Résoudre les problèmes liés à la promotion d’un contrôleur de domaine sur un serveur de catalogue global

  • Article

Cet article traite d’un problème lié à la promotion d’un contrôleur de domaine sur un serveur de catalogue global.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 910204

Résumé

Cet article s’articule autour des rubriques suivantes :

  • Messages d’événement enregistrés dans le journal des services d’annuaire pour Windows Server
  • Causes possibles de l’échec de la promotion du catalogue global
  • Méthodes permettant de déterminer la cause de l’échec de la promotion du catalogue global
  • Méthodes de résolution de l’échec de la promotion du catalogue global

Symptômes

Lorsque vous essayez de promouvoir un contrôleur de domaine en serveur de catalogue global, le contrôleur de domaine peut ne pas s’afficher comme catalogue global. Cela est vrai si vous promouvez le contrôleur de domaine par programmation ou en cliquant pour sélectionner l’option Catalogue global . Lorsque ce problème se produit, les messages d’événement sont enregistrés dans le journal des services d’annuaire.

En outre, la sortie peut indiquer que le contrôleur de domaine n’a pas réussi le test de publicité et ne fait pas de publicité pour le catalogue global. Cette sortie se produit lorsqu’un contrôleur de domaine enregistre l’ID d’événement 1578 et lorsque vous exécutez un case activée de diagnostic de contrôleur de domaine (Dcdiag.exe) sur ce contrôleur de domaine.

Remarque

Pour exécuter un case activée de diagnostic de contrôleur de domaine, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
  2. À l’invite de commandes, tapez dcdiag /v /f: logfile.txt, puis appuyez sur Entrée.

Les messages d’événement suivants sont enregistrés dans le journal des services d’annuaire lorsque ce problème se produit.

  • ID d’événement 1559

  • ID d’événement 1578

  • Si vous activez la journalisation des diagnostics pour le vérificateur de cohérence des connaissances (KCC) au niveau 1, l’événement suivant est journalisé.

    ID d’événement 1801

Cause

Un catalogue global doit répliquer des copies entrantes de tous les objets de toutes les partitions de domaine de la forêt avant que le catalogue global puisse publier le rôle de catalogue global.

Lorsqu’un contrôleur de domaine est sélectionné pour héberger le catalogue global, le KCC sur le contrôleur de domaine promu utilise sa discrétion pour créer des objets de connexion à partir de contrôleurs de domaine source qui hébergent les partitions requises. Ces contrôleurs de domaine source peuvent être constitués de catalogues globaux existants dans la forêt ou de contrôleurs de domaine qui hébergent des copies accessibles en écriture de chaque partition de domaine qui réside dans sa forêt. Le contenu de chaque partition de domaine est ensuite répliqué entrant à partir de contrôleurs de domaine source désignés par le KCC. Le contenu est répliqué dans le catalogue global nouvellement promu sur des liens de connexion existants ou nouvellement créés.

La promotion du catalogue global peut échouer si l’une des conditions suivantes est remplie :

  1. La partition de configuration sur un ou plusieurs contrôleurs de domaine contient un objet de référence croisée vers un domaine obsolète ou orphelin, mais aucun contrôleur de domaine pour ce domaine n’est situé dans la forêt.

  2. Les métadonnées d’un contrôleur de domaine source désigné par le KCC se trouvent dans la partition de configuration d’un ou plusieurs contrôleurs de domaine, mais ne représentent pas un contrôleur de domaine actuellement présent dans la forêt.

  3. Le contrôleur de domaine source sélectionné par le KCC dans le catalogue global promu est hors connexion.

  4. Le contrôleur de domaine source qui a été sélectionné par le KCC sur le catalogue global promu est inaccessible sur le réseau. Ce contrôleur de domaine est inaccessible, car il n’y a pas de connectivité réseau ou de connectivité réseau partielle. Voici des exemples de problèmes de connectivité réseau :

    • Ports bloqués
    • Adresses IP filtrées
    • Réseaux qui ne sont pas entièrement routés, mais dont l’option bridge-all-site-links est activée

  5. Les catalogues globaux de domaine source sont contraints d’agir en tant que têtes de pont, car les contrôleurs de domaine de catalogue non globaux ont été sélectionnés de manière incorrecte comme têtes de pont préférées par les administrateurs.

  6. Le catalogue global qui est promu ne peut pas créer de lien de connexion à partir du contrôleur de domaine source sélectionné en raison de l’erreur status qui est enregistrée dans l’un des événements répertoriés dans la section Résumé.

Un domaine orphelin empêche le contrôleur de domaine de terminer la réplication. Le contrôleur de domaine ne peut pas se publier en tant que serveur de catalogue global tant que la réplication n’est pas terminée. Plusieurs problèmes peuvent aboutir à un domaine orphelin :

  1. Active Directory a été supprimé de tous les contrôleurs de domaine d’un domaine, mais l’objet de référence croisée de partition de domaine reste.

  2. Active Directory a été supprimé d’un contrôleur de domaine et la partition d’annuaire du contrôleur de domaine a été supprimée. Le contrôleur de domaine a ensuite été recréé avant la fin de la réplication. Ces événements ont provoqué des fantômes persistants qu’un objet de référence croisée référence de manière incorrecte.

  3. La mise à jour de nommage de domaine pour le domaine n’a pas atteint le contrôleur de domaine qui rencontre le problème. Ou bien, la mise à jour de nommage de domaine pour un domaine qui vient d’être promu n’a peut-être pas atteint des contrôleurs de domaine en dehors de ce domaine. Ce problème serait temporaire.

Résolution

Avertissement

Vous ne devez pas activer un niveau d’occupation réduit pour accélérer artificiellement la promotion globale du catalogue. Nous vous recommandons vivement de commencer par résoudre le problème de réplication du service d’annuaire afin que le catalogue global soit automatiquement publié.

Pour résoudre ce problème, identifiez d’abord la cause racine du problème de réplication et résolvez ce problème. Déterminez si le problème de réplication est dû à l’une des conditions suivantes :

  • Un délai de réplication
  • Domaine orphelin situé dans l’environnement de forêt
  • Une incapacité à créer le lien de connexion
  • Impossibilité de répliquer sur le contrat de connexion

S’il existe un ID d’événement KCC NTDS 1265 enregistré dans le journal du service d’annuaire, utilisez cet événement pour déterminer la cause de l’échec de réplication pour la même partition de domaine. Assurez-vous que la connectivité réseau est bonne et qu’aucun port réseau requis n’est bloqué. Les ports réseau requis sont, par exemple, TCP 135 et les ports éphémères utilisés par RPC. Affichez les enregistrements DNS pour vous assurer que les enregistrements hôte et SRV inscrits sont tous correctement inscrits. S’il existe des enregistrements incorrects, vous devez les effacer et les inscrire.

Supprimez toutes les métadonnées obsolètes pour les contrôleurs de domaine et les domaines de la forêt répertoriés dans les ID d’événement appropriés. Vous devez effectuer cette opération pour vous assurer que la réplication n’échoue pas en raison d’un contrôleur de domaine ou d’un domaine inexistant. Pour plus d’informations sur la suppression des métadonnées Active Directory, consultez l’article suivant :

Nettoyer les métadonnées du serveur domaine Active Directory Controller

Après avoir vérifié que la réplication entre les contrôleurs de domaine fonctionne correctement, déterminez s’il existe un objet de domaine orphelin. Vous pouvez utiliser l’utilitaire Ntdsutil.exe pour effacer l’objet de domaine orphelin. S’il existe un objet contrôleur de domaine orphelin pour ce domaine, vous devez également supprimer l’objet contrôleur de domaine. Pour plus d’informations sur la suppression d’un domaine orphelin, consultez l’article suivant :

Comment supprimer des domaines orphelins d’Active Directory

Pour plus d’informations sur la suppression des objets de contrôleur de domaine orphelins, consultez l’article suivant :

Nettoyer les métadonnées du serveur domaine Active Directory Controller

Plus d’informations

Après avoir promu le contrôleur de domaine en serveur de catalogue global, les partitions de domaine dans la forêt sont répliquées sur le nouveau serveur de catalogue global. Une fois que toutes les partitions ont été correctement répliquées sur le nouveau serveur de catalogue global, l’ID d’événement 1119 est enregistré dans le journal des services d’annuaire sur le contrôleur de domaine. La description de l’événement indique que l’ordinateur est maintenant en cours de publicité en tant que serveur de catalogue global.

Pour vérifier que le contrôleur de domaine est un serveur de catalogue global, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. Tapez nltest /dsgetdc: Domain_name /server: Server_Name, puis appuyez sur ENTRÉE.

  3. Vérifiez que le serveur annonce l’indicateur « GC » (catalogue global). Par exemple, lorsque vous tapez la commande à l’étape 2, vous recevez un message semblable au suivant si l’indicateur GC est présent :

    DC : \\<ServerName>
    Adresse : \\<IPAddress>
    DOM GUID : <GUID>

    Dom Name : <DomainName>
    Nom de la forêt : <DomainName>.com
    Nom du site dc : default-first-site-name

    Nom de notre site : default-first-site-name

    Indicateurs : PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE La commande s’est terminée avec succès

    Remarque

    Nltest est un outil en ligne de commande intégré à Windows Server. Pour plus d’informations, consultez Nltest.

Si vous souhaitez en savoir plus, consultez les articles suivants :