Comment faire pour utiliser DNSLint pour la résolution des problèmes de réplication de Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 321046 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment utiliser l'utilitaire DNSLint pour résoudre les problèmes de réplication de Active Directory.

Active Directory est une base de données distribuée. Elle est utilisée pour stocker des informations relatives aux objets d'un réseau et pour permettre aux utilisateurs d'accéder à ces informations. La réplication Active Directory sert à synchroniser les réplicas de partition parmi les contrôleurs de domaine dans une forêt Active Directory. Grâce à ce processus de réplication, les utilisateurs peuvent accéder aux informations à partir de n'importe quel emplacement sur le réseau. Lorsque ce processus ne fonctionne pas normalement, les utilisateurs peuvent constater une interruption des services basés sur les informations provenant de Active Directory : ouverture de session de domaine et accès aux ressources réseau, telles que fichiers et imprimantes.

La réplication Active Directory utilise le système DNS (Domain Name System) pour résoudre des noms en des adresses IP, si nécessaire. Un contrôleur de domaine Active Directory procède généralement à plusieurs enregistrements DNS avec son serveur DNS configuré lorsque le service Accès réseau démarre. DNSLint est un utilitaire de Microsoft Windows qui s'exécute sur les systèmes d'exploitation Windows 2000 et version ultérieure. Il permet notamment de résoudre les problèmes de réplication de Active Directory. Plus spécifiquement, il peut vous aider à savoir :
  • si tous les serveurs DNS qui sont supposés être autorisés pour la racine d'une forêt Active Directory disposent réellement des enregistrements DNS nécessaires pour synchroniser correctement les réplicas de partition parmi les contrôleurs de domaine dans une forêt Active Directory. DNSLint identifie les enregistrements DNS manquants pour chaque serveur DNS autorisé.
  • si un contrôleur de domaine Active Directory particulier peut résoudre tous les enregistrements DNS nécessaires pour réussir à synchroniser les réplicas de partition parmi les contrôleurs de domaine dans une forêt Active Directory. DNSLint identifie les enregistrements DNS qui ne peuvent pas être résolus par le contrôleur de domaine testé.

Résolution des problèmes

Si un contrôleur de domaine Active Directory veut effectuer des réplications avec un autre contrôleur de domaine, il utilise le système DNS pour trouver d'autres contrôleurs de domaine. Ce processus fonctionne de la manière suivante :
  1. Le contrôleur de domaine ayant initié la réplication (CD1) interroge Active Directory pour rechercher ses partenaires de réplication configurés. Ces partenaires sont généralement définis par le vérificateur de cohérence des connaissances (KCC, Knowledge Consistency Checker), mais peuvent aussi être définis manuellement. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    244368 Comment faire pour optimiser la réplication Active Directory sur un réseau étendu
    Le CD1 connaît uniquement le nom du contrôleur de domaine avec lequel il veut effectuer des réplications (CD2). Il recherche dans Active Directory un identificateur global unique (GUID) qui corresponde au nom du contrôleur de domaine cible (CD2). Notez que chaque contrôleur de domaine dans la forêt doit avoir son propre GUID.
  2. Lorsque le CD1 connaît le GUID du CD2, il doit trouver l'adresse IP de ce dernier pour s'y connecter sur le réseau. Pour cela, le CD1 utilise le système DNS. Il envoie une requête DNS récursive à son serveur DNS configuré localement pour obtenir un enregistrement CNAME. Le format de cet enregistrement est toujours le suivant :
    guid._msdcs.racine de la forêt Active Directory
    guid correspond à l'identificateur global unique trouvé par le CD1 dans Active Directory, et racine de la forêt Active Directory correspond à la racine de la forêt Active Directory. Par exemple :
    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    où 91f9b084-4876-4b59-be17-59e74c340221 est un identificateur global unique et reskit.com la racine de la forêt Active Directory.

    Le serveur DNS configuré localement du CD1 doit fournir un alias en réponse à la requête concernant l'enregistrement CNAME. L'alias est un autre nom donné au GUID. Par exemple, le GUID 91f9b084-4876-4b59-be17-59e74c340221 est résolu en dc-02.reskit.com.
  3. Lorsque le CD1 connaît l'alias pour le GUID, il doit résoudre l'alias en une adresse IP pour établir la connexion au CD2 sur le réseau. Il envoie une requête DNS récursive à son serveur DNS configuré localement pour obtenir un enregistrement de l'hôte (A) qui corresponde au nom de l'alias. Le serveur DNS doit répondre avec l'adresse IP qui a été mappée à l'alias, par exemple 169.254.66.7
  4. Dès que le CD1 connaît l'adresse IP du CD2, il peut se connecter à ce dernier sur le réseau et répliquer les données Active Directory.
Si ce processus échoue, la réplication Active Directory entre les contrôleurs de domaine échoue également et les données peuvent devenir incohérentes sur les contrôleurs de domaine. DNSLint peut vous aider à déterminer si les enregistrements DNS utilisés lors de ce processus sont en place et peuvent être résolus.
  1. Pour savoir si le système DNS provoque un problème de réplication Active Directory parmi les contrôleurs de domaine dans une forêt Active Directory, exécutez la commande suivante :
    dnslint /ad 169.254.32.1 /s 169.254.10.22
    où le paramètre /ad correspond à un contrôleur de domaine Active Directory qui peut être utilisé pour trouver les identificateurs globaux uniques (GUID) pour tous les contrôleurs de domaine dans la forêt Active Directory. Par défaut, tous les contrôleurs d'une forêt doivent disposer de ces informations. L'option /s est requise lorsque vous utilisez la fonction /ad. L'option /s permet d'indiquer à l'utilitaire DNSLint l'adresse IP d'un serveur DNS autorisé pour la zone _msdcs.racine de la forêt.

    Lorsque vous exécutez cette commande, DNSLint contacte d'abord le contrôleur de domaine Active Directory spécifié après le commutateur /ad (169.254.32.1). Avec cette commande, DNSLint interroge Active Directory sur ce contrôleur de domaine pour connaître tous les GUID dans la forêt Active Directory. Plus précisément, il interroge l'emplacement suivant dans Active Directory :
    CN=NTDS Settings, CN=Sites,CN=Configuration,DC=reskit,DC=com
    où DC=reskit,DC=com est la racine de la forêt Active Directory.

    Ce type de requête LDAP (Lightweight Directory Access Protocol) requiert une authentification sur Active Directory. Généralement, DNSLint s'exécute dans le contexte de sécurité de l'utilisateur qui a exécuté la commande. Ces informations d'identification de l'utilisateur servent à effectuer l'authentification sur Active Directory pendant l'opération de liaison LDAP. Si les informations d'identification sont valides et si l'utilisateur a accès à ces informations dans Active Directory, la liaison fonctionne et la recherche des GUID dans Active Directory commence. En revanche, si la liaison échoue, la recherche n'est pas effectuée et l'ensemble de l'opération échoue. Dans ce cas, DNSLint renvoie une erreur à l'utilisateur.

    Si une liste de GUID est renvoyée par le contrôleur de domaine spécifié, DNSLint envoie une requête DNS au serveur DNS, précisé à l'aide de l'option /s. Dans l'exemple donné précédemment dans cette étape, les requêtes DNS seraient envoyées à 169.254.10.22. Si ce serveur DNS n'est pas autorisé pour la zone _msdcs.racine de la forêt Active Directory, l'opération peut se terminer sans qu'aucun enregistrement DNS ne soit trouvé pour les GUID déjà trouvés. L'option /s doit spécifier l'adresse IP d'un serveur DNS autorisé pour le sous-domaine _msdcs.racine de la forêt Active Directory.

    Dans certains environnements, tels que ceux où un serveur DNS qui n'accepte pas les mises à jour dynamiques héberge la zone racine, la zone _msdcs a été déléguée à un serveur DNS qui n'est pas autorisé pour la racine de la forêt Active Directory. DNSLint vérifie cette délégation avant de traiter les requêtes DNS suivantes. Cette étape permet d'éviter d'envoyer des requêtes DNS à des serveurs DNS qui ne doivent pas être testés.

    Pendant le traitement des requêtes DNS, DNSLint essaie de trouver d'autres serveurs DNS qui sont autorisés pour la racine de la forêt Active Directory. Dès qu'il en a trouvé, il interroge le ou les serveurs DNS pour obtenir les enregistrements CNAME qu'il trouve dans Active Directory. Au fur et à mesure qu'il résout chaque enregistrement CNAME en un alias, DNSLint essaie également de résoudre l'enregistrement de type glue (A) pour chaque alias. Comme indiqué plus haut dans cet article, ces enregistrements DNS sont requis pour la réplication Active Directory.

    Ensuite, DNSLint crée un rapport au format HTML (et en option un fichier texte). Ce rapport comprend tous les GUID trouvés dans Active Directory, les serveurs DNS ayant l'autorisation pour la racine de la forêt Active Directory et les résultats de toutes les requêtes d'enregistrements CNAME et de type glue (A) sur ces serveurs. Il indique les enregistrements CNAME et les enregistrements de type glue (A) manquants sur chaque serveur DNS. Ce rapport peut être utilisé pour corriger tous les problèmes DNS susceptibles de provoquer des problèmes de réplication Active Directory, par exemple des enregistrements DNS manquants ou incorrects.
  2. Pour déterminer si un contrôleur de domaine Active Directory particulier peut résoudre tous les enregistrements DNS nécessaires pour réussir à synchroniser les réplicas de partition parmi les contrôleurs de domaine dans une forêt Active Directory, exécutez la commande suivante sur le contrôleur de domaine actuellement testé :
    dnslint /ad /s localhost
    Comme aucune adresse IP n'est spécifiée après l'option /ad, 127.0.0.1 est utilisé. Cela signifie que le contrôleur de domaine va se demander à lui-même la liste des enregistrements GUID. Si vous le souhaitez, vous pouvez indiquer un autre serveur LDAP de contrôleur de domaine. Si vous spécifiez localhost après l'option /s, cela indique à DNSLint d'utiliser le ou les serveurs DNS configurés sur le contrôleur de domaine actuellement testé pour résoudre les enregistrements CNAME et de type glue (A) servant à la réplication Active Directory. Cette spécification envoie des requêtes DNS récursives aux serveurs DNS, configurés localement, du contrôleur de domaine pour déterminer si le contrôleur de domaine peut résoudre les enregistrements nécessaires. Cela ne signifie pas que ces enregistrements sont vérifiés sur tous les serveurs DNS du contrôleur de domaine local. La liste des serveurs DNS du contrôleur de domaine est gérée selon le comportement par défaut. Par conséquent, le deuxième serveur DNS de la liste est utilisé uniquement si le premier ne répond pas. Ce test détermine uniquement si un contrôleur de domaine peut résoudre les enregistrements DNS utilisés pour la réplication Active Directory. Aucun serveur DNS particulier n'est testé.

    Le rapport généré par DNSLint peut donc être utilisé pour corriger tous les problèmes DNS susceptibles de provoquer des problèmes de réplication Active Directory, par exemple des enregistrements DNS manquants ou incorrects.

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Téléchargement
Télécharger le package dnslint.v204.exe maintenant.

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Pour plus d'informations sur l'utilitaire DNSLint, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
321045 Description de l'utilitaire DNSLint

Propriétés

Numéro d'article: 321046 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 9.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kbhowtomaster kbdownload kbnetwork KB321046
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com