Les modifications apportées aux groupes de sécurité ou aux groupes de distribution ne sont pas répliquées sur les contrôleurs de domaine de destination lorsque vous utilisez la réplication de valeur de liaison dans un environnement Windows Server 2003

Cet article fournit une solution à un problème où les modifications apportées aux groupes de sécurité ou aux groupes de distribution ne sont pas répliquées sur les contrôleurs de domaine de destination lorsque vous utilisez la réplication de valeur de liaison.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 958838

Symptômes

Prenons le cas de figure suivant. Dans un environnement Windows Server 2003, vous définissez le niveau fonctionnel de forêt dans la forêt sur Windows Server 2003 ou sur une version ultérieure de Windows. Vous procédez ainsi pour appliquer des modifications de réplication de valeur de liaison (LVR) à l’appartenance au groupe sur les attributs LVR. Dans ce scénario, vous pouvez rencontrer les symptômes suivants :

  • Les modifications apportées au groupe de sécurité ou au groupe de distribution qui existent sur le contrôleur de domaine source ne sont pas répliquées sur les contrôleurs de domaine de destination. Vous rencontrez ce symptôme lorsque le changement d’appartenance au groupe est initié par un administrateur ou par un programme.

  • Lorsque vous exécutez la repadmin /showreps commande, vous recevez un message indiquant qu’un contrôleur de domaine de destination Windows Server 2008 ou Windows Server 2003 ne peut pas répliquer les modifications entrantes apportées à une partition de répertoire à partir d’un ou plusieurs contrôleurs de domaine source. Dans ce cas, vous recevez également une erreur Win32 8451.

    Remarque

    L’erreur Win32 8451 correspond à l’erreur ERROR_DS_DRA_DB_ERROR et à la description suivante :
    L’opération de réplication a rencontré une erreur de base de données.

    Le contrôleur de domaine de destination Windows Server 2008 ou Windows Server 2003 affecté peut ne pas répliquer les modifications entrantes apportées aux partitions en lecture seule à partir de catalogues globaux ou de contrôleurs de domaine qui hébergent des partitions de répertoire accessibles en écriture.

  • Les contrôleurs de domaine de destination Windows Server 2008 et Windows Server 2003 consignent les événements dans le journal du service d’annuaire.

    Remarque

    • L’événement général 1173 NTDS indique un échec de réplication générique.
    • La valeur d’erreur de données supplémentaire -1603 correspond à une devise non sur une erreur de jet d’enregistrement et au nom symbolique errNoCurrentRecord. La faute d’orthographe de actuellement dans la devise n’est pas sur un texte d’erreur d’enregistrement .
    • L’exception e0010004 correspond à l’erreur DSA_DB_EXCEPTION.
    • L’ID interne 2050344 correspond à une fonction dans le code de la couche de base de données de NTDS. Ce nombre dépend du système d’exploitation, du Service Pack et des révisions de mise à jour corrective.
  • Les contrôleurs de domaine de destination Windows Server 2008 et Windows Server 2003 consignent l’événement service d’annuaire 1692.

    Remarque

    Cet événement est enregistré lorsque vous activez la journalisation des diagnostics et définissez la valeur de l’entrée de Registre 5 événements de réplication sur 1 ou plus.

    Pour plus d’informations sur la journalisation des diagnostics NTDS, consultez Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory et LDS.

Ces symptômes peuvent se produire lorsque des modifications sont apportées à une classe d’objets répliquée par LVR qui a des liens vers l’avant. (Ces modifications apportées à la classe d’objets répliquées LVR correspondent également aux modifications apportées aux groupes de sécurité et de distribution.)

Cause

Ce problème se produit si les contrôleurs de domaine de destination Windows Server 2008 ou Windows Server 2003 arrêtent la réplication entrante lorsqu’ils reçoivent des mises à jour LVR d’objets qui n’existent pas dans leurs copies locales d’Active Directory.

Plus précisément, ce problème peut se produire si les conditions suivantes sont remplies :

  • Les modifications d’appartenance apportées aux groupes de distribution ou de sécurité persistants sur les contrôleurs de domaine source sont répliquées sortantes à l’aide de la réplication de valeur de liaison (LVR) vers des contrôleurs de domaine de destination qui n’ont pas de instance du groupe en cours de modification. Par exemple, ce problème peut se produire lorsqu’un objet est supprimé et que la durée de vie des objets tombstone a expiré à partir de la copie locale d’Active Directory.

  • Le niveau fonctionnel de la forêt est défini sur Windows Server 2003 En mode intermédiaire ou une version ultérieure.

  • Les groupes de distribution ou de sécurité persistants résident sur des partitions en lecture seule ou accessibles en écriture de contrôleurs de domaine source Windows Server 2003 ou Windows Server 2008, et la réplication s’arrête entre les contrôleurs de domaine source et de destination.

Résolution

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour résoudre ce problème, procédez comme suit :

  1. Exécutez la commande repadmin suivante sur le contrôleur de domaine principal (PDC) pour créer un fichier .csv qui contient la liste des contrôleurs de domaine de destination :

    repadmin /showrepl * /csv >showrepl.csv
    
  2. Ouvrez le fichier .csv dans Excel, puis identifiez les échecs de réplication sur les contrôleurs de domaine de destination qui ont échoué dans le processus de réplication entrant et qui affichent l’erreur Win32 8451.

  3. Sur les contrôleurs de domaine qui enregistrent le message d’erreur « Erreur Win32 8451 », vérifiez que la journalisation des diagnostics pour l’entrée de Registre 5 événements de réplication est définie sur la valeur 1. Pour cela, procédez comme suit :

    1. Cliquez sur Démarrer, puis sur Exécuter.

    2. Dans la zone Ouvrir, saisissez regedit, puis cliquez sur OK.

    3. Recherchez et cliquez sur la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

    4. Dans le volet d’informations, double-cliquez sur 5 événements de réplication, tapez 1 dans la zone Données de la valeur , puis cliquez sur OK.

    5. Fermez l’Éditeur du registre.

  4. Sur les contrôleurs de domaine de destination, vérifiez que l’événement de service d’annuaire 1692 est enregistré dans le journal du service d’annuaire. L’événement affiche les modifications apportées à l’attribut membre du groupe de sécurité ou à d’autres attributs répliqués LVR et aux GUID de l’objet persistant.

  5. Supprimez les objets persistants des contrôleurs de domaine de destination Windows Server 2008 ou Windows Server 2003 à l’aide de la repadmin /removelingeringobjects commande .

Importante

La désactivation de la fonctionnalité de cohérence de réplication stricte dans le Registre des contrôleurs de domaine de destination Windows Server 2008 ou Windows Server 2003 ne reprend pas la réplication. Vous ne devez pas définir la valeur de l’entrée de Registre Cohérence de réplication stricte sur 0 pour débloquer la réplication des partitions d’annuaire.

Ne forcez pas la réplication des partitions d’annuaire sur les contrôleurs de domaine source à l’aide de la commande repadmin /sync ou d’une commande équivalente avec le commutateur /force.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.