Wiki Kenny

ID 4010

I followed you link for www.eventid.net and went ahead and ran ADSI Edit and deleted the record that was generating the error under ⇒ run/execute ⇒ adsiedit.msc

“Domain->System->MicrosoftDNS->domain.com-><offending-guid-from-dns-event>._msdcs".

I thenrestarted DNS and it seemed to have fixed it. I also opened up the DNS management console and I see the record still there. So all looks good, but I noticed within ADSI edit the object that I deleted did not recreate itself. Is it suppose recreate itself or not? I think this is the fix, but want reassurance before I delete the other 7 offending objects in ADSI edit and then restart DNS service on the domain controllers.

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

« DCDiag » réalise par défaut le diagnostic du contrôleur de domaine sur lequel il est exécuté. Il est possible de vérifier l'ensemble des DCs d'un site avec « /a » ou de la forêt avec « /e ». Il est possible de n'enregistrer que les erreurs avec « /q » ou de générer un rapport avec « /f:fichier.txt ». L'option « /i » permet d'ignorer les avertissements sans gravité. Il est recommandé de faire un test DNS « /test : DNS » en plus. Voici les trois exemples de test possibles avec la création d'un rapport sur « C:\Temp » qui porte le nom du DC :

DCDiag /a /i /f:c:\temp\%Computername%Full.txt

DCDiag /a /i /q /f:c:\temp\%Computername%Erreur.txt

DCDiag /test:DNS /f:c:\temp\%Computername%DNS.txt

Dans le rapport créé par « dcdiag », chaque commande apparaît avec un résultat. Vous devez vérifier qu'il n'y a pas d'échec.

Ou sur IT-connect:

L'outil dcdiag contient de nombreuses options. Voici un exemple pour obtenir un état détaillé d'un DC (la sortie est envoyée dans un fichier texte) dont on précise le nom à la suite de l'option “/s:” :

dcdiag /s:srv-adds-01 /v /f:c:\dcdiag-srv-adds-01.txt

Exécutez aussi la commande suivante pour effectuer un test basique du bon fonctionnement du DNS (la sortie est envoyée vers un second fichier texte) :

dcdiag /v /s:srv-adds-01 /test:dns /DnsBasic /f:c:\dcdiag-srv-adds-01-dns.txt

La commande « Repadmin » permet de vérifier l'état de la réplication de l'annuaire Active Directory mais ne détecte pas les erreurs de réplication de « SYSVOL ». Pour vérifier la réplication des partitions d'annuaire, utilisez la commande suivante :

Repadmin /showrepl

Repadmin /showrepl * ===> pour checker les autres AD

Pour forcer une réplication:

repadmin /syncall /APeD

Il est important de vérifier que le vérificateur de cohérence de la topologie de réplication (KCC) n'est pas désactivé pour le site. S'il est désactivé, vous verrez dans les options de site le texte « IS_AUTO_TOPOLOGY_DISABLED »

Dans ce cas, vous devrez sans doute ajouter manuellement des liens de réplications pour les nouveaux DC. La commande pour réactiver le KCC est :

Repadmin /SiteOptions /site:Paris -IS_AUTO_TOPOLOGY_DISABLED

La commande suivante permet d'avoir un rapport général sur la réplication et sur la latence. Dans notre laboratoire nous n'avons pour le moment que deux DCs sur deux sites avec une réplication inter-sites configuré à 180 minutes et la latence n'est pas négligeable.

Repadmin /replsummary

Il existe un autre outil qui vous permet d'analyser les problèmes de réplication des différentes partitions. Il indique des liens vers les KB (Knowledge Base) Microsoft en cas d'erreur. Il s'agit d'Active Directory Replication Status Tool disponible en téléchargement gratuit à l'URL suivante :

Active Directory Replication Status Tool

L'observateur d'événement est également un outil permettant d'obtenir de nombreuses informations. Je vous recommande de consulter les journaux :

• Liste à puce Système
• Liste à puce Réplication DFS (si SYSVOL utilise DFS-R)
• Liste à puce Serveur DNS
• Liste à puce Service de réplication de fichier (si SYSVOL utilise NTFRS)
• Liste à puce Service D'annuaire

Pour vérifier le porteur des rôles FSMO en cmd:

#Netdom query fsmo

voir ⇒ Transfert FSMO