recherche des erreurs dans les journaux de débogage FRS.
    
    findstr /i ":SO: error invalid fail abort warn" %windir%\debug\ntfrs_*.log   |  findstr /v "IO_PEND ERROR_SUCCESS FrsErrorSuccess" > %FRSCK%\ntfrs_errscan.txt
    
    REM pour la réplication des services d'annuaire
    
    repadmin /showreps  >  %FRSCK%\ds_showreps.txt
    repadmin /showconn  >  %FRSCK%\ds_showconn.txt

Propriétés

Numéro d'article: 249256 - Dernière mise à jour: jeudi 27 juin 2013 - Version: 6.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Mots-clés : 
kbhowtomaster KB249256
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com