Dépannage des échecs de réplication d’Active Directory qui se produisent en raison d’échecs de recherche DNS, l’événement ID 2087 ou l’événement ID 2088

Résumé

Cet article décrit un plan d’action pour les administrateurs et professionnels du support technique à suivre lorsque les contrôleurs de domaine qui exécutent Microsoft Windows 2000 ou Microsoft Windows Server 2003 ne peut pas répliquer Active Directory en raison d’échecs de recherche DNS. Les administrateurs qui sont résolution des problèmes de réplication ou autres défaillances de composant qui se produisent en raison d’un manque de résolution de noms DNS doivent suivre ce plan d’action.

Cet article décrit également deux nouveaux événements, l’événement ID 2087 et ID 2088, qui sont enregistrés par les contrôleurs de domaine de destination qui exécutent Windows Server 2003 avec Service Pack 1 (SP1). Ces événements se produisent lorsqu’un manque de résolution de noms DNS empêche la réplication entrante de partitions du service d’annuaire Active Directory. De plus, dans ce scénario de problème, les contrôleurs de domaine basés sur Windows Server 2003 SP1 de destination utilisera le nom de domaine complet du contrôleur de domaine source dans le système DNS ou le nom d’ordinateur NetBIOS du contrôleur de domaine source dans les services Internet (WINS, Windows Internet Name Service). Améliorations apportées à Windows Server 2003 vise à réduire l’effet du client DNS ou d’erreurs de configuration du serveur DNS sur la réplication Active Directory.

Symptômes

Sur un Microsoft Windows Server 2003 Service Pack 1 (SP1)-contrôleur de domaine, l’événement suivant, les messages peuvent être enregistrés dans le journal des événements Service d’annuaire.

Message 1 Message 2 L’ID d’événement 2087 se produit lors de la réplication Active Directory a échoué en raison d’un serveur DNS ou un échec de recherche de NetBIOS. Plus précisément, le contrôleur de domaine qui a consigné l’événement ID 2087 n’était pas en mesure de résoudre l’adresse IP d’un partenaire de réplication en utilisant l’une des opérations suivantes :
  • L’enregistrement de ressource CNAME
  • Le nom d’ordinateur complet dans le système DNS
  • Le nom d’ordinateur NetBIOS
Car le contrôleur de domaine enregistre l’événement ne peut pas effectuer de réplication entrante, les données de Active Directory peuvent être incohérentes entre les contrôleurs de domaine. Par exemple, les informations de groupe utilisateur et l’ordinateur peuvent être incohérentes.

L’ID d’événement 2088 se produit lorsque les conditions suivantes sont remplies :
  • La réplication Active Directory ne peut pas résoudre l’enregistrement de ressource CNAME du partenaire de réplication en une adresse IP à l’aide de DNS.
  • Active Directory peut résoudre l’adresse IP du partenaire réplication à l’aide du nom d’ordinateur complet du partenaire dans le système DNS ou à l’aide du nom d’ordinateur NetBIOS du partenaire dans un WINS ou une diffusion NetBIOS.
Remarque : Même si la résolution de nom NetBIOS réussit, tous les échecs de résolution de nom DNS doivent être examinés et résolus, comme les erreurs de configuration DNS peuvent provoquer les fonctions Active Directory échec.

Cause

Problèmes de recherche DNS peuvent provoquer la réplication Active Directory échoue dans une des manières suivantes :
  • Cas 1 : Un contrôleur de domaine tente de répliquer avec un autre contrôleur de domaine est hors connexion, et les données Active Directory et DNS du contrôleur de domaine en mode hors connexion n’a pas été mis à jour ou supprimées pour indiquer que le contrôleur de domaine est inaccessible.
  • Cas 2 : Un contrôleur de domaine tente de répliquer avec un autre contrôleur de domaine qui est en ligne, mais en raison de problèmes de réseau ou de DNS, les contrôleurs de domaine ne peut pas localiser l’autre.
Tous les contrôleurs de domaine enregistrent SRV, A et les enregistrements CNAME dans DNS. L’enregistrement CNAME est le ._msdcs Dsa_Guidde formulaire. Nom_domaine DNS. Dsa_Guid est le GUID de l’objet agent (DSA) système d’annuaire du contrôleur de domaine. Nom_domaine DNS est le nom de la forêt où se trouve le contrôleur de domaine. Contrôleurs de domaine nécessitent l’enregistrement CNAME pour localiser et identifier les partenaires de réplication.

Le service d’ouverture de session réseau sur le contrôleur de domaine inscrit tous les enregistrements SRV. Le service Client DNS sur le contrôleur de domaine inscrit l’enregistrement CNAME du GUID et l’enregistrement d’hôte (A) DNS.


Un contrôleur de domaine utilise la procédure suivante pour rechercher son partenaire de réplication :
  1. Le contrôleur de domaine utilise DNS pour rechercher l’enregistrement CNAME de son partenaire de réplication.
  2. Si la recherche est infructueuse, le contrôleur de domaine recherche l’enregistrement A DNS de son partenaire de réplication. Par exemple, le contrôleur de domaine recherche dc-03.corp.contoso.com.
  3. Si la recherche d’enregistrement A DNS échoue, le contrôleur de domaine effectue une diffusion à l’aide de son partenaire de réplication, le nom d’hôte NetBIOS. Par exemple, le contrôleur de domaine utilise dc-03.

Résolution

Cas n ° 1

Pour supprimer des données Active Directory et DNS qui sont laissées par un contrôleur de domaine qui n’est plus en cours d’utilisation, suivez la procédure décrite dans l’article suivant de la Base de connaissances Microsoft :
216498 comment faire pour supprimer des données dans Active Directory après une rétrogradation de contrôleur de domaine a échoué

Si le contrôleur de domaine doit être en ligne, résoudre le problème du blocage et placez le contrôleur de domaine en ligne. Lorsque vous redémarrez le contrôleur de domaine, vous inscrivez automatiquement Active Directory et des données DNS qui est requises pour la réplication de Active Directory avec le contrôleur de domaine de destination.


Si vous ne souhaitez pas redémarrer le contrôleur de domaine, mais vous souhaitez réenregistrer ses enregistrements DNS, passez à l’étape 7, « Registre des enregistrements de ressources dans DNS. »

Cas n ° 2

Si la réplication ne se produit pas, car un contrôleur de domaine de destination ne peut pas résoudre le nom DNS d’un partenaire de réplication, vous devez diagnostiquer DNS et pour déterminer la source de l’échec, les problèmes de connectivité réseau.


Pour diagnostiquer et corriger la prise en charge DNS pour la réplication Active Directory, procédez comme suit :
  1. Rassembler des informations.

    Vous devez disposer des informations suivantes à diagnostiquer et à corriger la prise en charge DNS pour la réplication Active Directory et d’autres opérations qui dépendent de DNS :
    • Le nom de domaine complet (FQDN) et l’adresse IP du contrôleur de domaine source.
    • Le nom de domaine complet et l’adresse IP du serveur DNS qui héberge la zone DNS pour le nom de domaine Active Directory.
    Remarque : Contrôleur de domaine et les informations de serveur DNS est peut-être le même si le contrôleur de domaine exécute également le service serveur DNS qui héberge la zone DNS pour le nom de domaine Active Directory.
  2. Vérifiez les paramètres de connexion réseau.
    1. Sur le contrôleur de domaine qui signale l’erreur, cliquez sur Connexions réseau dans le panneau de configuration.
    2. Cliquez sur la connexion réseau que vous souhaitez configurer, puis cliquez sur Propriétés.
    3. Sous l’onglet Général pour une connexion au réseau local ou sur l’onglet réseau pour toutes les autres connexions, cliquez sur Protocole Internet (TCP/IP), puis cliquez sur Propriétés.
    4. Utiliser l’adresse de serveur DNS suivante, vérifiez que le serveur DNS préféré ou l’autre serveur DNS ait l’adresse IP du serveur DNS qui héberge la zone DNS pour le nom de domaine Active Directory.

      Remarque : Nous recommandons que le serveur DNS préféré pour le contrôleur de domaine se trouve dans un site pivot qui est local ou bien connectés. Si vous utilisez un tel site concentrateur, vous réduisez la latence de réplication.
    5. Si les adresses IP sont correctes, passez à l’étape 3. Si l’adresse IP est incorrecte, saisissez l’adresse correcte et passez à l’étape 7.
  3. Vérifier la connectivité.

    Pour vérifier la connectivité, utilisez la commande ping sur le contrôleur de domaine de destination pour trouver les adresses IP du contrôleur de domaine source et du serveur DNS.
    Sur le contrôleur de domaine de destination, tapez la ligne suivante à l’invite de commande et appuyez sur ENTRÉE après chaque commande :

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    Si ces deux commandes échoue, une erreur de connectivité réseau peut-être exister. Contactez l’administrateur réseau à diagnostiquer et à corriger cette erreur. Si ces deux commandes sont réussies, l’erreur existe dans DNS.
  4. Vérifiez que le service serveur DNS est en cours d’exécution.


    Si le contrôleur de domaine de destination est configuré pour utiliser un serveur DNS local, vérifiez que le service serveur DNS est en cours d’exécution. Pour ce faire, tapez net start « serveur DNS » à l’invite de commande et appuyez sur ENTRÉE.

    Si le service serveur DNS est en cours d’exécution, un message s’affiche indiquant que le service est en cours d’exécution. Si le service serveur DNS est installé, mais le service n’est pas en cours d’exécution, la commande démarre le service serveur DNS.

    Si le service serveur DNS n’est pas installé, un message s’affiche indiquant que le nom du serveur n’est pas valide. Si le contrôleur de domaine de destination est configuré pour utiliser un serveur DNS distant, utilisez la console DNS pour démarrer le service serveur DNS. Pour ce faire, procédez comme suit :
    1. Ouvrez la console DNS.
    2. Dans le menu Action , cliquez sur Se connecter au serveur DNS.
    3. Dans connexion à un serveur DNS, cliquez sur l’ordinateur suivant.
    4. Pour vous connecter à un serveur distant, spécifiez le nom d’ordinateur DNS du serveur distant ou de son adresse IP.
    5. Activez la case à cocher se connecter à l’ordinateur spécifié maintenant , puis cliquez sur OK.
    6. Dans le menu Action , pointez sur Toutes les tâches, puis cliquez sur Démarrer.
  5. Vérifiez que l’enregistrement de ressource est enregistré.

    Le contrôleur de domaine de destination utilise l’enregistrement de ressource DNS CNAME, Dsa_Guid._msdcs. Nom_domaine DNS, localiser son partenaire de réplication du contrôleur de domaine source. Pour vérifier que cet enregistrement de ressource dans la zone DNS pour le nom de domaine Active Directory, procédez comme suit :
    1. Dans l’arborescence de la console, ouvrez la console DNS. Localiser un contrôleur de domaine qui exécute le service serveur DNS, où le service héberge la zone DNS avec le même nom que le nom de domaine Active Directory.
    2. Dans l’arborescence de la console, cliquez sur la zone nommée _msdcs. Nom_domaine DNS.

      Dans le DNS de Windows 2000 Server, _msdcs. Nom_domaine DNS est un sous-domaine de la zone DNS pour le nom de domaine Active Directory. Dans Windows Server 2003, _msdcs. Nom_domaine DNS est une zone séparée.
    La zone est nommée _msdcs. Nom_domaine DNS doit contenir les éléments suivants :
    • Un enregistrement de ressource CNAME nommé Dsa_Guid._msdcs. Nom_domaine DNS.
    • Un enregistrement de ressources A pour le nom du serveur DNS qui est identifié en tant que l’hôte cible dans l’enregistrement CNAME.


    Si les enregistrements de ressources n’existent pas, passez à l’étape 6 pour diagnostiquer pourquoi le service Net Logon n’a pas inscrit les enregistrements de ressources automatiquement.
  6. Vérifiez que le service serveur DNS qui héberge la zone pour le nom de domaine Active Directory est configuré pour accepter les mises à jour dynamiques.
    1. Dans la console DNS, cliquez sur la zone applicable, puis cliquez sur Propriétés.
    2. Sous l’onglet Général , vérifiez que la zone est intégrée à Active Directory.
    3. Dans les Mises à jour dynamiques, cliquez sur sécurisé uniquement. (Dans Windows 2000 Server, l’option de mise à jour dynamique sécurisée est nommée mises à jour sécurisées uniquement).
  7. Inscrire les enregistrements de ressources DNS dans le système DNS.

    Le service d’ouverture de session réseau sur un contrôleur de domaine inscrit les enregistrements de ressource DNS requis pour le contrôleur de domaine doit être situé dans le réseau. Pour lancer manuellement l’enregistrement sur le contrôleur de domaine source, tapez la ligne suivante à l’invite de commande et appuyez sur ENTRÉE après chaque commande :


    net stop « net logon »


    Net start « net logon »

    Le service Client DNS inscrit l’enregistrement de ressource hôte (A) qui désigne l’enregistrement CNAME. Pour lancer l’enregistrement sur le contrôleur de domaine source, à l’invite de commande, tapez ipconfig /registerdns et appuyez sur ENTRÉE.
  8. Vérifier l’enregistrement de ressource.

    Pour vérifier que les enregistrements ont été enregistrés avec succès, passez à l’étape 5, « Vérifier que l’enregistrement de ressource est inscrit ».
  9. Forcer la réplication sur les contrôleurs de domaine source et de destination.
    1. Sur le contrôleur de domaine de destination, ouvrez Active Directory Sites et Services.
    2. Dans l’arborescence de la console, cliquez sur Paramètres NTDS du contrôleur de domaine que vous voulez forcer la réplication sur.
    3. Dans le volet de détails, double-cliquez sur la connexion que vous souhaitez utiliser pour répliquer les informations d’annuaire et puis cliquez sur Répliquer maintenant.
    Vous pouvez également utiliser les outils de ligne de commande repadmin et replmon . Ces outils sont disponibles sur le CD d’installation de Windows Server 2003. (La commande repadmin est repadmin /syncall /d /e /P source_domain_controller.)
  10. Recherchez d’autres problèmes.

    Si les étapes précédentes ne résolvent pas les erreurs, un contrôleur de domaine n’est peut-être pas en mesure d’enregistrer de manière dynamique ses enregistrements de ressources DNS, car les serveurs DNS utilisés par le contrôleur de domaine pour la résolution de nom ne peut pas trouver une zone principale faisant autorité pour ces enregistrements de ressources. Dans ce cas, il y deux causes possibles sont :

Plus d'informations

Vous pouvez également utiliser les outils de ligne de commande Netdiag.exe et Dcdiag.exe pour résoudre les problèmes de l’infrastructure DNS et Active Directory. Ces deux outils sont disponibles en ligne ou sur le CD d’installation de Windows Server 2003. Pour télécharger ces outils, visitez la page de Web Outils du Kit de ressources Windows Server 2003 :
Propriétés

ID d'article : 824449 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires