{"id":1301,"date":"2025-09-28T01:00:57","date_gmt":"2025-09-27T23:00:57","guid":{"rendered":"https:\/\/dyb.fr\/?p=1301"},"modified":"2025-09-28T01:00:57","modified_gmt":"2025-09-27T23:00:57","slug":"reparer-une-replication-sysvol-dfsr-bloquee-entre-controleurs-de-domaine","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/reparer-une-replication-sysvol-dfsr-bloquee-entre-controleurs-de-domaine\/","title":{"rendered":"R\u00e9parer une r\u00e9plication SYSVOL DFSR bloqu\u00e9e entre contr\u00f4leurs de domaine"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">La r\u00e9plication SYSVOL est un composant critique d\u2019Active Directory : elle assure la disponibilit\u00e9 des strat\u00e9gies de groupe (GPO) et des scripts sur l\u2019ensemble des contr\u00f4leurs de domaine (DC). Dans un environnement multi-DC, tout d\u00e9calage ou blocage de DFSR peut provoquer des incoh\u00e9rences graves (GPO absentes, versions diff\u00e9rentes, erreurs de s\u00e9curit\u00e9).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">R\u00e9cemment, nous avons rencontr\u00e9 un cas complexe o\u00f9 la r\u00e9plication DFSR de SYSVOL \u00e9tait bloqu\u00e9e <strong>sans erreurs visibles<\/strong> dans l\u2019Observateur d\u2019\u00e9v\u00e9nements, mais avec des <strong>incoh\u00e9rences majeures entre DC<\/strong>. Voici comment nous avons diagnostiqu\u00e9 et corrig\u00e9 le probl\u00e8me.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Sympt\u00f4mes rencontr\u00e9s<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les GPO apparaissaient bien dans la console GPMC (partie AD r\u00e9pliqu\u00e9e),<\/li>\n\n\n\n<li>mais le contenu du dossier SYSVOL n\u2019\u00e9tait pas identique selon les DC.<\/li>\n\n\n\n<li>Les \u00e9v\u00e9nements DFSR montraient uniquement des erreurs <strong>5002 (1753 \u2013 aucun point de terminaison disponible)<\/strong> et <strong>4612 (en attente d\u2019une r\u00e9plication initiale)<\/strong>.<\/li>\n\n\n\n<li>Le backlog restait fig\u00e9 (plus de 1000 fichiers en attente).<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">En clair : Active Directory r\u00e9pliquait correctement les m\u00e9tadonn\u00e9es des GPO, mais <strong>DFSR n\u2019arrivait jamais \u00e0 aligner les fichiers SYSVOL<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Causes possibles<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Plusieurs facteurs peuvent provoquer ce blocage :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Probl\u00e8mes RPC<\/strong> (port dynamique non accessible, firewall trop restrictif).<\/li>\n\n\n\n<li><strong>Base DFSR locale corrompue<\/strong> sur un ou plusieurs DC.<\/li>\n\n\n\n<li><strong>Abandon d\u2019une r\u00e9plication initiale<\/strong> (\u00e9v\u00e9nement 4612 non r\u00e9solu).<\/li>\n\n\n\n<li>Environnements h\u00e9t\u00e9rog\u00e8nes (Windows Server 2019, 2022, 2025) o\u00f9 DFSR se montre plus strict.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Pr\u00e9requis avant intervention<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">\u26a0\ufe0f <strong>Attention<\/strong> : la manipulation est intrusive. Si elle est mal r\u00e9alis\u00e9e, elle peut mener \u00e0 la perte de l\u2019ensemble du SYSVOL.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Avant toute action, nous avons effectu\u00e9 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Plusieurs sauvegardes compl\u00e8tes<\/strong> du dossier <code>SYSVOL_DFSR<\/code> du DC principal.<\/li>\n\n\n\n<li><strong>Snapshots\/Checkpoints<\/strong> des VM DC.<\/li>\n\n\n\n<li><strong>Export des GPO<\/strong> via GPMC (fonction de sauvegarde int\u00e9gr\u00e9e).<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">M\u00e9thode de r\u00e9solution<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La solution a consist\u00e9 \u00e0 <strong>r\u00e9initialiser proprement DFSR via ADSIEdit<\/strong>, en d\u00e9signant un contr\u00f4leur de domaine comme \u201cr\u00e9f\u00e9rence\u201d (authoritative), et en for\u00e7ant les autres \u00e0 se resynchroniser (non-authoritative).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9tape 1 : Identifier le DC ma\u00eetre<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nous avons choisi le DC contenant la copie SYSVOL la plus compl\u00e8te et \u00e0 jour (appelons-le <strong>DC-Ma\u00eetre<\/strong>).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9tape 2 : D\u00e9sactiver DFSR<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sur tous les DC :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>net stop dfsr\n<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9tape 3 : Modifier les attributs ADSI<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Via <strong>ADSIEdit<\/strong>, sur chaque DC, chemin :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>CN=SYSVOL Subscription,\nCN=Domain System Volume,\nCN=DFSR-LocalSettings,\nCN=&lt;Nom_DC&gt;,\nOU=Domain Controllers,\nDC=&lt;domaine&gt;\n<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sur le <strong>DC-Ma\u00eetre<\/strong> :\n<ul class=\"wp-block-list\">\n<li><code>msDFSR-Options = 1<\/code> (authoritative)<\/li>\n\n\n\n<li><code>msDFSR-Enabled = FALSE<\/code><\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Sur les <strong>autres DC<\/strong> :\n<ul class=\"wp-block-list\">\n<li><code>msDFSR-Options = 0<\/code><\/li>\n\n\n\n<li><code>msDFSR-Enabled = FALSE<\/code> (non-authoritative par d\u00e9faut)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9tape 4 : R\u00e9activer le DC-Ma\u00eetre<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Red\u00e9marrer DFSR sur le DC-Ma\u00eetre.<\/li>\n\n\n\n<li>Repasser <code>msDFSR-Enabled = TRUE<\/code>.<\/li>\n\n\n\n<li>Forcer la r\u00e9plication AD : <code>repadmin \/syncall \/AdeP dfsrdiag pollad<\/code><\/li>\n\n\n\n<li>Observer l\u2019event <strong>4604\/4602<\/strong> : SYSVOL authoritative pr\u00eat.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9tape 5 : R\u00e9activer les autres DC<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sur chaque autre DC :\n<ul class=\"wp-block-list\">\n<li>Remettre <code>msDFSR-Enabled = TRUE<\/code>.<\/li>\n\n\n\n<li>Red\u00e9marrer DFSR et ex\u00e9cuter <code>dfsrdiag pollad<\/code>.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Observer les events <strong>4114 \u2192 4614 \u2192 4602<\/strong> confirmant la resynchronisation.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c9tape 6 : V\u00e9rification<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Contr\u00f4ler que <code>\\\\&lt;DC>\\SYSVOL\\&lt;domaine>\\Policies<\/code> est identique partout.<\/li>\n\n\n\n<li>V\u00e9rifier dans GPMC que l\u2019\u00e9tat de r\u00e9plication des GPO est <strong>synchronis\u00e9<\/strong>.<\/li>\n\n\n\n<li>Ex\u00e9cuter un test de propagation DFSR si besoin : <code>dfsrdiag propagationtest \/rgname:\"Domain System Volume\" \/rfname:\"SYSVOL Share\" dfsrdiag propagationreport \/rgname:\"Domain System Volume\" \/rfname:\"SYSVOL Share\" \/report:C:\\DFSR-Report.html<\/code><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">R\u00e9sultat<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Apr\u00e8s r\u00e9activation :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tous les DC ont re\u00e7u une copie identique du SYSVOL depuis le DC-Ma\u00eetre.<\/li>\n\n\n\n<li>Les \u00e9v\u00e9nements <strong>4602<\/strong> ont confirm\u00e9 l\u2019initialisation r\u00e9ussie.<\/li>\n\n\n\n<li>Les GPO sont redevenues coh\u00e9rentes sur l\u2019ensemble du domaine.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Le\u00e7ons apprises<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Ne jamais copier-coller manuellement<\/strong> le SYSVOL d\u2019un DC \u00e0 l\u2019autre \u2192 DFSR ne le reconna\u00eet pas, et cela g\u00e9n\u00e8re des conflits.<\/li>\n\n\n\n<li><strong>Toujours v\u00e9rifier la connectivit\u00e9 RPC<\/strong> avant de conclure \u00e0 une corruption DFSR (ports dynamiques ou port statique forc\u00e9).<\/li>\n\n\n\n<li><strong>Sauvegardes obligatoires<\/strong> (checkpoints, exports GPO, copie du SYSVOL) avant manipulation.<\/li>\n\n\n\n<li><strong>Surveiller les bons \u00e9v\u00e9nements<\/strong> :\n<ul class=\"wp-block-list\">\n<li>4114 \u2192 arr\u00eat journalisation<\/li>\n\n\n\n<li>4614 \u2192 reprise<\/li>\n\n\n\n<li>4602 \u2192 SYSVOL pr\u00eat<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\u26a0\ufe0f Mises en garde<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cette proc\u00e9dure n\u2019est pas anodine : elle modifie la topologie DFSR dans Active Directory.<\/li>\n\n\n\n<li>Toute erreur (d\u00e9signer plusieurs DC comme authoritative, oublier une \u00e9tape) peut causer la perte totale du SYSVOL.<\/li>\n\n\n\n<li>Toujours effectuer ces op\u00e9rations en <strong>maintenance planifi\u00e9e<\/strong> et avec sauvegardes test\u00e9es.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dans notre cas, la r\u00e9plication SYSVOL DFSR \u00e9tait <strong>bloqu\u00e9e sans erreur explicite<\/strong>, et seule une r\u00e9initialisation via ADSI a permis de restaurer une r\u00e9plication saine.<br>Cette exp\u00e9rience rappelle que m\u00eame dans un environnement moderne (Windows Server 2019\/2022\/2025, niveau fonctionnel 2016), <strong>DFSR reste sensible aux probl\u00e8mes de RPC et de coh\u00e9rence interne<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Une approche m\u00e9thodique (diagnostic, backups, r\u00e9init authoritative\/non-authoritative) est la cl\u00e9 pour restaurer la stabilit\u00e9 <strong>sans perte de GPO<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La r\u00e9plication SYSVOL est un composant critique d\u2019Active Directory : elle assure la disponibilit\u00e9 des strat\u00e9gies de groupe (GPO) et des scripts sur l\u2019ensemble des contr\u00f4leurs de domaine (DC). Dans un environnement multi-DC, tout d\u00e9calage ou blocage de DFSR peut provoquer des incoh\u00e9rences graves (GPO absentes, versions diff\u00e9rentes, erreurs de s\u00e9curit\u00e9). R\u00e9cemment, nous avons rencontr\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1305,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[49,48,28],"class_list":["post-1301","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-adminsys","tag-active-directory","tag-gpo","tag-windows"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1301"}],"version-history":[{"count":0,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1301\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1305"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}