L’Active Directory Microsoft est un puissant LDAP ou l’on prend un malin plaisir à travailler. Les GPO sont un moyen simple et rapide de déployer des configurations
En voulant forcer le déploiement d’une nouvelle GPO à l’aide de la commande « gpupdate /force », j’ai eu ce message
Une connexion rapide sur mon AD et ouverture du Group Policy Manager, un petit check de l’état des DC:
Avant toute chose il faut s’assurer de la santé de son Active Directory:
– Quand on a plusieurs DC répartis sur plusieurs sites, faire des tests de connectivité: Ping, nslookup, vérifier les latences et tester les DNS.
– Se connecter à \\SON-DOMAINE\Sysvol
On doit obtenir deux dossiers: Policies et Script
– Se connecter à \\SON-DOMAINE-CONTROLLEUR\Sysvol
Vérifier également la présence des deux dossiers. Il faut tester pour chaque contrôleur de domaine.
Dans mon cas, tout était OK sauf l’ADTC002 qui n’avait plus aucun dossier partagé.
– DCDIAG /v
– DCDIAG /test :DNS /dnsall
– REPADMIN /showreps
– REPADMIN /replsum
– Vérifier l’heure sur vos contrôleurs!
L’AD se base sur l’heure et il est important que tous les AD soient à la même heure. La commande w32tm /monitor permet de savoir la différence horaire entre chaque DC
– Test de création d’un utilisateur et d’un enregistrement DNS.
Tout était fonctionnel pour moi. Le problème venait de la synchronisation du dossier des GPOs.
L’Active Directory possède deux modes de réplication pour le dossier Sysvol:
– File Replication Service (FRS) : disponible sur les versions Windows Server 2000 / 2003 / 2008 / 2012.
– Distributed File Service Replication (DFSR) : disponible à partir de Windows Server 2008.
Pour savoir la technologie utilisée, il existe une technique simple: Get-Service –Name ntfrs
Si le service est activé alors SYSVOL utilise FRS sinon il utilise DFSR.
Merci à AlexWinner pour la technique! (http://www.alexwinner.com/articles/divers/75-manualsysvolreplication.html)
Direction les logs DFSR pour comprendre et effectivement j’avais un beau warning
Problème de réplication entre mes contrôleurs de domaine, et la beauté de Microsoft: La commande à exécuter est correcte ! Enfin pas totalement…
Les commandes sont à exécuter en Administrator !
PS C:\Windows\system32> wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid= »9BAAF20F-9F37-11E3-9
3F3-00155D70A70A » call ResumeReplication
Unexpected switch at this level.
L’erreur est simple, il ne faut pas oublier de mettre les simple cote pour le volume GUID:
PS C:\Windows\system32> wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where ‘volumeGuid= »9BAAF20F-9F37-11E3-93F3-00155D70A70A »‘ call ResumeReplication
La commande est à exécuter sur chaque DC
Et hop la synchro est repartie
Et au bout de quelques minutes d’attente, le retour à la normale.
A bientôt
-Mickaël
