Les informations de contrôleur de domaine enfant orphelines ne sont pas répliquées sur d’autres contrôleurs de domaine

  • Article

Cet article fournit une solution à un problème où un contrôleur de domaine enfant orphelin ne peut pas être répliqué sur d’autres contrôleurs de domaine.

S’applique à : Windows Server 2019, Windows Server 2016
Numéro de la base de connaissances d’origine : 887430

Symptômes

Un domaine enfant Microsoft Windows Server est orphelin du reste de la forêt. Ce domaine enfant peut recevoir des modifications répliquées par des contrôleurs de domaine dans le domaine parent (racine), mais aucun contrôleur de domaine dans le domaine racine ou tout autre domaine enfant n’a connaissance des contrôleurs de domaine dans le domaine enfant affecté.

Lorsqu’un administrateur tente d’afficher les contrôleurs de domaine dans le domaine enfant orphelin à partir d’un autre domaine, aucun contrôleur de domaine n’est affiché. Par exemple, aucun contrôleur de domaine n’est affiché dans le contexte de nommage de configuration suivant :
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com

Dans ce cas, Site_Name et Domain_Name sont des attributs du domaine orphelin.

Cause

Ce problème peut se produire si le domaine enfant est orphelin du domaine parent.

Résolution

Importante

Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Pour résoudre ce problème, vous devez créer un lien de réplication, puis activer l’authentification unidirectionnelle au lieu de l’authentification bidirectionnelle. Pour cela, procédez comme suit :

  1. Sur un contrôleur de domaine dans le domaine racine, ajoutez la valeur de Registre De secours Allow SPN du réplicateur . Pour ce faire, procédez comme suit sur le contrôleur de domaine.

    1. Sélectionnez Démarrer>l’exécution, puis entrez regedt32.
    2. Sélectionnez la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    3. Sélectionnez Modifier la>nouvelle>valeur DWORD.
    4. Entrez Replicator Allow SPN Fallback.
    5. Dans le volet droit, double-cliquez sur Réplicateur Autoriser le spn de secours, tapez 1 dans la zone Données de la valeur , puis sélectionnez OK.
    6. Redémarrez le contrôleur de domaine.

  2. Ouvrez une fenêtre d’invite de commandes et exécutez les commandes suivantes :

    repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE  
repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller  
repadmin /showreps

    Une connexion entrante réussie doit être affichée pour le contexte de nommage de configuration à partir du contrôleur de domaine enfant.

    Remarque

    Pour plus d’informations sur l’outil Repadmin.exe, consultez Surveillance et résolution des problèmes de réplication Active Directory à l’aide de Repadmin.

  3. À l’invite de commandes, exécutez la commande : repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE.

  4. Supprimez l’entrée de Registre De secours Du réplicateur Allow SPN . Pour cela, procédez comme suit :

    1. Démarrez le Registre Rédacteur, puis sélectionnez la sous-clé de Registre suivante :

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    2. Cliquez avec le bouton droit sur Réplicateur Autoriser le SPN de secours, sélectionnez Supprimer, puis OK.

  5. Forcer la réplication entre tous les contrôleurs de domaine dans le domaine racine. Pour cela, procédez comme suit :

    1. Sur un contrôleur de domaine dans le domaine racine, sélectionnez Démarrer>les programmes> Outils >d’administrationSites et services Active Directory.

    2. DéveloppezServeurs de sites>, développez votre dossier Server_Name, puis sélectionnez Paramètres NTDS.

    3. S’il existe d’autres contrôleurs de domaine dans votre environnement à répliquer, ils sont répertoriés dans le volet droit. Cliquez avec le bouton droit sur le premier contrôleur de domaine dans la liste, sélectionnez Toutes les tâches, puis sélectionnez Vérifier la topologie de réplication pour démarrer le vérificateur de cohérence des connaissances (KCC).

      Un objet de connexion entrant provenant d’un ou plusieurs contrôleurs de domaine enfants s’affiche. Vous devrez peut-être mettre à jour l’affichage en appuyant sur F5.

    4. Répétez l’étape 3 pour chaque contrôleur de domaine dans le domaine racine.

  6. Autoriser la réplication dans toute la forêt. Ensuite, exécutez la repadmin /showreps commande sur le contrôleur de domaine racine et sur les contrôleurs de domaine enfants. Cette étape permet de s’assurer que la réplication du service Active Directory Directory (AD DS) réussit.

L’entrée de Registre de secours SpN autoriser la réplication permet au contrôleur de domaine d’utiliser l’authentification unidirectionnelle si l’authentification bidirectionnelle ne peut pas être effectuée en raison d’un échec de résolution d’un nom de principal de service (SPN) sur un compte d’ordinateur.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.