J’ai récemment installé deux nouveaux contrôleurs de domaine en Windows 2003 R2 afin de remplacer un vieux contrôleur de domaine en Windows 2000 qui montrait des signes certains de faiblesse. Problème, après la phase habituelle de dcpromo les partages SYSVOL et NETLOGON ne se sont pas créés automatiquement sur les deux nouveaux DCs. Les transferts de rôles FSMO se sont eux passés sans problème et Active Directory (utilisateurs, ordinateurs) et le DNS se répliquent parfaitement.
Ce problème est en fait critique puisque si le contrôleur de domaine en Windows 2000 venait à mourir il ne serait plus possible de s’authentifier sur le domaine ni sur les serveurs SQL utilisant l’authentification Windows. Un backup très régulier de l’état du système du DC avec ntbackup est primordial tant que la situation n’est pas stabilisée. D’autre part les stratégies de groupe ne sont pas répliquées et les serveurs ne sont pas intégralement considérés comme des contrôleurs de domaine tant que les partages SYSVOL et NETLOGON n’auront pas été créés.
Sur les DCs en Windows 2003 j’obtenais des erreurs dans l’observateur d’événements :
Type de l’événement : Avertissement
Source de l’événement : NtFrs
Catégorie de l’événement : Aucun
ID de l’événement : 13565
Date : 28/08/2007
Heure : 18:47:17
Utilisateur : N/A
Ordinateur : DC01
Description :
Le service de réplication de fichiers initialise le volume système avec des données venant d’un autre contrôleur de domaine. L’ordinateur DC01 ne peut pas devenir un contrôleur de domaine avant que le traitement ne soit effectué. Le volume système sera alors partagé en tant que SYSVOL.Pour vérifier le partage SYSVOL, entrez à l’invite de commande :
net shareLorsque le service de réplication de fichiers aura effectué le processus d’initialisation, le partage SYSVOL apparaîtra.
L’initialisation du volume système peut prendre un certain temps. Cette durée dépend de la quantité de données dans le volume système, de la disponibilité d’autres contrôleurs de domaine et de l’intervalle de réplication entre les contrôleurs de domaine.
Pour plus d’informations, consultez le centre Aide et support à l’adresse http://go.microsoft.com/fwlink/events.asp.
Type de l’événement : Avertissement
Source de l’événement : NtFrs
Catégorie de l’événement : Aucun
ID de l’événement : 13508
Date : 27/08/2007
Heure : 14:17:51
Utilisateur : N/A
Ordinateur : DC01
Description :
Le service de réplication de fichiers a des problèmes à activer la réplication de \\OLDDC.corp.local vers DC01 pour c:\windows\sysvol\domain en utilisant le nom DNS \\OLDDC.corp.local. FRS va essayer à nouveau.
Ci-dessous sont certaines des raisons de cet avertissement.[1] FRS ne peut pas résoudre le nom DNS \\OLDDC.corp.local correctement à partir de cet ordinateur.
[2] FRS n’est pas en cours d’exécution sur \\OLDDC.corp.local.
[3] Les informations de topologie dans Active Directory pour ce réplica n’ont pas été répliquées à tous les contrôleurs de domaine.Ce message du journal d’événement apparaîtra une fois par connexion, une fois que le problème a été résolu, vous verrez un autre message indiquant que la connexion a été établie.
Pour plus d’informations, consultez le centre Aide et support à l’adresse http://go.microsoft.com/fwlink/events.asp.
Données :
0000: 00 00 00 00 ….
Le fait de redémarrer le service de réplication de fichiers regénère ces erreurs en permanence.
Sur l’ancien contrôleur de domaine en Windows 2000 :
Type de l’événement : Avertissement
Source de l’événement : NtFrs
Catégorie de l’événement : Aucun
ID de l’événement : 13508
Date : 24/08/2007
Heure : 11:48:13
Utilisateur : N/A
Ordinateur : OLDDC
Description :
Le service de réplication de fichiers a des problèmes à activer la réplication de DC01 vers OLDDC pour c:\winnt\sysvol\domain en utilisant le nom DNS dc01.corp.local. FRS va essayer à nouveau.
Ci-dessous sont certaines des raisons de cet avertissement.[1] FRS ne peut pas résoudre le nom DNS dc01.corp.local correctement à partir de cet ordinateur.
[2] FRS n’est pas en cours d’exécution sur dc01.corp.local.
[3] Les informations de topologie dans Active Directory pour ce réplica n’ont pas été répliquées à tous les contrôleurs de domaine.Ce message du journal d’événement apparaîtra une fois par connexion, une fois que le problème a été résolu, vous verrez un autre message indiquant que la connexion a été établie.
Données :
0000: 00 00 00 00 ….
Type de l’événement : Avertissement
Source de l’événement : NtFrs
Catégorie de l’événement : Aucun
ID de l’événement : 13508
Date : 24/08/2007
Heure : 11:48:13
Utilisateur : N/A
Ordinateur : OLDDC
Description :
Le service de réplication de fichiers a des problèmes à activer la réplication de DC02 vers OLDDC pour c:\winnt\sysvol\domain en utilisant le nom DNS DC02.corp.local. FRS va essayer à nouveau.
Ci-dessous sont certaines des raisons de cet avertissement.[1] FRS ne peut pas résoudre le nom DNS DC02.corp.local correctement à partir de cet ordinateur.
[2] FRS n’est pas en cours d’exécution sur DC02.corp.local.
[3] Les informations de topologie dans Active Directory pour ce réplica n’ont pas été répliquées à tous les contrôleurs de domaine.Ce message du journal d’événement apparaîtra une fois par connexion, une fois que le problème a été résolu, vous verrez un autre message indiquant que la connexion a été établie.
Données :
0000: 00 00 00 00 ….
Quelques recherches sur Internet montrent que ce problème de non-réplication des partages SYSVOL et NETLOGON est assez commun mais rares sont les solutions disponibles. De plus certaines de ces solutions ne sont pas valides pour les Windows 2000 post-SP3, le mien étant patché en SP4… Enormément d’informations assez vagues et contradictoires indiquent notamment de partager manuellement les répertoires (à ne pas faire !) ou de déplacer les fichiers manuellement (pas très utiles puisque les partages ne sont pas actifs).
Finalement voilà la solution qui a rétabli la réplication entre les trois DCs :
- vérifier que le serveur DNS contient bien toutes les entrées nécessaires, en particulier il doit être possible de contacter tous les autres contrôleurs de domaine depuis un DC donné au moyen de leurs IPs et de leur noms DNS complets. Si ce n’est pas le cas il faut corriger cela avant toute chose et vérifier si ça ne résout pas le problème de réplication.
- stopper le service de réplication de fichiers sur tous les DCs
- Utiliser regedit pour modifier la clé Burflag de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID et la passer à D4 en hexadécimal sur le contrôleur de domaine disposant d’un SYSVOL et d’un NETLOGON correct
- Utiliser regedit pour modifier la clé Burflag de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID et la passer à D2 en hexadécimal sur les contrôleurs de domaines qui n’ont pas créé les partages SYSVOL et NETLOGON
- redémarrer le service de réplication de fichiers sur le contrôleur de domaine « correct »
- patientez quelques minutes
- redémarrer le service de réplication de fichiers sur les contrôleurs de domaine en erreur de réplication
A ce moment-là les contrôleurs de domaine en Windows 2003 ont enregistré ce message dans l’observateur d’événements :
Type de l’événement : Informations
Source de l’événement : NtFrs
Catégorie de l’événement : Aucun
ID de l’événement : 13516
Date : 28/08/2007
Heure : 18:52:45
Utilisateur : N/A
Ordinateur : DC01
Description :
Le service de réplication de fichiers n’empêche plus l’ordinateur DC01 de devenir un contrôleur de domaine. Le volume système a été correctement initialisé et le service Accès réseau a été averti du fait que le volume système est maintenant prêt à être partagé en tant que SYSVOL.Entrez « net share » pour vérifier le partage SYSVOL.
Pour plus d’informations, consultez le centre Aide et support à l’adresse http://go.microsoft.com/fwlink/events.asp.
Un net share montre effectivement l’apparition des partages SYSVOL et NETLOGON, ce qui est confirmé par l’utilisation de l’outil Sonar qui montre les partages SYSVOLS en OK au lieu de Not Shared.
L’article KB315457 rentre dans (beaucoup) plus de détails sur cette manipulation.