Dépannage des échecs de réplication Active Directory qui se produisent en raison de défaillances de recherche, événement ID 2087 ou événement ID 2088 DNS

Traductions disponibles Traductions disponibles
Numéro d'article: 824449 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit un plan d'action pour les administrateurs et les techniciens du support technique à suivre lorsque les contrôleurs de domaine qui exécutent Microsoft Windows 2000 ou Microsoft Windows Server 2003 ne peut pas répliquer Active Directory en raison d'échecs de recherche DNS. Les administrateurs qui dépannez réplication ou d'autres échecs de composant qui se produisent en raison d'un manque de résolution de nom DNS doivent suivre ce plan d'action.

Cet article décrit également deux nouveaux événements, événements 2087 code et code 2088, qui sont enregistrés par des contrôleurs de domaine de destination qui exécutent Windows Server 2003 avec Service Pack 1 (SP1). Ces événements se produisent lorsqu'un manque de résolution de noms DNS empêche la réplication entrante de partitions de service d'annuaire Active Directory. Plus beaucoup dans ce cas de problème, contrôleurs de domaine de destination Windows Server 2003 SP1 utilise nom de domaine complet du contrôleur de domaine source dans DNS ou NetBIOS nom de l'ordinateur le contrôleur de domaine source dans Windows Internet Name Service (WINS) cette.
L'objectif des améliorations dans Windows Server 2003 est de réduire l'effet de client DNS ou erreurs de configuration de serveur DNS sur la réplication Active Directory.

Symptômes

Sur un Microsoft Windows Server 2003 Service Pack 1 (SP1), contrôleur de domaine, l'événement suivant messages peuvent être enregistrés dans le journal d'événements du service d'annuaire.

Le message 1

Type : erreur
Source : réplication NTDS
La catégorie : client RPC DS
L'ID d'événement : 2087
Utilisateur: NT AUTHORITY\ANONYMOUS LOGON
Ordinateur : ComputerName
Description :
Active Directory a pu pas résoudre le suivant DNS ordinateur hôte nom du contrôleur de domaine source à une adresse IP. Cette erreur empêche les ajouts, suppressions et des modifications dans Active Directory de réplication entre un ou plusieurs contrôleurs de domaine de la forêt. Groupes de sécurité, stratégie de groupe, les utilisateurs et ordinateurs et leur mot de passe sera incohérences entre les contrôleurs de domaine jusqu'à ce que cette erreur soit résolue, potentiellement affecter l'authentification de connexion et accéder aux ressources réseau.

Contrôleur de domaine source : DomainControllerName
Échec de nom ordinateur hôte DNS : GUID _msdcs. DNSDomainName

Remarque : par défaut, échecs DNS uniquement jusqu'à 10 sont affichées pour une période donnée 12 heures, même si plus de 10 défaillances se produisent. Pour vous connecter tous les événements d'échec individuelles, définissez les diagnostics suivants la valeur de Registre, sur 1 :

Chemin d'accès du Registre :
Client RPC DS HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22

Action utilisateur :

1) Si le contrôleur de domaine source n'est plu fonctionner ou de son système d'exploitation a été réinstallé avec un autre nom de l'ordinateur ou NTDSDSA GUID, l'objet supprimer métadonnées du contrôleur de domaine source avec ntdsutil.exe, décrites dans article MSKB 216498 comme suit.

2) Vérifiez que le contrôleur de domaine source exécute Active directory et est accessible sur le réseau en tapant « nom de \\<source contrôleur de DOMAINE vue net > » ou « ping < nom du contrôleur de DOMAINE source > ».

3) Vérifiez que le contrôleur de domaine source est utilisant un serveur DNS valide pour les services DNS et que le contrôleur de domaine source enregistrement ordinateur hôte et CNAME enregistrent sont correctement enregistrés, utilisez la version DNS améliorée de DCDIAG.EXE disponibles sur http://www.microsoft.com/dns

dcdiag test : dns

4) Vérifiez que ce contrôleur de domaine de destination est utilisant un serveur DNS valide pour les services DNS, en exécutant la version DNS améliorée de commande DCDIAG.EXE sur la console du contrôleur de domaine de destination, comme suit les points suivants :

dcdiag test : dns

5) Pour une analyse approfondie de DNS erreur échecs voir 824449 de base de CONNAISSANCES: http://support.microsoft.com/?kbid=824449

Données supplémentaires
Valeur de l'erreur :
11004 Le nom demandé est valide, mais aucune donnée du type demandé n'a été trouvée.

message 2

Type : avertissement
Source : réplication NTDS
La catégorie : client RPC DS
L'ID d'événement : 2088
Utilisateur: NT AUTHORITY\ANONYMOUS LOGON
Ordinateur : ComputerName
Description :
Active Directory pourrait utilise pas DNS pour résoudre l'adresse IP du contrôleur de domaine source répertorié ci-dessous. Pour préserver la cohérence des groupes de sécurité, stratégie de groupe, les utilisateurs et ordinateurs et leur mot de passe, Active Directory répliqué à l'aide NetBIOS ou nom de l'ordinateur complet du contrôleur de domaine source.

Configuration DNS non valide peut affecter autres opérations essentielles sur les ordinateurs membres, les contrôleurs de domaine ou serveurs d'applications dans cette forêt Active Directory, y compris l'authentification d'ouverture de session ou d'accès aux ressources réseau.

Vous devez immédiatement résoudre cette erreur de configuration DNS afin que ce contrôleur de domaine peut résoudre l'adresse IP du contrôleur de domaine source à l'aide de DNS.

Nom de serveur autre : AlternateServerName
Échec de nom ordinateur hôte DNS : GUID _msdcs. DNSDomainName

Remarque : par défaut, échecs DNS uniquement jusqu'à 10 sont affichées pour une période donnée 12 heures, même si plus de 10 défaillances se produisent. Pour vous connecter tous les événements d'échec individuelles, définissez les diagnostics suivants la valeur de Registre, sur 1 :

Chemin d'accès du Registre :
Client RPC DS HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22

Action utilisateur :

1) Si le contrôleur de domaine source n'est plu fonctionner ou de son système d'exploitation a été réinstallé avec un autre nom de l'ordinateur ou NTDSDSA GUID, l'objet supprimer métadonnées du contrôleur de domaine source avec ntdsutil.exe, décrites dans article MSKB 216498 comme suit.

2) Vérifiez que le contrôleur de domaine source exécute Active directory et est accessible sur le réseau en tapant « nom de \\<source contrôleur de DOMAINE vue net > » ou « ping < nom du contrôleur de DOMAINE source > ».

3) Vérifiez que le contrôleur de domaine source est utilisant un serveur DNS valide pour les services DNS et que le contrôleur de domaine source enregistrement ordinateur hôte et CNAME enregistrent sont correctement enregistrés, utilisez la version DNS améliorée de DCDIAG.EXE disponibles sur http://www.microsoft.com/dns

dcdiag test : dns

4) Vérifiez que ce contrôleur de domaine de destination est utilisant un serveur DNS valide pour les services DNS, en exécutant la version DNS améliorée de commande DCDIAG.EXE sur la console du contrôleur de domaine de destination, comme suit les points suivants :

dcdiag test : dns

5) Pour une analyse approfondie de DNS erreur échecs voir 824449 de base de CONNAISSANCES: http://support.microsoft.com/?kbid=824449

Données supplémentaires
Valeur de l'erreur :
11004 Le nom demandé est valide, mais aucune donnée du type demandé n'a été trouvée.

L'ID d'événement 2087 se produit lorsque la réplication Active Directory a Échec en raison d'un DNS ou l'un Échec de recherche NetBIOS. N'en particulier, le contrôleur de domaine qui consigné l'événement ID 2087 n'a pas pu résoudre adresse IP d'un partenaire de réplication en utilisant une des options suivantes :
  • L'enregistrement de ressource CNAME
  • Le nom de l'ordinateur complet en DNS
  • Le nom de l'ordinateur NetBIOS
Car le contrôleur de domaine qui enregistre l'événement ne peut pas effectuer de réplication entrante, données Active Directory peuvent ne pas parmi les contrôleurs de domaine. Par exemple, les informations de groupe utilisateur et ordinateur peuvent être incohérentes.

L'ID d'événement 2088 se produit lorsque les conditions suivantes sont remplies :
  • La réplication Active Directory ne peut pas résoudre enregistrement de ressource CNAME ?s le partenaire de réplication vers une adresse IP à l'aide de DNS.
  • Active Directory peut résoudre adresse ?s le partenaire de réplication à l'aide nom de l'ordinateur entièrement qualifié du partenaire dans DNS ou à l'aide NetBIOS nom de l'ordinateur du partenaire dans un WINS ou dans une diffusion NetBIOS.
note Même si résolution de noms NetBIOS réussit, résolution de noms DNS tous les échecs doivent être examinés de plus près et résolus, en tant que DNS les erreurs de configuration peuvent provoquer des fonctions Active Directory échoue.

Cause

Problèmes de recherche DNS peuvent entraîner échouer dans une des manières suivantes de la réplication Active Directory :
  • Cas 1: un contrôleur de domaine essaie répliquer avec un autre contrôleur de domaine qui est en mode hors connexion, et données DNS et Active Directory du contrôleur de domaine hors connexion de n'a pas été mis à jour ou supprimées pour indiquer que le contrôleur de domaine est inaccessible.
  • Cas 2: un contrôleur de domaine tente de réplication avec un autre contrôleur de domaine est en ligne, mais en raison de DNS ou de problèmes réseau, les contrôleurs de domaine Impossible de trouver l'autre.
Tous les contrôleurs de domaine enregistrement SRV, A et les enregistrements CNAME dans DNS. L'enregistrement CNAME est de l'écran Dsa_Guid _msdcs. Dns_Domain_Name. Dsa_Guid est le GUID de l'objet répertoire système agent (DSA) pour le contrôleur de domaine. Dns_Domain_Name est le nom de la forêt où se trouve le contrôleur de domaine. Contrôleurs de domaine nécessitent l'enregistrement CNAME pour rechercher et identifier leurs partenaires de réplication.

Le service d'ouverture de session réseau sur le contrôleur de domaine inscrit tous les enregistrements SRV. Le service client DNS sur le contrôleur de domaine enregistre l'enregistrement ordinateur hôte (A) DNS et l'enregistrement CNAME GUID.

Un contrôleur de domaine utilise la procédure suivante pour trouver son partenaire de réplication :
  1. Le contrôleur de domaine utilise DNS pour rechercher l'enregistrement CNAME de son partenaire de réplication.
  2. Si la recherche est infructueuse, le contrôleur de domaine recherche le DNS un enregistrement de son partenaire de réplication. Par exemple, le contrôleur de domaine recherche dc-03.corp.contoso.com.
  3. Si la recherche d'enregistrement A DNS est échoue, le contrôleur de domaine effectue une diffusion en utilisant le nom ordinateur hôte de son partenaire de réplication de NetBIOS. Par exemple, le contrôleur de domaine utilise dc-03.

Résolution

Cas 1

Pour supprimer les données Active Directory et DNS qui conservées par un contrôleur de domaine qui n'est plus en cours d'utilisation, suivez la procédure dans l'article suivant de la base de connaissances Microsoft :
216498 Comment faire pour supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine échoue
Si le contrôleur de domaine doit être en ligne, résoudre le problème de blocage et ensuite placer le contrôleur de domaine en ligne. Lorsque vous redémarrez le contrôleur de domaine, vous enregistrez automatiquement Active Directory et données DNS qui sont requises pour la réplication Active Directory avec le contrôleur de domaine de destination.

Si vous ne souhaitez pas redémarrer le contrôleur de domaine, mais vous souhaitez réenregistrer ses enregistrements DNS, passez à étape 7, "enregistrement ressources de transaction dans DNS".

Cas 2

Si la réplication ne se produit car un contrôleur de domaine de destination ne peut pas résoudre le nom DNS d'un partenaire de réplication, vous devez diagnostiquer DNS et des problèmes de connectivité réseau pour déterminer la source de l'échec.

Pour diagnostiquer et résoudre DNS prise en charge de réplication Active Directory, procédez comme suit :
  1. Rassembler des informations.

    Vous devez disposer les informations suivantes pour diagnostiquer et corriger la prise en charge DNS de réplication Active Directory et autres opérations qui dépendent de DNS :
    • Le nom de domaine pleinement qualifié (FQDN) et l'adresse IP du contrôleur de domaine source.
    • Adresse IP et de nom de domaine complet du serveur DNS qui héberge la zone DNS pour le nom de domaine Active Directory.
    note Contrôleur de domaine et informations de serveur DNS peuvent être la même si le contrôleur de domaine exécute également le service serveur DNS qui héberge la zone DNS pour le nom de domaine Active Directory.
  2. Vérifiez les paramètres de connexion réseau.
    1. Sur le contrôleur de domaine qui rapporte l'erreur, cliquez sur Connexions réseau dans le Panneau de configuration.
    2. Cliquez avec le bouton droit sur la connexion réseau que vous souhaitez configurer, puis cliquez sur Propriétés .
    3. Sous l'onglet Général pour une connexion au réseau local ou sur l'onglet Mise en réseau pour toutes les autres connexions, cliquez sur protocole Internet (TCP/IP) et puis cliquez sur Propriétés .
    4. Dans Utiliser l'adresse de serveur DNS suivante , vérifiez que le serveur préféré DNS ou les l'autre serveur DNS comportent l'adresse IP correcte du serveur DNS qui héberge la zone DNS pour le nom de domaine Active Directory.

      note Nous vous recommandons que le serveur DNS préféré pour le contrôleur de domaine se trouve dans un site hub qui est local ou well-connected. Si vous utilisez tel un site hub, vous réduire la latence de réplication.
    5. Si les adresses IP sont correctes, passez à étape 3. Si l'adresse IP est incorrecte, entrez l'adresse correcte et passez à étape 7.
  3. Vérifiez la connectivité.

    Pour vérifier la connectivité, utilisez la commande ping sur le contrôleur de domaine de destination pour rechercher les adresses IP du contrôleur de domaine source et du serveur DNS.
    Dans le contrôleur de domaine de destination, tapez suivantes à l'invite de commande et puis appuyez sur ENTRÉE après chaque commande :

    Exécutez la commande ping sur IP_Address_of_source_domain_controller
    Exécutez la commande ping sur IP_Address_DNS_server

    Si deux commandes échoue, une erreur de connectivité réseau peut exister. Contactez l'administrateur réseau pour diagnostiquer et corriger cette erreur. Si ces deux commandes réussissent, l'erreur existe dans DNS.
  4. Vérifiez que le service serveur DNS exécute.

    Si le contrôleur de domaine de destination est configuré pour utiliser un serveur DNS local, vérifiez que le service Server DNS est en cours d'exécution. Pour cela, tapez net start ? DNS Server ? à partir d'une invite de commandes et appuyez sur ENTRÉE.

    Si le service serveur DNS exécute, un message s'affiche indiquant que le service est en cours d'exécution. Si le service serveur DNS est installé, mais le service n'est pas en cours d'exécution, la commande démarre le service serveur DNS.

    Si le service serveur DNS n'est pas installé, un message s'affiche indiquant que le nom du serveur n'est pas valide. Si le contrôleur de domaine de destination est configuré pour utiliser un serveur distant DNS, utiliser la console DNS pour démarrer le service serveur DNS. Pour ce faire, procédez comme suit :
    1. Ouvrez la console DNS.
    2. Dans le menu Actions , cliquez sur se connecter au serveur DNS .
    3. Dans le connecter au serveur DNS , cliquez sur l'ordinateur suivant .
    4. Pour vous connecter à un serveur distant, spécifier DNS nom de l'ordinateur le serveur distant ou son adresse IP.
    5. Cliquez sur Activer la case à cocher Se connecter à l'ordinateur spécifié maintenant , puis cliquez sur OK .
    6. Dans le menu Action , pointez sur Toutes les tâches , puis cliquez sur Démarrer .
  5. Vérifiez que l'enregistrement de ressource est enregistré.

    Le contrôleur de domaine de destination utilise l'enregistrement de ressource CNAME DNS, Dsa_Guid _msdcs. Dns_Domain_Name, pour trouver son partenaire de réplication de contrôleur domaine source. Pour vérifier que cet enregistrement de ressource est dans la zone DNS pour le nom de domaine Active Directory, procédez comme suit :
    1. Ouvrez la console DNS dans l'arborescence de la console. Trouver n'importe quel contrôleur de domaine qui exécute le service serveur DNS, où le service héberge la zone DNS portant le même nom que le nom de domaine Active Directory.
    2. Dans l'arborescence de la console, cliquez sur la zone _msdcs. Dns_Domain_Name nommé.

      Dans Windows 2000 Server DNS _msdcs. Dns_Domain_Name est un sous-domaine de la zone DNS pour le nom de domaine Active Directory. Dans Windows Server 2003, _msdcs. Dns_Domain_Name est une zone distincte.
    La zone qui est nommée _msdcs. Dns_Domain_Name doit contenir suivantes :
    • Un enregistrement de ressource CNAME nommé Dsa_Guid _msdcs. Dns_Domain_Name.
    • Un enregistrement de ressource pour le nom de la serveur DNS identifié comme étant la ordinateur hôte cible de l'enregistrement CNAME correspondant.


    Si les enregistrements de ressources n'existent pas, passez à étape 6 pour diagnostiquer pourquoi le service Net Logon enregistre pas automatiquement les enregistrements de ressource.
  6. Vérifiez que le service serveur DNS qui héberge la zone le nom de domaine Active Directory est configuré pour accepter les mises à jour dynamiques.
    1. Dans la console DNS, cliquez avec le bouton droit sur la zone applicable, puis cliquez sur Propriétés .
    2. Sous l'onglet Général , vérifiez que le type de zone est Directory?integrated active .
    3. Dans les mises à jour dynamiques , cliquez sur sécurisé uniquement . (Dans Windows 2000 Server, l'option de mise à jour dynamique sécurisée est appelée mises à jour sécurisées uniquement .)
  7. Enregistrer les enregistrements de ressource DNS dans DNS.

    Le service d'ouverture de session réseau sur un contrôleur de domaine inscrit les enregistrements de ressource DNS qui sont requis pour le contrôleur de domaine pour se trouver dans le réseau. Pour lancer manuellement cet enregistrement sur le contrôleur de domaine source, tapez suivantes à l'invite de commande et puis appuyez sur ENTRÉE après chaque commande :

    net stop « ouverture de net session »

    Ouverture de NET start "NET session »

    Le service client DNS enregistre l'enregistrement de ressource ordinateur hôte (A) l'enregistrement CNAME pointe vers. Pour lancer cet enregistrement sur le contrôleur de domaine source, tapez ipconfig / registerdns à une invite de commandes, puis appuyez sur ENTRÉE.
  8. Vérifiez l'enregistrement l'enregistrement de ressource.

    Pour vérifier que les enregistrements ont été correctement enregistrés, accédez à l'étape 5, ? vérifiez que l'enregistrement de ressource est enregistré. »
  9. Forcer la réplication sur les contrôleurs de domaine source et de destination.
    1. Sur le contrôleur de domaine de destination, ouvrir active sites et services .
    2. Dans l'arborescence de console, cliquez sur Paramètres NTDS du contrôleur de domaine que vous voulez forcer la réplication sur.
    3. Dans le volet de détails, cliquez avec le bouton droit sur la connexion que vous souhaitez utiliser pour répliquer des informations d'annuaire, puis cliquez sur Répliquer maintenant .
    Vous pouvez également utiliser les outils de ligne de commande repadmin et replmon . Ces outils sont disponibles sur votre CD d'installation de Windows Server 2003. (La commande repadmin est repadmin /syncall /d /e /P source_domain_controller.)
  10. Examinez les autres problèmes.

    Si les étapes précédentes ne résolvent pas les erreurs, un contrôleur de domaine ne peut-être en mesure d'enregistrer dynamiquement les ses enregistrements de ressource DNS car les serveurs DNS que le contrôleur de domaine utilise pour la résolution de nom ne peut pas trouver une zone principale faisant autoritée pour ces enregistrements de ressource. Dans ce cas, il existe deux causes possibles :

Plus d'informations

Vous pouvez également utiliser les outils de ligne de commande netdiag.exe et Dcdiag.exe pour résoudre les problèmes d'infrastructure DNS et Active Directory. Les deux outils sont disponibles en ligne ou sur le CD d'installation de Windows Server 2003. Pour télécharger ces outils, visitez la page Web Windows Server 2003 Resource Kit Tools :
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

Propriétés

Numéro d'article: 824449 - Dernière mise à jour: mardi 27 février 2007 - Version: 4.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbdirservices kbprb KB824449 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 824449
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com