Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows Serveur Active Directory TOMBSTONE LIFE EXCEEDED :-(

TOMBSTONE LIFE EXCEEDED :-(

5 réponses
Avatar
Vincent
Bonjour,

J'ai une forêt AD 2003 avec 2 dc root et 2 dc enfant en environnement VMWARE
(maquette). Il se trouve que la réplication déconnait depuis plus de 90 jours
et qu'aujourd'hui, apparaissent des erreurs du genre
"ERROR_REPLICA_SYNC_FAILED_THE AD CANNOT REPLICATE WITH THIS SERVER BECAUSE
THE TIME SINCE THE LAST REPLICATION WITH THIS SERVER HAS EXCEEDED THE
STOMBSTONE LIFETIME" depuis REPLMON.
J'ai ce pb de réplication entre les DC root, et entre le Root et le Child
(pas de problème entre les DC du domaine enfant). J'ai résolu ce message en
créant la clé "Allow Replication With Divergent and Corrupt Partner". Ensuite
j'ai eu les messages "ERROR_REPLICA_SYNC_FAILED_ACCESS IS DENIED" que j'ai
résolu en jouant la commande NETDOM RESETPWD sur le domaine root. Maintenant
la réplication entre les DC root passe bien sauf pour la ForestDNSZone qui me
donne le message "ERROR_REPLICA_SYNC_FAILED_INSUFFICIENT ATTRIBUTES WERE
GIVEN TO CREATE OBJECT. THIS OBJECT MAY NOT EXIST BECAUSE IT MAY HAVE BEEN
DELETED AND ALREADY GARBAGE COLLECTED". Autre point bizarre, lorsque que je
joue un NLTEST /DCLIST:MonDomaine sur le DC non PDC, il me liste bien le PDC
Emulator. Si je consulte les rôle FSMO via la mmc, il m'affiche ERROR pour
les 3 rôles du domaine. J'ai checké les enregistrementS DNS dans la zone
_msdcs, ils sont OK. Voilà, et je ne vous parle pas des erreurs entre le
root et le child !! :-( du style " THE TARGET PRINCIPAL NAME IS INCORRECT" ou
"ACCESS DENIED", tjrs en forcant une replication via REPLMON.
Autre chose, la commande NLTEST /SC_QUERY:Rootdomaine depuis un DC enfant ne
passait pas. J'ai pu faire un NLTEST /SC_CHANGE_PWD depuis un DC enfant mais
pas dpuis l'autre. Bon j'arrete là sinon ça va finir par faire long !!
Si quelqu'un peut m'aider à sortir de cette merde, ça serait cool !
Merci d'avance
Signaler un problème avec ce contenu

5 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Etienne Legendre
Bonjour

Aucun moyen de remettre les FSMO sur un seul serveur, de faire un dcpromo
sur les autres pour les enlever du role de DC et puis les remettre à nouveau
?

EtienneL

"Vincent" a écrit dans le message de
news:
Bonjour,

J'ai une forêt AD 2003 avec 2 dc root et 2 dc enfant en environnement
VMWARE
(maquette). Il se trouve que la réplication déconnait depuis plus de 90
jours
et qu'aujourd'hui, apparaissent des erreurs du genre
"ERROR_REPLICA_SYNC_FAILED_THE AD CANNOT REPLICATE WITH THIS SERVER
BECAUSE
THE TIME SINCE THE LAST REPLICATION WITH THIS SERVER HAS EXCEEDED THE
STOMBSTONE LIFETIME" depuis REPLMON.
J'ai ce pb de réplication entre les DC root, et entre le Root et le Child
(pas de problème entre les DC du domaine enfant). J'ai résolu ce message
en
créant la clé "Allow Replication With Divergent and Corrupt Partner".
Ensuite
j'ai eu les messages "ERROR_REPLICA_SYNC_FAILED_ACCESS IS DENIED" que j'ai
résolu en jouant la commande NETDOM RESETPWD sur le domaine root.
Maintenant
la réplication entre les DC root passe bien sauf pour la ForestDNSZone qui
me
donne le message "ERROR_REPLICA_SYNC_FAILED_INSUFFICIENT ATTRIBUTES WERE
GIVEN TO CREATE OBJECT. THIS OBJECT MAY NOT EXIST BECAUSE IT MAY HAVE BEEN
DELETED AND ALREADY GARBAGE COLLECTED". Autre point bizarre, lorsque que
je
joue un NLTEST /DCLIST:MonDomaine sur le DC non PDC, il me liste bien le
PDC
Emulator. Si je consulte les rôle FSMO via la mmc, il m'affiche ERROR pour
les 3 rôles du domaine. J'ai checké les enregistrementS DNS dans la zone
_msdcs, ils sont OK. Voilà, et je ne vous parle pas des erreurs entre le
root et le child !! :-( du style " THE TARGET PRINCIPAL NAME IS INCORRECT"
ou
"ACCESS DENIED", tjrs en forcant une replication via REPLMON.
Autre chose, la commande NLTEST /SC_QUERY:Rootdomaine depuis un DC enfant
ne
passait pas. J'ai pu faire un NLTEST /SC_CHANGE_PWD depuis un DC enfant
mais
pas dpuis l'autre. Bon j'arrete là sinon ça va finir par faire long !!
Si quelqu'un peut m'aider à sortir de cette merde, ça serait cool !
Merci d'avance


Avatar
Vincent
Je voudrais utiliser le DCPROMO en dernier recours ...

J'ai 2 DC dans le domaine racine:
- DC1 (rôles FSMO niveau forêt)
- DC2 (rôles FSMO niveau domaine)

J'ai joué la commande NLTEST /SC_QUERY ou /SC_VERIFY à partir de DC1 et il
me renvoie bien le DC2 comme DC approuvé.

J'ai joué la même commande à partir de DC2 et j'ai l'erreur
"I_NetLogonControl Failed: Status = 1355 0x54 ERROR_NO_SUCH_DOMAIN"

J'ai essayé le /SC_CHANGE_PWD, il passe bien mais ne résouds pas mon pb.

Si je lance un Net View DC2 depuis DC1 j'obtiens une réponse correcte.
Si je lance un Net View DC1 depuis DC2 j'ai un "access denied" par contre
si je spécifie l'IP, là ça passe !

Je voudrais déjà pouvoir résoudre mes pb avec le domaine racine dans un
premier temps, sans utiliser de DCPROMO /forceremoval.

A priori, vu le résultat de mes tests, je pencherais plutôt vers un pb sur
DC2 mais ...

vincent


Bonjour

Aucun moyen de remettre les FSMO sur un seul serveur, de faire un dcpromo
sur les autres pour les enlever du role de DC et puis les remettre à nouveau
?

EtienneL

"Vincent" a écrit dans le message de
news:
Bonjour,

J'ai une forêt AD 2003 avec 2 dc root et 2 dc enfant en environnement
VMWARE
(maquette). Il se trouve que la réplication déconnait depuis plus de 90
jours
et qu'aujourd'hui, apparaissent des erreurs du genre
"ERROR_REPLICA_SYNC_FAILED_THE AD CANNOT REPLICATE WITH THIS SERVER
BECAUSE
THE TIME SINCE THE LAST REPLICATION WITH THIS SERVER HAS EXCEEDED THE
STOMBSTONE LIFETIME" depuis REPLMON.
J'ai ce pb de réplication entre les DC root, et entre le Root et le Child
(pas de problème entre les DC du domaine enfant). J'ai résolu ce message
en
créant la clé "Allow Replication With Divergent and Corrupt Partner".
Ensuite
j'ai eu les messages "ERROR_REPLICA_SYNC_FAILED_ACCESS IS DENIED" que j'ai
résolu en jouant la commande NETDOM RESETPWD sur le domaine root.
Maintenant
la réplication entre les DC root passe bien sauf pour la ForestDNSZone qui
me
donne le message "ERROR_REPLICA_SYNC_FAILED_INSUFFICIENT ATTRIBUTES WERE
GIVEN TO CREATE OBJECT. THIS OBJECT MAY NOT EXIST BECAUSE IT MAY HAVE BEEN
DELETED AND ALREADY GARBAGE COLLECTED". Autre point bizarre, lorsque que
je
joue un NLTEST /DCLIST:MonDomaine sur le DC non PDC, il me liste bien le
PDC
Emulator. Si je consulte les rôle FSMO via la mmc, il m'affiche ERROR pour
les 3 rôles du domaine. J'ai checké les enregistrementS DNS dans la zone
_msdcs, ils sont OK. Voilà, et je ne vous parle pas des erreurs entre le
root et le child !! :-( du style " THE TARGET PRINCIPAL NAME IS INCORRECT"
ou
"ACCESS DENIED", tjrs en forcant une replication via REPLMON.
Autre chose, la commande NLTEST /SC_QUERY:Rootdomaine depuis un DC enfant
ne
passait pas. J'ai pu faire un NLTEST /SC_CHANGE_PWD depuis un DC enfant
mais
pas dpuis l'autre. Bon j'arrete là sinon ça va finir par faire long !!
Si quelqu'un peut m'aider à sortir de cette merde, ça serait cool !
Merci d'avance







Avatar
Jonathan BISMUTH
Bonjour vincent,

j'appuie l'idée du forceremoval d'Etienne.
Toutefois, peut être, puisqu'apparemment tu cumule les erreur 135 et "TARGET
PRINCIPAL NAME IS INCORRECT" -probablement lié à l'authentification
Kerberos- sur leDC2, peut être que ça vaudrait le coup de faire un netdom
resetpwd sur DC2 non?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Vincent" a écrit dans le message de
news:
Je voudrais utiliser le DCPROMO en dernier recours ...

J'ai 2 DC dans le domaine racine:
- DC1 (rôles FSMO niveau forêt)
- DC2 (rôles FSMO niveau domaine)

J'ai joué la commande NLTEST /SC_QUERY ou /SC_VERIFY à partir de DC1 et il
me renvoie bien le DC2 comme DC approuvé.

J'ai joué la même commande à partir de DC2 et j'ai l'erreur
"I_NetLogonControl Failed: Status = 1355 0x54 ERROR_NO_SUCH_DOMAIN"

J'ai essayé le /SC_CHANGE_PWD, il passe bien mais ne résouds pas mon pb.

Si je lance un Net View DC2 depuis DC1 j'obtiens une réponse correcte.
Si je lance un Net View DC1 depuis DC2 j'ai un "access denied" par
contre
si je spécifie l'IP, là ça passe !

Je voudrais déjà pouvoir résoudre mes pb avec le domaine racine dans un
premier temps, sans utiliser de DCPROMO /forceremoval.

A priori, vu le résultat de mes tests, je pencherais plutôt vers un pb sur
DC2 mais ...

vincent


Bonjour

Aucun moyen de remettre les FSMO sur un seul serveur, de faire un dcpromo
sur les autres pour les enlever du role de DC et puis les remettre à
nouveau
?

EtienneL

"Vincent" a écrit dans le message de
news:
Bonjour,

J'ai une forêt AD 2003 avec 2 dc root et 2 dc enfant en environnement
VMWARE
(maquette). Il se trouve que la réplication déconnait depuis plus de 90
jours
et qu'aujourd'hui, apparaissent des erreurs du genre
"ERROR_REPLICA_SYNC_FAILED_THE AD CANNOT REPLICATE WITH THIS SERVER
BECAUSE
THE TIME SINCE THE LAST REPLICATION WITH THIS SERVER HAS EXCEEDED THE
STOMBSTONE LIFETIME" depuis REPLMON.
J'ai ce pb de réplication entre les DC root, et entre le Root et le
Child
(pas de problème entre les DC du domaine enfant). J'ai résolu ce
message
en
créant la clé "Allow Replication With Divergent and Corrupt Partner".
Ensuite
j'ai eu les messages "ERROR_REPLICA_SYNC_FAILED_ACCESS IS DENIED" que
j'ai
résolu en jouant la commande NETDOM RESETPWD sur le domaine root.
Maintenant
la réplication entre les DC root passe bien sauf pour la ForestDNSZone
qui
me
donne le message "ERROR_REPLICA_SYNC_FAILED_INSUFFICIENT ATTRIBUTES
WERE
GIVEN TO CREATE OBJECT. THIS OBJECT MAY NOT EXIST BECAUSE IT MAY HAVE
BEEN
DELETED AND ALREADY GARBAGE COLLECTED". Autre point bizarre, lorsque
que
je
joue un NLTEST /DCLIST:MonDomaine sur le DC non PDC, il me liste bien
le
PDC
Emulator. Si je consulte les rôle FSMO via la mmc, il m'affiche ERROR
pour
les 3 rôles du domaine. J'ai checké les enregistrementS DNS dans la
zone
_msdcs, ils sont OK. Voilà, et je ne vous parle pas des erreurs entre
le
root et le child !! :-( du style " THE TARGET PRINCIPAL NAME IS
INCORRECT"
ou
"ACCESS DENIED", tjrs en forcant une replication via REPLMON.
Autre chose, la commande NLTEST /SC_QUERY:Rootdomaine depuis un DC
enfant
ne
passait pas. J'ai pu faire un NLTEST /SC_CHANGE_PWD depuis un DC enfant
mais
pas dpuis l'autre. Bon j'arrete là sinon ça va finir par faire long !!
Si quelqu'un peut m'aider à sortir de cette merde, ça serait cool !
Merci d'avance









Avatar
Vincent
Bonsoir Jonathan,

Je l'avais joué le NETDOM RESETPWD sur DC1 et ça m'avait résolu le pb dans
un sens (j'avais le soucis depuis n'importe quel DC au départ). J'avais
ensuite joué le NETDOM sur DC2 mais sans succés ...

Bon s'il n'y a pas d'autre solution, ok alors je forcerai un DCPROMO ;-)
après avoir paramétré le DC1 pour qu'il héberge tous les rôles.

Merci


Bonjour vincent,

j'appuie l'idée du forceremoval d'Etienne.
Toutefois, peut être, puisqu'apparemment tu cumule les erreur 135 et "TARGET
PRINCIPAL NAME IS INCORRECT" -probablement lié à l'authentification
Kerberos- sur leDC2, peut être que ça vaudrait le coup de faire un netdom
resetpwd sur DC2 non?

--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?oAsXWZnZF1
"Vincent" a écrit dans le message de
news:
Je voudrais utiliser le DCPROMO en dernier recours ...

J'ai 2 DC dans le domaine racine:
- DC1 (rôles FSMO niveau forêt)
- DC2 (rôles FSMO niveau domaine)

J'ai joué la commande NLTEST /SC_QUERY ou /SC_VERIFY à partir de DC1 et il
me renvoie bien le DC2 comme DC approuvé.

J'ai joué la même commande à partir de DC2 et j'ai l'erreur
"I_NetLogonControl Failed: Status = 1355 0x54 ERROR_NO_SUCH_DOMAIN"

J'ai essayé le /SC_CHANGE_PWD, il passe bien mais ne résouds pas mon pb.

Si je lance un Net View DC2 depuis DC1 j'obtiens une réponse correcte.
Si je lance un Net View DC1 depuis DC2 j'ai un "access denied" par
contre
si je spécifie l'IP, là ça passe !

Je voudrais déjà pouvoir résoudre mes pb avec le domaine racine dans un
premier temps, sans utiliser de DCPROMO /forceremoval.

A priori, vu le résultat de mes tests, je pencherais plutôt vers un pb sur
DC2 mais ...

vincent


Bonjour

Aucun moyen de remettre les FSMO sur un seul serveur, de faire un dcpromo
sur les autres pour les enlever du role de DC et puis les remettre à
nouveau
?

EtienneL

"Vincent" a écrit dans le message de
news:
Bonjour,

J'ai une forêt AD 2003 avec 2 dc root et 2 dc enfant en environnement
VMWARE
(maquette). Il se trouve que la réplication déconnait depuis plus de 90
jours
et qu'aujourd'hui, apparaissent des erreurs du genre
"ERROR_REPLICA_SYNC_FAILED_THE AD CANNOT REPLICATE WITH THIS SERVER
BECAUSE
THE TIME SINCE THE LAST REPLICATION WITH THIS SERVER HAS EXCEEDED THE
STOMBSTONE LIFETIME" depuis REPLMON.
J'ai ce pb de réplication entre les DC root, et entre le Root et le
Child
(pas de problème entre les DC du domaine enfant). J'ai résolu ce
message
en
créant la clé "Allow Replication With Divergent and Corrupt Partner".
Ensuite
j'ai eu les messages "ERROR_REPLICA_SYNC_FAILED_ACCESS IS DENIED" que
j'ai
résolu en jouant la commande NETDOM RESETPWD sur le domaine root.
Maintenant
la réplication entre les DC root passe bien sauf pour la ForestDNSZone
qui
me
donne le message "ERROR_REPLICA_SYNC_FAILED_INSUFFICIENT ATTRIBUTES
WERE
GIVEN TO CREATE OBJECT. THIS OBJECT MAY NOT EXIST BECAUSE IT MAY HAVE
BEEN
DELETED AND ALREADY GARBAGE COLLECTED". Autre point bizarre, lorsque
que
je
joue un NLTEST /DCLIST:MonDomaine sur le DC non PDC, il me liste bien
le
PDC
Emulator. Si je consulte les rôle FSMO via la mmc, il m'affiche ERROR
pour
les 3 rôles du domaine. J'ai checké les enregistrementS DNS dans la
zone
_msdcs, ils sont OK. Voilà, et je ne vous parle pas des erreurs entre
le
root et le child !! :-( du style " THE TARGET PRINCIPAL NAME IS
INCORRECT"
ou
"ACCESS DENIED", tjrs en forcant une replication via REPLMON.
Autre chose, la commande NLTEST /SC_QUERY:Rootdomaine depuis un DC
enfant
ne
passait pas. J'ai pu faire un NLTEST /SC_CHANGE_PWD depuis un DC enfant
mais
pas dpuis l'autre. Bon j'arrete là sinon ça va finir par faire long !!
Si quelqu'un peut m'aider à sortir de cette merde, ça serait cool !
Merci d'avance














Avatar
Gilles LAURENT
"Vincent" a écrit dans le message
de news:

Bonsoir Vincent,

| Je l'avais joué le NETDOM RESETPWD sur DC1 et ça m'avait résolu le pb
| dans un sens (j'avais le soucis depuis n'importe quel DC au départ).
| J'avais ensuite joué le NETDOM sur DC2 mais sans succés ...

En fait, ce qui est vraiment dommage c'est de ne pas avoir généré un
snapshot de toutes les machines virtuelles de la maquette. En règle
général, lorsqu'on arrive au "tombstone lifetime", même après
récupération, la stabilité de l'ensemble est vraiment compromise ...
Sachant qu'une maquette est normalement utilisée à des fins
d'expérimentations et de tests, je ne peux que vous conseiller de
"rincer" l'ensemble et de repartir sur des bases saines. Cependant, je
vous l'accorde, tenter de résoudre cette situation est trés formateur
...

--
Gilles LAURENT
http://glsft.free.fr
Me contacter : http://cerbermail.com/?zoTY7ZkLcD