Réplication entre 2 serveurs AD: ne fonctionne pas
Fermé
splifhouse
-
15 juin 2020 à 21:29
kelux Messages postés 3065 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 19 juin 2020 à 13:47
kelux Messages postés 3065 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 19 juin 2020 à 13:47
A voir également:
- Partage sysvol et netlogon manquant
- 2 comptes whatsapp - Guide
- Youtube ad blocker - Guide
- 2 ecran pc - Guide
- Word numéro de page 1/2 - Guide
- Ad-aware gratuit - Télécharger - Sécurité
3 réponses
Hello,
Je dirai que j'ai trouvé. En fait je me suis rendu compte que, pour une raison que j'ignore, les partages SYSVOL et NETLOGON ne se sont pas créés sur mes contrôleurs de domaine secondaires. Du coup les réplications AD ne se faisaient pas correctement, même si en apparence ça semblait être le cas.
Solution kamikaze mais qui semble fonctionner:
copier manuellement le répertoire SYSVOL du serveur principal vers le rep sysvol du serveur secondaire.
puis dans le registre (serveur secondaire) sur la clef
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Mettre la valeur SysVolReady=1
puis rebooter => Les partages devraient être créés.
Forcer ensuite une réplication via Site et domaine active directory, et ça semble résoudre ce problème.
Comme quoi, même en tant qu'ingé système réseaux de metier depuis bientôt 10 ans, on en apprend tous les jours.
J'espère que ça servira à quelqu'un.
Cordialement.
Je dirai que j'ai trouvé. En fait je me suis rendu compte que, pour une raison que j'ignore, les partages SYSVOL et NETLOGON ne se sont pas créés sur mes contrôleurs de domaine secondaires. Du coup les réplications AD ne se faisaient pas correctement, même si en apparence ça semblait être le cas.
Solution kamikaze mais qui semble fonctionner:
copier manuellement le répertoire SYSVOL du serveur principal vers le rep sysvol du serveur secondaire.
puis dans le registre (serveur secondaire) sur la clef
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Mettre la valeur SysVolReady=1
puis rebooter => Les partages devraient être créés.
Forcer ensuite une réplication via Site et domaine active directory, et ça semble résoudre ce problème.
Comme quoi, même en tant qu'ingé système réseaux de metier depuis bientôt 10 ans, on en apprend tous les jours.
J'espère que ça servira à quelqu'un.
Cordialement.
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 19 juin 2020 à 12:25
Modifié le 19 juin 2020 à 12:25
Hello,
Je te conseille vivement de décommissioner et de refaire au propre ces 2 DCs.
Avec ta méthode, tu n'as pas de garantie que le SYSVOL soit sain et qu'il va répliquer correctement au fil du temps.
Tu fais juste croire au DC que le SYSVOL est répliqué.
-
SYSVOL ne se réplique pas avec AD ; mais avec le moteur DFSR (ou FRS selon la version de Windows entre autre).
Si tu te disais que la réplication AD ne fonctionne pas, tu parlais peut être de la réplication du SYSVOL avec DFSR.
Quand tu montes un DC, il faut que le SYSVOL réplique une première fois (initial sync), pour que les partages soient présents et que le DC s'annonce en tant que Domain Controller disponible.
Pour SYSVOL, ça prend du temps, ce n'est pas aussi rapide que de synchroniser des données AD... cela dépend de la taille du SYSVOL , et du lien entre les 2 DCs.
ça m'est arrivé d'attendre plusieurs heures la réplication du SYSVOL (taille 1,5 Go - taille anormale, ce qui est bcp trop au passage) entre 2 machines sur un réseau 10GB et des "grosses" machines (32GB RAM).
Tu dois donc attendre , et regarder les logs dans les journaux AD et SYSVOL pour voir si le DC termine bien tout ça .... un net share pour voir les 2 partages aussi ...
-
Si tu veux aller plus vite pour ne pas synchroniser trop de données et attendre trop longtemps, passe par un backup IFM ; et fais ton installation d'un DC avec ce Backup IFM. Tu fais le bakcup IFM, puis tu copies le dossier sur le futur DC. Tu utilises ensuite le mode IFM lors de la promotion du DC.
Même pour des machines sur le même réseau physique, et des bases AD petites, on procède ainsi, on gagne un temps fou sur les synchros initiales AD et SYSVOL.
Backup IFM : attention à la taille dispo sur ton DC Source ...
-
Pour le souci du DC éteint et les autres qui ne marchent pas ... les autres DCs ne s'annonçant pas DC , ba normal ...
Après il y a la configuration DNS qui compte aussi sur chaque DC, ainsi que la topologie de sites AD.
EDIT : tu dois garantir qu'un niveau réseau, tous les flux AD soient bien ouverts entre les DCs. C'est un prérequis.
@+
Je te conseille vivement de décommissioner et de refaire au propre ces 2 DCs.
Avec ta méthode, tu n'as pas de garantie que le SYSVOL soit sain et qu'il va répliquer correctement au fil du temps.
Tu fais juste croire au DC que le SYSVOL est répliqué.
-
SYSVOL ne se réplique pas avec AD ; mais avec le moteur DFSR (ou FRS selon la version de Windows entre autre).
Si tu te disais que la réplication AD ne fonctionne pas, tu parlais peut être de la réplication du SYSVOL avec DFSR.
Quand tu montes un DC, il faut que le SYSVOL réplique une première fois (initial sync), pour que les partages soient présents et que le DC s'annonce en tant que Domain Controller disponible.
Pour SYSVOL, ça prend du temps, ce n'est pas aussi rapide que de synchroniser des données AD... cela dépend de la taille du SYSVOL , et du lien entre les 2 DCs.
ça m'est arrivé d'attendre plusieurs heures la réplication du SYSVOL (taille 1,5 Go - taille anormale, ce qui est bcp trop au passage) entre 2 machines sur un réseau 10GB et des "grosses" machines (32GB RAM).
Tu dois donc attendre , et regarder les logs dans les journaux AD et SYSVOL pour voir si le DC termine bien tout ça .... un net share pour voir les 2 partages aussi ...
-
Si tu veux aller plus vite pour ne pas synchroniser trop de données et attendre trop longtemps, passe par un backup IFM ; et fais ton installation d'un DC avec ce Backup IFM. Tu fais le bakcup IFM, puis tu copies le dossier sur le futur DC. Tu utilises ensuite le mode IFM lors de la promotion du DC.
Même pour des machines sur le même réseau physique, et des bases AD petites, on procède ainsi, on gagne un temps fou sur les synchros initiales AD et SYSVOL.
Backup IFM : attention à la taille dispo sur ton DC Source ...
-
Pour le souci du DC éteint et les autres qui ne marchent pas ... les autres DCs ne s'annonçant pas DC , ba normal ...
Après il y a la configuration DNS qui compte aussi sur chaque DC, ainsi que la topologie de sites AD.
EDIT : tu dois garantir qu'un niveau réseau, tous les flux AD soient bien ouverts entre les DCs. C'est un prérequis.
@+
En fait je me suis rendu compte que le problème initial c'est que les 2 AD supplémentaires ont été installées (sans erreur) mais pour autant les partages SYSVOL et NETLOGON ne se faisaient pas. Donc forcement pas réplication. J'ai du dans un premier temps passer par le registre sur chacun des DC pour activer le SYSVOL.
J'ai du ensuite faire la manip citée ci-dessus pour que la synchro soit effective.
A priori ça fonctionne maintenant, réplication DNS, utilisateurs & groupes ainsi que les GPO sont OK. Et les 2 autres DC fonctionnent si le principal est éteint.
Je ne sais pas pour quelle raison l'install a foiré depuis le départ mais là l'installation me semble tout de même beaucoup plus stable qu'au départ.
@+
J'ai du ensuite faire la manip citée ci-dessus pour que la synchro soit effective.
A priori ça fonctionne maintenant, réplication DNS, utilisateurs & groupes ainsi que les GPO sont OK. Et les 2 autres DC fonctionnent si le principal est éteint.
Je ne sais pas pour quelle raison l'install a foiré depuis le départ mais là l'installation me semble tout de même beaucoup plus stable qu'au départ.
@+
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 19 juin 2020 à 13:58
Modifié le 19 juin 2020 à 13:58
c'est que les 2 AD supplémentaires ont été installées (sans erreur) mais pour autant les partages SYSVOL et NETLOGON ne se faisaient pas
Ba justement cela est une erreur dans le process de commissionnement d'un DC ;)
L'absence de ces partages montre que le DC n'est pas finalisé.
Il faut surveiller les réplis AD et DFSR ; vraiment.
un
Puis les logs AD et DFSR.
réplication DNS, utilisateurs & groupes ainsi que les GPO sont OK
Ca, ça se base uniquement sur la répli AD.
Pour les GPOs, cela se décompose en 2 morceaux (GPC et GPT) : une partie est dans AD (GPC) ; une autre coté SYSVOL(GPT).
Donc si la répli SYSVOL ne se fait pas, la partie GPT ne sera pas dupliquée sur les contrôleurs de domaine.
Donc en cas de mise à jour d'une GPO, il se peut qu'il y ait un écart dans le SYSVOL entre le PDC (qui valide les modifs GPO) et les autres DCs.
A la limite publier un fichier texte dans le Netlogon et voir s'il est dupliqué sur les 2 autres...
La marche à suivre : https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/troubleshoot-missing-sysvol-and-netlogon-shares
Il faut savoir que si DFSR n'arrive pas à répliquer au delà d'une certaine période, il arrêtera d'essayer de répliquer.(60j activé par défaut à partir de W2012)
Après ce ne sont que des conseils ; si l'état "A priori ça fonctionne maintenant" est suffisant ;-)
Ba justement cela est une erreur dans le process de commissionnement d'un DC ;)
L'absence de ces partages montre que le DC n'est pas finalisé.
Il faut surveiller les réplis AD et DFSR ; vraiment.
un
repadmin /replsumpour l'état de la répli AD dans un premier temps. (avec un compte admin sur un DC + cmd lancé en tant qu'admin)
Puis les logs AD et DFSR.
réplication DNS, utilisateurs & groupes ainsi que les GPO sont OK
Ca, ça se base uniquement sur la répli AD.
Pour les GPOs, cela se décompose en 2 morceaux (GPC et GPT) : une partie est dans AD (GPC) ; une autre coté SYSVOL(GPT).
Donc si la répli SYSVOL ne se fait pas, la partie GPT ne sera pas dupliquée sur les contrôleurs de domaine.
Donc en cas de mise à jour d'une GPO, il se peut qu'il y ait un écart dans le SYSVOL entre le PDC (qui valide les modifs GPO) et les autres DCs.
A la limite publier un fichier texte dans le Netlogon et voir s'il est dupliqué sur les 2 autres...
La marche à suivre : https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/troubleshoot-missing-sysvol-and-netlogon-shares
Il faut savoir que si DFSR n'arrive pas à répliquer au delà d'une certaine période, il arrêtera d'essayer de répliquer.(60j activé par défaut à partir de W2012)
Après ce ne sont que des conseils ; si l'état "A priori ça fonctionne maintenant" est suffisant ;-)
