Résolution des problèmes liés à la promotion d’un contrôleur de domaine en serveur de catalogue global

Cet article traite d’un problème lié à la promotion d’un contrôleur de domaine en serveur de catalogue global.

Version du produit d’origine :   Windows Server 2003
Numéro de la base de connaissances initiale :   910204

Résumé

Cet article aborde les sujets suivants :

  • Les messages d’événement qui sont consignés dans le journal des services d’annuaire pour Windows 2000 Server et pour Windows Server 2003
  • Causes possibles de l’échec de promotion de catalogue global
  • Méthodes permettant de déterminer la cause de l’échec de promotion de catalogue global
  • Méthodes de résolution de l’échec de promotion de catalogue global

Symptômes

Lorsque vous essayez de promouvoir un contrôleur de domaine Microsoft Windows Server 2003 ou un contrôleur de domaine Microsoft Windows 2000 sur un serveur de catalogue global, le contrôleur de domaine peut ne pas se publier lui-même en tant que catalogue global. Cela est vrai si vous promouvez le contrôleur de domaine par programme ou en cliquant pour sélectionner l’option de catalogue global . Lorsque ce problème se produit, les messages d’événement sont consignés dans le journal des services d’annuaire.

En outre, la sortie peut indiquer que le contrôleur de domaine n’a pas passé le test de publicité et ne publie pas le catalogue global. Cette sortie se produit lorsqu’un contrôleur de domaine enregistre l’ID d’événement 1578 et lorsque vous exécutez une vérification de diagnostic de contrôleur de domaine (Dcdiag.exe) sur ce contrôleur de domaine.

Notes

Pour exécuter une vérification du diagnostic d’un contrôleur de domaine, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez cmd, puis cliquez sur OK.
  2. À l’invite de commandes, tapez Dcdiag/v/f : logfile.txt, puis appuyez sur entrée. Les sections suivantes décrivent les messages d’événement qui sont consignés dans le journal des services d’annuaire lorsque ce problème se produit.

Messages d’événement Windows 2000

  • Les messages d’événement d’information semblables aux suivants sont journalisés toutes les 30 minutes :
    • ID d’événement 1559
    • ID d’événement 1578

Notes

Bien que la sous-clé de Registre « Global Catalog partition Occupancy » soit mentionnée dans ce message d’événement, vous ne devez pas réduire le niveau d’occupation à accélérer la promotion du catalogue global de manière artificielle. Nous vous recommandons vivement de résoudre d’abord le problème de réplication du service d’annuaire afin que le catalogue global soit automatiquement publié.

  • ID d’événement 1110
  • Avertissement les messages d’avertissement semblables aux suivants peuvent être enregistrés toutes les 15 minutes :
    • ID d’événement 1265

Notes

La description de l’ID d’événement 1265 peut varier. Plusieurs possibilités entraînent l’enregistrement de l’ID d’événement 1265. Ces possibilités entraînent également le vérificateur de cohérence des connaissances (KCC) à ne pas créer de lien de réplication. Voici quelques-unes des possibilités les plus courantes : - L’opération DSA ne peut pas continuer en raison d’un échec de recherche DNS. Résolvez le problème DNS ou supprimez les métadonnées si l’adresse DSA source représente un contrôleur de domaine obsolète. - Le serveur RPC n’est pas disponible. Cela indique généralement un problème de connectivité réseau. Déterminez si le contrôleur de domaine cible est hors connexion ou si un port réseau est bloqué. - Le nom de principal cible est incorrect. Examinez le canal de sécurité entre les contrôleurs de domaine source et cible. - Vous recevez un message d’erreur « Accès refusé ».

  • Le message d’événement d’erreur suivant est journalisé toutes les heures :

ID d’événement 1126 ID d’événement : 1126

Source de l’événement : NTDS général

Type d’événement : information

Description : impossible d’établir une connexion au catalogue global

Messages d’événement Windows Server 2003

  • ID d’événement 1559
  • ID d’événement 1578
  • Si vous activez la journalisation des diagnostics pour le vérificateur de cohérence des connaissances (KCC) au niveau 1, l’événement suivant est enregistré.

ID d’événement 1801

Cause

Un catalogue global doit répliquer les copies entrantes de tous les objets à partir de toutes les partitions de domaine de la forêt avant que le catalogue global puisse publier le rôle de catalogue global.

Lorsqu’un contrôleur de domaine est sélectionné pour héberger le catalogue global, le KCC sur le contrôleur de domaine qui est promu utilise sa discrétion pour créer des objets de connexion à partir de contrôleurs de domaine sources qui hébergent les partitions requises. Ces contrôleurs de domaine sources peuvent être constitués de catalogues globaux existants dans la forêt ou les contrôleurs de domaine qui hébergent des copies accessibles en écriture de chaque partition de domaine qui se trouve dans sa forêt. Le contenu de chaque partition de domaine est ensuite répliqué à partir des contrôleurs de domaine source désignés par le KCC. Le contenu est répliqué dans le catalogue global nouvellement promu sur les liens de connexion existants ou nouvellement créés.

La promotion de catalogue global peut échouer si l’une des conditions suivantes est vraie :

  1. La partition de configuration d’un ou de plusieurs contrôleurs de domaine contient un objet de référence croisée vers un domaine périmé ou orphelin, mais aucun contrôleur de domaine n’est situé dans la forêt.

  2. Les métadonnées d’un contrôleur de domaine source désigné par le KCC se trouvent dans la partition de configuration d’un ou de plusieurs contrôleurs de domaine, mais ne représentent pas un contrôleur de domaine actuellement présent dans la forêt.

  3. Le contrôleur de domaine source qui est sélectionné par le KCC sur le catalogue global qui est en cours de promotion est en mode hors connexion.

  4. Le contrôleur de domaine source qui a été sélectionné par le KCC sur le catalogue global qui est promu est inaccessible sur le réseau. Ce contrôleur de domaine est inaccessible car il n’y a pas de connectivité réseau ou de connectivité réseau partielle. Voici quelques exemples de problèmes de connectivité réseau :

    • Ports bloqués
    • Adresses IP filtrées
    • Réseaux qui ne sont pas complètement routés, mais dont l’option pont-tout-site est activée
  5. Les catalogues globaux de domaine source sont limités en ce qui concerne les serveurs ponts car les contrôleurs de domaine de catalogue non global n’ont pas été correctement sélectionnés comme serveurs ponts par les administrateurs.

  6. Le catalogue global qui est en cours de promotion ne peut pas créer un lien de connexion à partir du contrôleur de domaine source sélectionné en raison de l’état d’erreur qui est consigné dans l’un des événements répertoriés dans la section Résumé.

Un domaine orphelin empêche le contrôleur de domaine de terminer la réplication. Le contrôleur de domaine ne peut pas se publier lui-même en tant que serveur de catalogue global tant que la réplication n’est pas terminée. Plusieurs problèmes peuvent conduire à un domaine orphelin :

  1. Active Directory a été supprimé de tous les contrôleurs de domaine d’un domaine, mais l’objet de référence croisée de la partition de domaine reste toujours.

  2. Active Directory a été supprimé d’un contrôleur de domaine et la partition d’annuaire du contrôleur de domaine a été supprimée. Le contrôleur de domaine a été recréé avant la fin de la réplication. Ces événements entraînent des fantômes en attente pour lesquels un objet de référence croisée fait référence de manière incorrecte.

  3. La mise à jour du nom de domaine pour le domaine n’a pas atteint le contrôleur de domaine qui rencontre le problème. Ou, la mise à jour de l’attribution de noms de domaine pour un domaine qui vient d’être promu n’a peut-être pas atteint de contrôleur de domaine à l’extérieur de ce domaine. Il s’agit d’un problème temporaire.

Résolution

Avertissement

Vous ne devez pas activer un niveau d’occupation réduit pour accélérer la promotion du catalogue global de manière artificielle. Nous vous recommandons vivement de résoudre d’abord le problème de réplication du service d’annuaire afin que le catalogue global soit automatiquement publié.

Pour résoudre ce problème, identifiez d’abord la cause première du problème de réplication et résolvez ce problème. Déterminez si le problème de réplication est dû à l’une des conditions suivantes :

  • Un retard de réplication
  • Un domaine orphelin se trouvant dans l’environnement de la forêt ;
  • Impossibilité de créer le lien de connexion
  • Impossible de répliquer sur la connexion agreementIf il existe un ID d’événement KCC NTDS 1265 qui est consigné dans le journal du service d’annuaire, utilisez cet événement pour déterminer la cause de l’échec de la réplication pour la même partition de domaine. Assurez-vous que la connectivité réseau est correcte et qu’aucun port réseau requis n’est bloqué. Les ports réseau requis sont, par exemple, les ports TCP 135 et éphémère utilisés par RPC. Affichez les enregistrements DNS pour vous assurer que les enregistrements SRV et de l’hôte enregistré sont tous correctement enregistrés. S’il existe des enregistrements incorrects, vous devez les effacer et enregistrer ces enregistrements.

Supprimez toutes les métadonnées obsolètes des contrôleurs de domaine et des domaines de la forêt répertoriées dans les ID d’événement pertinents. Vous devez effectuer cette opération pour vous assurer que la réplication n’a pas échoué en raison d’un contrôleur de domaine ou d’un domaine qui n’existe pas. Pour plus d’informations sur la façon de supprimer des métadonnées Active Directory, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la base de connaissances Microsoft :

216498 comment supprimer des données dans Active Directory après l’échec d’une rétrogradation de contrôleur de domaine

Une fois que vous avez vérifié que la réplication entre les contrôleurs de domaine fonctionne correctement, déterminez s’il existe un objet domaine orphelin. Vous pouvez utiliser l’utilitaire Ntdsutil.exe pour effacer l’objet de domaine orphelin. S’il existe un objet contrôleur de domaine orphelin pour ce domaine, vous devez également supprimer l’objet contrôleur de domaine. Pour plus d’informations sur la suppression d’un domaine orphelin, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la base de connaissances Microsoft :

230306 comment faire pour supprimer des domaines orphelins d’Active Directory

Pour plus d’informations sur la façon de supprimer des objets de contrôleur de domaine orphelins, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la base de connaissances Microsoft :

216498 comment supprimer des données dans Active Directory après l’échec d’une rétrogradation de contrôleur de domaine

Informations supplémentaires

Une fois que vous avez promu le contrôleur de domaine en serveur de catalogue global, les partitions de domaine dans la forêt sont répliquées vers le nouveau serveur de catalogue global. Une fois que toutes les partitions ont été répliquées sur le nouveau serveur de catalogue global, l’ID d’événement 1119 est consigné dans le journal des services d’annuaire sur le contrôleur de domaine. La description de l’événement indique que l’ordinateur se publie maintenant en tant que serveur de catalogue global.

Pour vérifier que le contrôleur de domaine est un serveur de catalogue global, procédez comme suit :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. Tapez nltest/dsgetdc : Domain_name/Server : server_name, puis appuyez sur entrée.

  3. Vérifiez que le serveur publie l’indicateur « GC » (catalogue global). Par exemple, lorsque vous tapez la commande à l’étape 2, un message semblable à celui-ci s’affiche si l’indicateur GC est présent : DC : \ SERVER_NAME
    Adresse : \ adresse IP
    GUID dom : 47bc7d87-309e-4A2A-BAC3-c9866a66bab8

Nom DOM : Domain_name
Nom de la forêt : Domain_name. com
Nom du site DC : Default-First-Site-Name

Notre nom de site : Default-First-Site-Name

Indicateurs : contrôleur principal de domaine (KDC) LDAP de l’accès en écriture DNS_FOREST CLOSE_SITE la commande s’est terminée correctement

Notes

L’outil NLTest est inclus dans les outils de support Windows 2000. Pour installer les outils de support Windows 2000, ouvrez le dossier Support\Tools sur le disque de démarrage Windows 2000, puis exécutez le programme d’installation. Pour installer ces outils, vous devez ouvrir une session en tant que membre du groupe administrateurs. Pour plus d’informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la base de connaissances Microsoft :

842208 vous ne pouvez pas promouvoir un contrôleur de domaine basé sur Windows 2000 sur un serveur de catalogue global

889711 vous ne pouvez pas promouvoir un contrôleur de domaine Windows Server 2003 en tant que serveur de catalogue global

810089 impossible de promouvoir le nouveau catalogue global lorsque des contextes d’appellation de conflits existent

230306 comment faire pour supprimer des domaines orphelins d’Active Directory