Active Directory Replication ID d’événement 1925 : Essayez d’établir une réplication liens a échoué à un problème de connectivité

Le texte de description de l’événement ID 1925 signale que la tentative d’établissement d’un lien de réplication pour la partition d’annuaire accessible en écriture suivante a échoué, et le texte de description fournit le nom unique de la partition d’annuaire qui est de la destination tentative de réplication à partir de la source. Dans l’événement, le code d’erreur fournit des informations plus spécifiques sur la cause du problème.

Voici un exemple de texte de l’événement :

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: 3/12/2008  8:14:13 AM
Event ID: 1925
Task Category: Knowledge Consistency Checker 
Level: Warning
Keywords: Classic
User: ANONYMOUS LOGON
Computer: DC3.contoso.com
Description:
The attempt to establish a replication link for the following 
writable directory partition failed. 

Directory partition: 
CN=Configuration,DC=contoso,DC=com 
Source domain controller: 
CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com 
Source domain controller address: 
f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com 
Intersite transport (if any): 
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=contoso,DC=com
This domain controller will be unable to replicate with the source 
domain controller until this problem is corrected.

User Action 
Verify if the source domain controller is accessible or network 
connectivity is available. 

Additional Data 
Error value: 
1908 Could not find the domain controller for this domain.

 

Diagnostic

Lorsque 1925 d’ID d’événement contient l’erreur 1908, « Ne trouve pas le contrôleur de domaine pour ce domaine, » réplication Active Directory a échoué en raison d’un problème de connectivité entre le contrôleur de domaine qui a signalé l’erreur et le contrôleur de domaine source qui Il s’agit de l’événement texte.

Résolution

Pour résoudre ce problème, effectuez les tests suivants :

  • Vérifiez la connectivité du réseau étendu

  • Déterminer la taille de paquet maximale et le modifier si nécessaire.

Vérifiez la connectivité du réseau étendu

Vérifiez qu’il n’y a aucun problème de connectivité de base avec le réseau sous-jacent entre les contrôleurs de domaine, en particulier si elles sont séparées par une liaison réseau (étendu WAN) ou un pare-feu. Pour plus d’informations sur les tests de ce type de problème, consultez l’article 310099 (http://go.microsoft.com/fwlink/?LinkId=69995) et l’article 159211 (http://go.microsoft.com/fwlink/?LinkId=69996) dans la Base de connaissances Microsoft).

Déterminer la taille de paquet maximale

Par défaut, le protocole d’authentification Kerberos dans Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista et Windows Server 2008 utilise le protocole UDP (User Datagram) lorsque les données peuvent être contenues dans des paquets de moins de 2 000 octets. Toutes les données supérieures à cette valeur utilisent TCP pour le transport des paquets. Paquets de plus de 1 500 octets sont souvent perdus par un périphérique, comme un pare-feu sur le réseau.

Pour éviter ce problème, vous pouvez déterminer la taille du paquet peut s’adapter à votre réseau. Ensuite, vous pouvez modifier le Registre afin que le nombre maximal d’octets pour l’utilisation d’UDP est défini sur la valeur la plus basse que vous recevez, moins 8 octets pour le compte de la taille de l’en-tête.

Vous pouvez utiliser la commande ping pour tester la taille des paquets réseau peut prendre en charge.

L’appartenance à des Utilisateurs du domaine, ou équivalent et la session locale du droit sur le contrôleur de domaine sont le minimum requis pour effectuer cette procédure. Consultez les détails sur l’utilisation de comptes appropriés et les appartenances aux groupes au niveau Local et des groupes de domaine par défaut (http://go.microsoft.com/fwlink/?LinkId=83477).

Pour déterminer la taille de paquet commun le plus bas

  1. À partir du contrôleur de domaine destination, ping sur le contrôleur de domaine source par son adresse IP. Une fois dans l'invite de commandes, tapez la commande suivante et puis appuyez sur ENTRÉE :

    ping <IP_address> -f -l 1472

  2. À partir du contrôleur de domaine source, utilisez la commande à l’étape 1 à la commande ping sur le contrôleur de domaine de destination par son adresse IP.

  3. Si les ping commande exécutée dans les deux directions, aucune modification supplémentaire n’est requise.

  4. Si les ping commande échoue dans les deux sens, monotone inférieure, le numéro que vous utilisez dans la -l paramètre jusqu'à ce que vous trouviez la taille de paquet commun le plus bas qui fonctionne entre les contrôleurs de domaine source et de destination.

Remarque

Dcdiag.exe fournit la méthode suivante pour exécuter ce test : dcdiag /test:CheckSecurityError /s:<SourceDomainControllerName>

 

Vous pouvez modifier le Registre pour définir la taille maximale des paquets à la valeur que vous avez déterminé par la méthode PING, moins de 8 octets pour tenir compte de la taille de l’en-tête. Comme alternative, vous pouvez modifier le Registre afin que le nombre maximal d’octets pour l’utilisation d’UDP est toujours dépassé, et par conséquent Kerberos utilise toujours TCP.

Vous pouvez modifier la valeur par défaut de 2 000 octets en modifiant l’entrée de Registre MaxPacketSize dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Utilisez la procédure suivante pour modifier ce paramètre de Registre.

Avertissement

Il est recommandé que vous ne modifiez pas directement le Registre à moins qu’il n’y a pas d’autre solution. Modifications du Registre ne sont pas validées par l’Éditeur du Registre ou par Windows avant qu’ils sont appliqués, et par conséquent, les valeurs incorrectes peuvent être stockées. Cela peut entraîner des erreurs irrécupérables dans le système. Lorsque cela est possible, utilisez la stratégie de groupe ou d’autres outils de Windows, telles que Console MMC (Microsoft Management), pour accomplir les tâches plutôt que de modifier le Registre directement. Si vous devez modifier le Registre, utilisez la plus grande prudence.

Configuration requise

  • Informations d’identification : Appartenir au groupe Admins du domaine, ou équivalent, est le minimum requis pour effectuer cette procédure.

  • Outil : Regedit.exe

Pour modifier la taille de paquet maximale

  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.

  2. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.

  3. Modifier — ou, si elle n’existe pas dans le volet de détails, créez — l’entrée MaxPacketSize comme suit :

    1. Pour modifier l’entrée si elle existe dans le volet d’informations :

      MaxPacketSizede droit et cliquez sur Modifier, puis, dans la zone données de la valeur , tapez 1 pour forcer Kerberos à utiliser TCP ou tapez la valeur que vous avez établi pour abaisser la valeur pour la taille maximale appropriée.

    2. Pour créer l’entrée si elle n’existe pas dans le volet d’informations :

      Cliquez sur paramètreset cliquez sur Nouvelle valeur DWORD, tapez le nom MaxPacketSize, puis passez à l’étape 3 a modifier l’entrée.

  4. Cliquez sur OK.

  5. Vous devez redémarrer le contrôleur de domaine pour que cette modification prenne effet.

Voir aussi

Autres ressources

Surveillance et dépannage de la réplication Active Directory à l’aide de Repadmin

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×