Active Directory – Réparer la réplication entre 2 controleurs de domaine
juillet 31, 2014 11:17 Laissez vos commentairesBonjour!
Voici une petite procédure qui devrait vous sauver en cas de problème de réplication de l’active directory sur 2 contrôleurs de domaine.
Le problème était le suivant :
Les zones de recherches du serveur DNS du DC1 avaient disparues.
Les erreurs du moniteurs d’événements étaient les suivantes :
erreur 4000 : Le serveur DNS n’a pas pu ouvrir Active Directory. Ce serveur DNS est configuré pour obtenir et utiliser les informations de l’annuaire pour cette zone et il ne peut pas chargez la zone sans celui-ci. Vérifier que Active Directory fonctionne correctement et charger la zone de nouveau. Les donnes d’évènement sont le code d’erreur.
erreur 4013 : Le serveur DNS n’a pas pu ouvrir Active Directory. Ce serveur DNS est configuré pour utiliser les informations du service d’annuaire et ne peut pas fonctionner sans avoir accès celui-ci. Le serveur DNS va attendre que l’annuaire démarre. Si le serveur DNS est démarré mais que l’évènement correspondant n’est été enregistré, alors le serveur DNS attend toujours que l’annuaire démarre.
Sur le DC2, le serveur DNS du DC1 était en accès refusé.
Lorsque l’on tente une réplication des controleurs de domaine à partir de la console « Sites et Services Active directory » nous obtenions le message suivant :
« Le nom principal de la cible n’est pas correct »
pour courronner le tout, un nslookup sur le DC1 nous renvoyait un joli « unknown ».
Et pour répliquer le DNS d’un contrôleur de domaine à un autre il faut que la réplication AD soit opérationnelle. Nous allons donc la remettre en service en réinitialisant le mot de passe du compte ordinateur du contrôleur de domaine défaillant qui, suite à une erreur de réplication, se trouve différent de celui de l’autre contrôleur de domaine. 1
1. se connecter sur le DC défaillant ( le DC1)
2. faire en sorte que les 2 DC disposent du même serveur DNS primaire. (celui qui fonctionne de préférence 😉
3. Arrêtez le service « Centre de distribution de clé Kerberos »
net stop kdc
Puis on purge les tickets kerberos
klist purge
Nous allons à présent réinitialiser le mot de passe du DC1 avec la commande suivante : ( tapez le mot de passe correspondant à l’administrateur du domaine, ou à tout autre compte autorisé)
netdom reset passwd /Server:DC2 /UserD:administrateur@votredomain.lan /PasswordD:* Type the password associated with the domain user: The machine account password for the local machine has been successfully reset. The command completed successfully.
Il ne vous reste plus qu’à relancer le service kdc :
net start kdc
Forcez une réplication si vous êtes impatient… et tout refonctionne à nouveau!
ouf…
Notes:
- Le motde passe d’un compte ordinateur Active Directory se renouvèle automatiquement tous les 30 jours, et la réplication ne fonctionne plus si les dates de modifications sur les contrôleurs de domaines sont différentes ↩
Classés dans :Windows Server 2003
Cet article a été écrit par admin