Clonage de contrôleur de domaine échoue et crée un contrôleur de domaine en double non clonés dans Windows Server 2012

Traductions disponibles Traductions disponibles
Numéro d'article: 2742970
Agrandir tout | Réduire tout

Symptômes

Envisagez le scénario suivant :
  • Vous utilisez le contrôleur de domaine virtualisés clonage fonctionnalité sur un ordinateur qui exécute Windows Server 2012.
  • Vous utilisez l'adressage IP automatique.
  • Vous essayez de dupliquer un contrôleur de domaine (DC).
Dans ce scénario, le contrôleur de domaine d'origine n'est pas cloné, et il démarre normalement. Toutefois, un deuxième contrôleur de domaine est créé qui est pas un clone de contrôleur de domaine source mais est un doublon exact de contrôleur de domaine source. Bien que ce contrôleur de domaine de deuxième traite activement les requêtes, il ne réplique pas fiable les modifications de Services de domaine Active Directory (AD DS), entrant ou sortant, lorsque les deux contrôleurs de domaine exécutent simultanément. En outre, les deux contrôleurs de domaine autorisent les modifications de AD DS locales.

Cause

Ce problème peut se produire pour l'une des raisons suivantes :
  • Le fichier DcCloneConfig.xml que vous avez créé au cours de l'opération de clonage n'est pas dans un des emplacements appropriés suivants :
    • Le répertoire de travail de DSA
    • % systemroot%\Ntds
    • Support amovible en lecture-écriture, au niveau du disque racine
  • Le fichier DcCloneConfig.xml est l'un des emplacements appropriés, mais vous redémarré l'ordinateur source avant l'exécution de l'opération de clonage. Cette action a provoqué le système renommer le fichier DcCloneConfig.xml à l'aide d'un horodatage. Le système a effectué cette action pour empêcher le clonage accidentelle, car l'ID de génération de la machine virtuelle n'a pas changé.

Résolution

Pour résoudre ce problème, procédez comme suit.

Notes
  • Dans ces étapes, les termes et les exemples suivants sont utilisés :
    • DC1.corp.contoso.com ? « ou existants d'un nouveau contrôleur de domaine »: un contrôleur de domaine non dupliqués qui existe déjà dans l'environnement ou qui a été promu dans le cadre de ce processus de réparation
    • DC2.corp.contoso.com ? « Contrôleur de domaine source d'origine »: le contrôleur de domaine qui a été copié pour rendre le clone
    • DC2.corp.contoso.com ? « En double contrôleur de domaine »: le contrôleur de domaine qui était supposé être cloné à partir du contrôleur de domaine d'origine mais qui est maintenant une copie identique
  • Pendant que vous êtes connecté en tant que membre du groupe Admins du domaine, vous devez exécuter ces étapes à partir d'une invite de commandes avec élévation de privilèges. Pour simplifier la récupération, tous les contrôleurs de domaine sont principalement vers laquelle pointe le même serveur DNS.
  • Avant de commencer ces étapes, assurez-vous que vous savez (ou set) le mot de passe du Mode de réparation Active Directory sur la contrôleur de domaine source d'origine à l'aide de la commande ntdsutil.exe avec les options set dsrm password .
  1. Sur le contrôleur de domaine de la source d'origine, exécutez les commandes d'exemple suivantes :
    bcdedit.exe /set dsrepair safeboot

    Shutdown.exe /s /t 0
    Remarque : Ces commandes Arrêter la contrôleur de domaine source d'origine. Le contrôleur de domaine démarre ensuite en mode Dsrepair. Cela garantit que si le contrôleur de domaine est redémarré accidentellement à tout moment avant d'effectuer ces étapes, il est inutile de redémarrer la procédure depuis le début.
  2. Normalement, redémarrez le contrôleur de domaine en double à l'aide de la commande suivante :
    Shutdown.exe /r /t 0
  3. Suspendre le service Netlogon sur le contrôleur de domaine en double à l'aide de la commande suivante :
    SC.exe pause netlogon
    Remarque : Cette commande empêche d'autres localisation automatique du contrôleur de domaine en double par utilisateurs et ordinateurs.
  4. Désactiver la réplication AD DS entrante sur le contrôleur de domaine en double localement à l'aide de la commande suivante :
    /options de Repadmin.exe <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    Par exemple, exécutez la commande suivante :
    /options de Repadmin.exe DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    Remarque : Cette commande empêche les autres mises à jour ne soient apportées au contrôleur de domaine en double à partir d'autres contrôleurs de domaine.
  5. Facultatif : Si vous n'avez pas déjà un troisième « existant DC » (c'est-à-dire que vous tentiez de cloner le seul contrôleur de domaine qui était dans le domaine), vous devez promouvoir un nouveau contrôleur de domaine normalement dans le même domaine Active Directory et le site en tant que contrôleur de domaine en double. Si un contrôleur de domaine existant dans ce domaine n'a pas été dupliqué, ignorez cette étape.
  6. Si vous effectuez l'étape 5, vérifiez que le contrôleur de domaine existant ou nouveau dispose d'un partenariat de réplication entrante à partir du contrôleur de domaine en double. S'il est nécessaire, utilisez la commande DsSites.msc ou /addrepsto de repadmin.exe pour créer une connexion manuelle. Vérifiez que le contrôleur de domaine en double est configuré pour répliquer correctement sortant avec le contrôleur de domaine nouveaux ou existant en exécutant localement la commande suivante sur le contrôleur de domaine en double :
    Repadmin.exe /showrepl<new dc="" name=""></new>
    Par exemple, exécutez la commande suivante :
    Repadmin.exe /showrepl dc1.corp.contoso.com
    Important : Le contrôleur de domaine nouveaux ou existant doit avoir une connexion de réplication entrante à partir du contrôleur de domaine en double avant de procéder à l'étape suivante.

    Le /repsto argument peut également être utilisé pour déterminer les connexions de réplication sortantes du contrôleur de domaine en double dans le même site, ou pour déterminer si la notification de modification est configurée sur les liens inter-site.
  7. Sur le contrôleur de domaine en double, configurez le pare-feu Windows avec sécurité avancée (ou un pare-feu tiers) en définissant les règles de trafic entrant pour les ports suivants pour bloc:
    • Ports 138 et 445 (via TCP et UDP)
    • Ports 389 et 636 (via TCP)
    Par exemple, exécutez les commandes suivantes :
    netsh.exe advfirewall firewall add rule name = « MSFT block LDAP » protocol = tcp dir = dans Port_Local = 389 action = block

    netsh.exe advfirewall firewall add rule name = « MSFT block LDAPS » protocol = tcp dir = dans Port_Local = 636 action = block

    netsh.exe advfirewall firewall add rule name = « MSFT bloc SMB dans » protocol = tcp dir = dans Port_Local = 445 action = block

    netsh.exe advfirewall firewall add rule name = « MSFT block NB DG » protocol = tcp dir = dans Port_Local = 138 action = block
    Remarque : Cette étape empêche les utilisateurs d'origine plus mises à jour sur le contrôleur de domaine en double par le biais de protocoles communs de AD DS.
  8. Assurez-vous que toutes les modifications en attente soient répliquées du contrôleur de domaine en double au contrôleur de domaine existant ou nouveau. Pour ce faire, utilisez la commande suivante sur le contrôleur de domaine en double localement afin de vous assurer que toutes les modifications ont été répliquées sortant de nommage de domaine, d'appellation de configuration et les contextes de nommage DNS.

    Remarque : Le GUID de DSA est affiché par la commande repadmin à l'étape 6 est requis dans ces commandes.
    Repadmin.exe /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    Par exemple, exécutez les commandes suivantes :
    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = configuration, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    Remarque : Lorsque toute la réplication est synchronisée, la valeur de statistiques pour les champs de tous les objets et attributs sera "0" (zéro). Si vous supprimez l'argument /statistics, vous pouvez voir les objets spécifiques et les attributs en attente de réplication.
  9. Utilisez le composant logiciel enfichable Console de gestion de stratégie de groupe (Gpmc.msc) dans Windows Server 2012 GPMC.msc pour vous assurer que toutes les modifications SYSVOL ont été répliquées à partir du contrôleur de domaine en double au partenaire existant ou nouveau contrôleur de domaine. Pour ce faire, cliquez sur le État onglet dans le composant logiciel enfichable et examinez leur contenu.

    Notes
    • Définissez le contrôleur de domaine en double comme base.
    • Si tous les serveurs exécutent une installation Server Core, utilisez la console GPMC à partir d'un client Windows 8 a Microsoft Remote Server Administration Outils (RSAT) installé.
    • Si les serveurs sont de désynchronisation, assurez-vous avant de continuer à l'étape suivante que les mises à jour manquantes répliquées à partir d'un autre contrôleur de domaine. Dans ce cas, les mises à jour seraient les modifications de stratégie de groupe qui ont été apportées après que la réplication entrante a été désactivée sur ce serveur à l'étape 4.
  10. Empêcher que le contrôleur de domaine en double jamais démarrer à nouveau comme un doublon. Pour ce faire, arrêter correctement le contrôleur de domaine en double, ses disques de conservation, de sauvegarder, puis la supprimer la machine virtuelle et ses disques.
  11. Assurez-vous que le contrôleur de domaine existant ou nouveau a répliqué en double DC jour qui sont sortantes vers les autres contrôleurs de domaine.

    Remarque : Cette action garantit que le delta des modifications qui ont été créés sur le contrôleur de domaine en double ne sont pas définitivement perdues à la forêt.
  12. Facultatif : Si vous avez créé un nouveau contrôleur de domaine à l'étape 5, rétrograder normalement le nouveau contrôleur de domaine.
  13. Démarrez la contrôleur de domaine source d'origine et ouvrez une session en utilisant le compte d'administrateur DSRM.
  14. Exécutez les commandes suivantes :
    Bcdedit.exe /deletevalue safeboot

    Shutdown.exe /r /t 0
    Remarque : Ces commandes permettent de supprimer l'indicateur d'amorçage DSRM automatique pour tous les redémarrages ultérieurs.
  15. Activer la réplication AD DS entrante sur la contrôleur de domaine source d'origine localement à l'aide de la commande suivante :
    /options de Repadmin.exe <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    Par exemple, utilisez la commande suivante :
    Repadmin.exe /options DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. Assurez-vous que les nouveaux objets sont créés dans l'environnement (vers et à partir du contrôleur de domaine source d'origine) sont répliquées vers tout autre contrôleur de domaine existant.

Plus d'informations

Lorsque vous clonez un contrôleur de domaine, contrôleur de domaine virtualisés implémente des garanties en créant un nouvel ID d'invocation et puis invalider le pool RID local. Ainsi, le contrôleur de domaine dupliqué continuer à répliquer entrant et de créer de nouvelles entités de sécurité. Toutefois, autres métadonnées de serveur en double empêche la réplication sortante de domaine Active Directory et SYSVOL à partir de travailler avec les autres contrôleurs de domaine qui se trouvent actuellement dans l'environnement. Uniquement un nouveau contrôleur de domaine qui n'a aucune association précédente avec le contrôleur de domaine en double peut permettre la réplication entrante à partir du contrôleur de domaine en double.

Les étapes décrites dans la section « Résolution » Assurez-vous qu'aucun delta des modifications n'est définitivement perdu. Cette perte se produit si vous désactivez le contrôleur de domaine en double, puis l'ignorer. Si vous démarrez le contrôleur de domaine en double, et vous remarquez immédiatement qu'il s'agit d'un doublon, vous avez la possibilité de désactiver le contrôleur de domaine en double et de rejeter sans effectuer les étapes dans cet article. Toutefois, sachez que toutes les modifications sont effectuées sur le contrôleur de domaine en double (par exemple, la création récente de l'objet, les modifications de mot de passe ou modification de l'appartenance de groupe) seront définitivement perdues.

Le potentiel pour la duplication de contrôleur de domaine a existé au début du Windows 2000. Toutefois, Windows Server 2012 VDC fait duplication DC plus susceptible de se produire que dans les versions antérieures de systèmes d'exploitation. Ces étapes sont applicables même si vous ne pas cloner un contrôleur de domaine mais, au lieu de cela, essayez de récupérer à partir d'un DC en double (virtuel ou physique) qui a été créé par le biais de clonage de disque.

Nous recommandons que tous les domaines possèdent plus d'un contrôleur de domaine.

Répertoire de travail de DSA est défini par la valeur REG_SZ de Registre suivante :
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters Répertoire de travail de DSA

Références

Pour télécharger Remote Server Administration outils pour Windows 8, reportez-vous au site Web Centre de téléchargement Microsoft suivant :
http://www.Microsoft.com/en-us/download/Details.aspx?ID=28972
Pour plus d'informations sur la façon de réinitialiser le mot de passe DSRM, cliquez sur le numéro ci-dessous pour accéder à l'article de la Base de connaissances Microsoft :
322672 Comment faire pour réinitialiser le Directory Services Restore mot de passe administrateur dans Windows Server 2003
Pour plus d'informations sur comment configurer et résoudre les problèmes de contrôleur de domaine virtualisés, consultez les rubriques suivantes de Microsoft TechNet :
Introduction au domaine Active Directory Services (AD DS) virtualisation (niveau 100)

Virtualisés domaine contrôleur techniques de référence (niveau 300)

Propriétés

Numéro d'article: 2742970 - Dernière mise à jour: vendredi 14 septembre 2012 - Version: 1.0
Mots-clés : 
kbmt KB2742970 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 2742970
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com