J'ai mis en place une réplication AD entre mes deux sites (appelés Toulouse et Carcassonne).
J'ai bien configuré les sites et services AD, et la réplication a l'air de bien se passer, mais j'ai remarqué en vérifiant le DNS quelque chose de super bizarre :
Il y a deux zones dans mon DNS :
msdcs.ma.zone et ma.zone
Dans msdcs.ma.zone,dc,_sites je trouve mes deux sites et les DC qui correspondent.
Par contre, dans ma.zone,_msdcs,dc,_sites je ne trouve qu'un seul site, celui de Carcassonne (alors que le PDC se trouve à Toulouse).
Ils sont tous catalogues globaux, sans mise en cache de l'appartenance universelle.
Toulouse contient DC1 et DC2 (réplication intrasite via RPC) et Carcassonne contient DC3 (réplication intersite entre DC1 et DC3 via IP, DC1 étant le bridgehead du site Toulouse).
Est-ce normal que le site de Toulouse n'apparaisse pas dans ma.zone,_msdcs,dc,_sites ?
Sinon, comment mettre à jour le DNS ?
De plus, dans Sites et Services Active Directory, j'ai fait une vérification de la topologie de réplication, et j'obtiens des erreurs dans le KCC :
Tous les contrôleurs de domaine du site suivant qui répliquent la partition d'annuaire via ce transport sont actuellement indisponibles.
Event 1566 de NTDS KCC chopée sur DC1 :
Site :
CN=Carcassonne,CN=Sites,CN=Configuration,DC=ma,DC=zone
Partition de l'annuaire :
DC=ma,DC=zone
Transport :
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=ma,DC=zone
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Event 1311 de NTDS KCC chopée sur DC1 :
Le Vérificateur de cohérence de connaissances a détecté des problèmes avec la partition d'annuaire suivante.
Partition d'annuaire :
DC=ma,DC=zone
Les informations de connectivité du site sont insuffisantes dans Sites et services Active Directory pour que le Vérificateur de cohérence de connaissances puisse créer la topologie de réplication de l'arborescence. Il se peut également qu'un ou plusieurs contrôleurs de domaine dans cette partition d'annuaire ne puissent pas répliquer les informations de la partition d'annuaire. Cette erreur est probablement due à des contrôleurs de domaine inaccessibles.
Action utilisateur
Utilisez Sites et services Active Directory pour effectuer une des actions suivantes :
- Publier les informations de connectivité du site afin que le Vérificateur de cohérence de connaissances puisse déterminer un itinéraire permettant à cette partition d'annuaire d'atteindre ce site. Il s'agit de l'option préférée.
- Ajouter un objet Connexion au contrôleur de domaine qui contient la partition d'annuaire dans ce site à partir d'un contrôleur de domaine qui contient la même partition d'annuaire dans un autre site.
Si aucune de ces tâches Sites et services Active Directory ne corrige cette condition, consultez les événements précédents entrés dans le journal par le Vérificateur de cohérence de connaissances qui identifient les contrôleurs de domaine inaccessibles.
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Erreur 1865 de NTDS KCC :
Le Vérificateur de cohérence de connaissances n'a pas pu former une topologie réseau d'arborescence complète. En conséquence, les sites suivants ne peuvent pas être atteints à partir du site local.
Aucun des contrôleur de domaine dans le site suivant qui répliquent la partition d'annuaire suivante n'est configuré pour utiliser le transport suivant, bien que le site lui-même soit configuré pour autoriser la réplication en utilisant ce transport.
Site :
CN=Carcassonne,CN=Sites,CN=Configuration,DC=ma,DC=zone
Partition d'annuaire :
DC=ForestDnsZones,DC=ma,DC=zone
Transport :
CN=SMTP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=ma,DC=zone
Action utilisateur
Effectuez une des actions suivantes en utilisant Sites et services Active Directory :
- Configurez le site afin de ne pas autoriser la réplication utilisant ce transport en modifiant les objets siteLink appropriés.
- Activez ce transport sur un ou plusieurs contrôleurs de domaine. Pour le transport SMTP, cela nécessite l'installation du service SMTP et la configuration de l'attribut mailAddress sur l'objet serveur correspondant.
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Comment résoudre ces problèmes ?
Merci d'avance pour votre aide, c'est un problème costaud...
A voir également:
Il manque des informations de configuration au service d'annuaire
kelux
Messages postés3065Date d'inscriptionvendredi 18 juin 2004StatutContributeurDernière intervention20 janvier 2023432 13 janv. 2010 à 08:12
Bonjour,
Quelques remarques avant de commencer.
DC1 étant le bridgehead du site Toulouse
Mauvaise idée, il y a trop peu de DC pour utiliser cette fonctionnalité.
Celà induit un seul point de cassure, si DC1 en panne, il n'y aura plus de réplication intersite.
A garder pour des archis plus grosse.
C'est un nid à emmerde en plus...
Ils sont tous catalogues globaux
Mauvaise idée ;)
Le maître d'infrastructure ne doit jamais être catalogue global.
Maintenant je voies ici qu'on est dans une archi mono forêt à domaine unique, ça ne pose donc pas de problème.
Si plus tard, des domaines frères ou enfants , ou encore des relations d'approbation sont créés, alors il faudra forcément retirer le GC sur le maître d'infra.
J'ai bien configuré les sites et services AD, et la réplication a l'air de bien se passer
A priori non d'après ce que je voies en dessous :)
Il faudrait détailler ce que tu as fait pour créer tes sites et ton lien inter-site.
EDIT : Que donne les tests dcdiag sur chaque DC ? (inutile de poster le résultat ici, à toi de faire l'analyse :)
kelux
Messages postés3065Date d'inscriptionvendredi 18 juin 2004StatutContributeurDernière intervention20 janvier 2023432 13 janv. 2010 à 09:47
En fait je voulais savoir si le DC3 ne serait pas renseigné dans la zone MSDCS,gc,site,toulouse
Config des sites : nommage des sites, les DC qui y figurent respectivement. (et pas en théorie, je sais bien ce qu'il faudrait y mettre, mais vérifier on sait jamais ...), déclarations des subnet.
Généralement je créé le site AD avant de promouvoir le DC du site.
Comme ça s'il s'inscrit dans le site directement lors de la promotion, alors la config du site est OK (et le DC également).
S'il tombe dans le site par défaut, alors c'est pas bon ...
Config lien : cout du lien
sites reliés
protocole utilisé
fréquence de réplication
dans la zone msdcs.ma.zone --> gc --> sites le DC3 est renseigné.
Il ne l'est pas dans ma.zone --> _msdcs --> gc --> sites
C'est la même chose pour dc
Nommage des sites : Carcassonne (DC3 sur le Subnet 192.168.30.0/24) et Toulouse (DC1 et DC2 sur 172.26.142.0/24)
J'ai créé les sites avant de promouvoir le DC3. Il était dans Premier-Site-Par-Defaut, et je l'ai ensuite déplacé comme il faut vers le site de Carcassonne (ne m'a pas demandé lors du dcpromo dans quel site il devait être...)
Coût du lien : 100
Fréquence : 60 min
Sites reliés (ben les deux, Toulouse et Carca)
Protocole IP intersite et RDP intra-site (DC1 et DC2)
Ensuite j'ai déclaré le DC3 comme GC pour un pseudo presque géocluster AD, mais sans mise en cache de l'appartenance aux UG.
kelux
Messages postés3065Date d'inscriptionvendredi 18 juin 2004StatutContributeurDernière intervention20 janvier 2023432 13 janv. 2010 à 10:21
Alors, il va falloir que je ressorte mes machines virtuelles, là c'est une petite colle... et là je suis moins motivé déja ;)
Il me semble que la zone ma.zone_msdcs est une sorte de redirecteur vers _msdcs.ma.zone
Ca sent la création du DNS avec l'assistant du DCpromo tout ça :)
Une question toute bete, est ce que les zones acceptent les mises à jour dynamiques sécurisées uniquement ?
(ne m'a pas demandé lors du dcpromo dans quel site il devait être...)
En fait il ne le demande pas, c'est automatique, si le subnet est bien rattaché au site lors de la création.
A la fin du dcpromo, il est indiqué dans quel site il va atterir (dernière page de l'assistant, avant le reboot).
Si le site a été créé avant mais que le DC n'a pas atteri dedans, c'est étrange (en supposant que le site soit correctement créé avec le subnet).
kelux
Messages postés3065Date d'inscriptionvendredi 18 juin 2004StatutContributeurDernière intervention20 janvier 2023432 13 janv. 2010 à 10:51
Essaye de poser ta question sur le forum de supinfo MS, ya des sacrées "têtes" sur AD.
Je n'ai jamais ue cette problématique, donc en terme de recherche de piste, je suis sec.
