Résoudre les problèmes de réplication après restauration d'un contrôleur de domaine

 

Après la restauration d'un contrôleur de domaine, des erreurs de réplication ont été observées. Cet article décrit les erreurs rencontrées, les méthodes de résolution et la stratégie de restauration.

Contexte: Le contrôleur de domaine a été restauré à  un état datant de quelques mois( la restauration a consisté à importer une VM)

Erreurs:

• Impossible d'accéder à un chemin réseau (Erreur: le nom principal de la cible n'est pas correct)
• Impossible d'effectuer des recherches (recherche d'un objet sur l'annuaire)
• Echec de la réplication entre les 2 contrôleurs de domaine (repadmin /showrepl)
• le service de nom principal est incorrect
• Erreur kerberos KRB_AP_ERR_MODIFIED

Etapes de résolution:

1. Vérifier les services
1. les services étaient Ok
2. Vérifier l'heure entre le PDC et les autres équipements actifs membres du domaine
1. L'heure était parfaitement synchronisée entre les postes du domaine
3. Vérifier la configuration DNS
1. les paramètres DNS ont été mis à jour au niveau des contrôleurs de domaine
1. Contrôleur 01: DNS1 = 127.0.0.1 , DNS2= IP_DC02
2. Contrôleur 02: DNS1 = 127.0.0.1, DNS2 = IP_DC01
4. vérifier la santé de l'annuaire et les évènements 
1. Exécuter la commande dcdiag /c /v /f:<path of file> 
1. Le fichier généré indique la présence des lingering objects.
2. Les évènements indiquent que les réplications ont été bloquées
2. Désactivation de la réplication stricte
1. Modification de la clé de régistre HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency à 0
3. Activer la réplication avec les partenaires corrompus
1. repadmin /regkey <serveur sain> -allowdivergent
4. Suppression des lingerings objects
1. Identification des lingerings objects
1. repadmin /removelingeringobjects <GUID DC corrompu> <FQDN DC sain> <partition de l'annuaire contenant les lingering objets> /advisory_mode
2. Suppression
1. repadmin /removelingeringobjects <GUID DC corrompu> <FQDN DC sain> <partition de l'annuaire contenant les lingering objects>

Les lingerings objects apparaissent lorsqu'un objet a été définitivement  supprimé (tombstone) avant que le réplication ne soit effectuée auprès des autres partenaires de réplication.

Les lingering objects ont plusieurs root causes, le tableau ci-dessous présente les différentes causes:

                

Stratégie de restauration à adopter:

• Identifier le type de restauration (autoritaire ou non autoritaire)
• Vérifier l'état des réplications
• Vérifier la présence des lingeringobjects après restauration
• Tester les réplications.

Ci-dessous certains liens utiles:

https://sec.ch9.ms/sessions/teched/eu/2014/Labs/EM-IL400.pdf 

https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/remove-lingering-objects-that-cause-ad-replication-error-8606/ba-p/400292