Bonjour
DESCRIPTION DU PROBLEME :
Un contrôleur de domaine Windows 2003 refusait de répliquer avec des contrôleurs de domaine Windows Server 2008 R2.
Ce même contrôleur de domaine arrivait à répliquer avec un autre serveur Windows 2003.
ANALYSE DU PROBLEME :
Pour rappel la réplication Active Directory utilise des ports RPC.
Le contrôleur de domaine qui initie la réplication se connecte sur le port TCP 135 de l’autre serveur et négocie avec lui le / les ports à utiliser pour la réplication.
– Windows 2003 Server va utiliser des ports pour répliquer dans la plage 1024 – 5000 (TCP ou UDP).
– Windows 2008 / 2008 R2 va utiliser des ports pour répliquer dans la plage 49152-65535 (TCP ou UDP).
Pour plus d’informations sur les ports de réplication Active Directory :
http://blogs.technet.com/b/askds/archive/2007/08/24/dynamic-client-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana.aspx
Mon problème provenait du fait que l’administrateur réseau avait bloqué la plage de ports dynamique 10000 – 65535.
COMMENT DIAGNOSTIQUER CE TYPE DE PROBLEME :
La première chose est de vérifier la connectivité réseau et le bon fonctionnement du routage (le fameux PING).
La seconde étape est d’utiliser le client Telnet (à ajouter comme fonctionnalité sous Windows Vista / Seven).
Je peux par exemple valider que le port 25 est en écoute en tapant la commande suivante :
Telnet ip_serveur 25
La commande TELNET ne permet cependant que de diagnostiquer les ports TCP.
Pour faire un diagnostique sur des ports UDP et TCP, j’utilise sous Windows l’utilitaire Port Query UI.
http://www.microsoft.com/en-us/download/details.aspx?id=24009
Ce scanner de ports est rapidement devenu un des mes outils de diagnostics préférés.
Il permet de simuler du trafic LDAP / RPC et de scanner un port ou une plage de ports.
A+
Guillaume MATHIEU
Consultant Architecture & Intégration PROSERVIA
http://msreport.free.fr
La connaissance s’accroît quand on la partage.
