PI Services

Le MP Skype For Business (Lync) 2015 est sorti récemment, mais il ne dispose d’aucune documentation.

Son installation coté SCOM reste des plus classique (import de deux fichiers .mp, activation du mode proxy sur tous les agents de l’infrastructure SFB), mais un problème peut survenir sur les serveurs Edge :

[Skype] An internal exception has occurred during discovery.

Ce qui correspond à l’événement suivant :

An exception occurred during discovery script, Exception : Could not connect to SQL server : [Exception=System.Data.SqlClient.SqlException (0x80131904): Cannot open database "xds" requested by the login. The login failed.

Login failed for user 'NT AUTHORITY\NETWORK SERVICE'.

Cette erreur induit quelque peu en erreur car elle laisse à penser qu’il s’agit de permissions SQL à rajouter.

En réalité, pour résoudre ce problème, rajoutez simplement le compte Network Service aux groupes locaux RTC Component Local Group et RTC Local Administrators (vous pouvez d’ailleurs constater qu’il est normalement bien présent dans ces groupes sur les serveurs du réseau interne).

Enfin, redémarrez l’agent SCOM sur ces serveurs (service Microsoft Monitoring Agent).

Introduction

Dans Office 365, il existe plusieurs méthodes pour ajouter des licences à un utilisateur :

• Via l'interface d'administration manuellement sur chaque utilisateur.
• Via l'interface d'administration manuellement sur plusieurs utilisateurs.
• Avec les cmdlets Powershell Office 365.

Dans cet article, nous allons nous intéresser à l'ajout/suppression de licences via Powershell. Le but est d'automatiser cette opération. On peut facilement imaginer des scénarios conjoints avec Dirsync. Ce dernier provisionne un compte, puis, une tâche ajoute automatiquement les licences nécessaires à l'utilisateur.

D'autre part, il est possible d'ajouter pour chaque utilisateur :

• Une licence complète incluant tout les services de l'abonnement souscrit.
• Certains services d'une licence afin de limiter les accès aux utilisateurs (par exemple : ne donner qu'une licence Exchange sans donner les accès à la suite Office).

Nous nous attarderons sur ces différentes possibilités dans l'un des paragraphes suivants.

Nous ferons un rappel sur les prérequis nécessaires à l'utilisation des cmdlets Powershell avant d'appréhender leur attribution. Nous verrons enfin un script permettant d'automatiser le processus d'ajout/suppression de services via l'utilisation des groupes de sécurité Office 365.

Pré requis

L'administration des utilisateurs Office 365 via Powershell a besoin de l'installation d'un module spécifique. Ce dernier nécessite un prérequis : Microsoft Online Services Sign-In Assistant. Ci dessous, vous trouverez le lien de téléchargement de ce dernier :

http://www.microsoft.com/en-us/download/details.aspx?id=41950

Voici maintenant les liens pour récupérer le module Powershell :

http://go.microsoft.com/fwlink/p/?linkid=236298

A titre informatif, la version 32 bits de ces composants n'est plus pris en charge et ne sera plus mis à jour par Microsoft.

Connexion à Office 365 et permission

Pour se connecter à Office 365, il est nécessaire d'exécuter la commande suivante :

Les informations d'authentification fourni doivent correspondre à un utilisateur possédant à minima le rôle de gestion des utilisateurs. Cette attribution permettra d'affecter les licences.

Licences et abonnements

Tout d'abord, nous allons commencer par récupérer les différents abonnements disponibles sur un tenant Office 365. Il s'agit de la commande :

Le résultat obtenu permet aussi de voir les licences disponibles (ActiveUnits) et utilisées. (ConsumedUnits)

Pour chacun des abonnements, il est possible d'accéder aux services disponibles. Exemple avec le premier abonnement de la liste :

Chaque service Office 365 possède donc un identifiant qui est utilise lors de l'affectation de licences à certains utilisateurs. Les services étant différents d'un plan à un autre, voici un tableau récapitulant les identifiants et les services auxquels ils donnent accès pour un abonnement de type E3 :

Pour les autres abonnements, les services ont des noms identiques ou similaires (exemple : SHAREPOINT_S_DEVELOPER au lieu de SHAREPOINTENTERPRISE pour un abonnement développeur).

NB : J'ai noté deux spécificités sur certains services. Premièrement, la licence Office Online doit être attribué conjointement à une licence Sharepoint (on peut facilement s'en rendre compte via le portail d'administration Office 365). Enfin, les licences Yammer n'ont pas besoin d'être attribués. Cela est sans doute dû au fait que l'intégration du service dans l'offre Office 365 n'est pas terminée. Il se peut aussi que cela soit pensé pour simplifier le système. Néanmoins, il apparaît que le nombre d'utilisateurs peut dépasser le nombre de licences sans avoir de réduction de services (Il faut donc faire un suivi régulier du nombre de licences afin d'être en règle).

Gestion des licences utilisateurs

Attribution d'une licence complète

L'attribution d'une licence utilisateur se fait via la commande Powershell "Set-MSOLUserLicence". Il est possible d'utiliser cette commande pour un ou plusieurs utilisateurs. Le paramètre AddLicenses permet d'ajouter une licence correspondant à un plan Office 365.

Exemple d'attribution d'une licence :

NB : Il est nécessaire de fournir l'attribut AccountSkuId de l'objet obtenu avec la commande Get-MsolAccountSku.

NB2 : Si vous attribuez des licences à plusieurs utilisateurs et que le nombre restants est insuffisant, alors la cmdlet affectera quand même des licences jusqu'à épuisement de celles-ci.

Attention, avant d'attribuer une licence, il est nécessaire d'ajouter une localisation à l'utilisateur. Cette opération est automatisable avec la commande suviante :

La location est à remplacer par la valeur voulue (ici : FR).

Attribution d'une licence partielle

Pour l'instant nous avons vu, l'attribution d'une licence donnant accès à tous les services offert par l'abonnement Office 365. Dans certains cas, il peut être voulu de n'autoriser un utilisateur qu'à un certain nombre de services. Pour se faire, il faut créer un objet du type MsolLicenceOption. Celui-ci est une licence à laquelle on a désactivé certains services.

Exemple :

Cette cmdlet crée une licence avec un pack de service désactivant Azure Right Management Services et Lync Online.

La commande crée les options de licencing à partir d'un abonnement (AccountSkuId) et une liste de services sous forme de tableau. Les noms des services à fournir sont ceux définis dans le tableau du paragraphe "Licences et abonnements". On peut ensuite attribuer ces options de licencing via la même commande que précédemment mais en changeant de paramètre :

Script

Présentation

Le but du script ci-dessous est d'effectuer un provisioning automatique des licences Office 365 pour les utilisateurs synchronisés avec Dirsync. Celui-ci est basé sur l'utilisation des groupes de sécurité Office 365 (ce dernier peut être synchronisé via Dirsync). Chaque groupe correspond à l'attribution d'un ou plusieurs accès à des services Office 365.Ce script peut aussi bien gérer l'ajout que la suppression d'accès. Afin de ne pas perturber les accès déjà affectés à un utilisateur sont réattribués (tant qu'ils ne sont pas concerné par le script). Afin de mieux comprendre le comportement du script, voici un scénario d'exemple :

• USER1 appartient au groupe GRP-SharepointOnline
• GRP-SharepointOnline attribue les accès SHAREPOINTENTERPRISE et SHAREPOINTWAC
• USER1 possède déjà un accès à Lync (via MCOSTANDARD)
• Le script s'exécute et donne les accès à SHAREPOINT Online et Office Online à USER1
• USER1 conserve également son accès à Lync Online.

Pour obtenir ce résultat, l'algorithme recalcule les accès de chaque utilisateur. Cette opération est réalisé en récupérant l'attribut DisabledServices de la licence utilisateur (avec Get-MsolUserLicense).

Il permet aussi de ne pas gérer certains services. Cela peut être notamment utile pour Yammer dont l'attribution de licence n'est pas à administrer.

Celui-ci a été utilisé au travers d'un runbook dans System Center Orchestrator mais il peut aussi être utilisé dans une tâche planifié. Il est possible d'imaginer des variantes de ce script. Par exemple, les licences à attribuer pourraient être stockée dans un attribut du groupe. On peut aussi supprimer l'exigence d'être un utilisateur synchronisé par Dirsync (dans ce cas le groupe devra être alimenté via la console Office 365 et non dans Active Directory).

Script

Contexte

Dans un environnement Exchange 2013 en mode hybride, vous obtenez l’erreur suivante lors de la migration d’une boite aux lettres Exchange Online vers Exchange OnPremise :

Error: MigrationPermanentException: Cannot find a recipient that as mailbox GUID <GUID>.

Cette erreur est due à l’absence du GUID sur la RemoteMailbox de l’utilisateur côté Exchange OnPremise.

Si vous lancez la commande suivante sur l’Exchange Management Shell, vous obtiendrez un GUID nul :

Get-RemoteMailbox <SamAccountName> | fl *ExchangeGUID*

Résolution

Afin de résoudre l’erreur et pouvoir procéder à la migration de la boite, vous devez modifier le GUID de la RemoteMailbox pour le faire correspondre à celui de la boite côté Exchange Online.

Vous pouvez récupérer le GUID de la boite depuis le message d’erreur ou depuis une console PowerShell connectée à ExchangeOnline avec la commande

Get-Mailbox <SamAccountName> | fl *ExchangeGUID*

Ensuite depuis l’Exchange Management Shell, lancez la commande suivante :

Set-Mailbox <SamAccountName> –ExchangeGUID <GUID>

Relancez votre migration.

Contexte

Lors de l’installation de Skype for Business 2015, un certain nombre de flux web doivent être publiés vers l’extérieur. Avec l’arrêt de TMG, il est recommandé (voir nécessaire) d’utiliser un autre Reverse Proxy pour publier ces flux.

Depuis Windows Server 2012 R2, Microsoft a intégré un nouveau rôle, le WAP pour Web Application Proxy. Ce rôle permet la publication de flux web. Il peut donc être utilisé dans une architecture Skype for Business 2015. Pour en savoir plus sur l’installation du rôle WAP, vous pouvez suivre le lien suivant : https://technet.microsoft.com/fr-fr/library/Dn280944.aspx.

Mise en œuvre

Prérequis

La publication des services web via WAP ne nécessite pas de prérequis particulier à l’exception du certificat public contenant l’ensemble des URLs.

Services Web

Skype for Business 2015 intègre plusieurs services web :

• Meet
• Dial-In
• Scheduler
• Autodiscover
• Services Web
• Office Web Apps

Publication

Depuis la console

Remote Access Management Console

, cliquez sur

Publish.

Passez la première étape, puis sélectionnez Pass-through dans la méthode de pré-authentification.

Indiquez le nom du service web, l’URL de publication dans External URL, sélectionnez le certificat public correspondant et indiquez l’URL interne dans Backend server URL.

La page suivante récapitule la publication. Cliquez sur Publish pour terminer la publication.

Recommencez l’opération pour toutes les URLs.

Contexte

Depuis mi-juillet, Microsoft a publié la première version preview d’Exchange 2016.

Cette première version intègre quelques nouveautés.

Si vous souhaitez télécharger la preview, suivez ce lien : http://www.microsoft.com/en-us/download/details.aspx?id=48210.

Nouveautés côté serveur

La première nouveauté d’Exchange 2016 est la simplification de l’architecture. En effet Exchange 2016 n’intègre plus que deux rôles, à savoir le rôle Mailbox et le rôle Edge.

La taille maximale des archives a été augmentée pour atteindre 100 Go.

Nouveautés côté client

Côté client, la grosse nouveauté se trouve sur l’OWA :

• Une recherche plus rapide et plus intuitive
• Une nouvelle interface La nouvelle interface de l’OWA (Outlook Web Access) intègre désormais des émojis

La page Contacts a été également légèrement modifiée.

La page Calendrier comporte quelques nouveautés : un partage de calendrier plus simple, un calendrier spécial Anniversaire…

A venir

Microsoft a également annoncé des nouveautés à venir sur le mode hybride, so…

Stay tuned!

Bonjour dans le cadre de la mise à jour des correctifs pour Windows 2012

il se peut que vous rencontriez une erreur 8024401F.

IMAGE DE L’ERREUR:

Etape 1 : Il faut arrêter le service de mise à jour en tapant la command ci-dessous , ATTENTION il faut être en mode Administrateur.

Etape 2 : Il faut renommer le répertoire C:\Windows\Softwaredistribution en Softwaredistribution–old.

Etape 3 : Il faut redémarrer le service de mise à jour en tapant la command ci-dessous , ATTENTION il faut être en mode Administrateur.

Etape 4 : Il faut relance la mise à jour

Bonjour,

Dans ce blog, nous allons voir comment, restaurer un Anti-SPAM Symantec Messaging Gateway à partir d’une sauvegarde d’un autre Anti-SPAM

ETAPE 1 : SAUVEGARDER LA VM APPLIANCE Symantec Messaging Gateway ACTUELLE qui fonctionne

ETAPE 2 : RESTAURER SUR LA NOUVELLE VM APPLIANCE Symantec Messaging Gateway à partir de la dernière sauvegarde effectué.

Prendre la main sur PUTTY en SSH port 22 avec login et mot de passe

Login : admin

Mot de passe : symantec (par défaut)

Quelques paramètres peuvent ne pas avoir été restaurés, mot de passe à changer et surtout les liaisons de distribution SMTP à vérifier

Aujourd’hui nous allons aborder l’installation de Symantec Messaging Gateway, son rôle principale est le filtrage de mails (Anti-Spam) mais il a notamment d’autres rôles comme une protection contre les attaques ciblées ainsi que des fonctions de filtrage de contenu avancé, de prévention des pertes de données et de chiffrement des messages électroniques.

Donc voici ci-dessous les prérequis de la Machine Virtuelle que nous allons installer sur un HYPERVISEUR WINDOWS 2012 R2

PREREQUIS DE LA VM :

CONFIGURATION DE LA VM :

ETAPE 1 : boot avec le cd se trouvant sur le serveur HYPERV dans D :

ETAPE 2 : Lié l’image ISO se trouvant sur le serveur HYPERV dans D, et l’installation commence automatiquement :

ETAPE 3 : Entrer le login par défaut : admin et mot de passe par défaut :

1- Taper votre nouveau mot de passe   

2- Taper le FQDN de la VM SMG

ETAPE 4 : Taper 32 cela correspond au fuseau horaire paris

ETAPE 5 : Taper ci-dessous les paramètres suivant :

1- IP de la 1ère Interface réseau 

2- Masque sous réseau  

3- IP de la Seconde interface réseau       

4- Masque sous réseau 

5- Route Static (NON par défaut)

6- Entrer l’IP du 1^er Serveur DNS et du 2^ème Serveur DNS s’il existe.

ETAPE 6 : Taper ci-dessous le type de Fonction du SMG:

1- Scanner    

2- Control Center Only    

3- Scanner and Control CENTER

Si la configuration vous parait correct, taper YES puis appuyer sur Entrer

Ensuite vous pouvez connecter par interface WEB comme par exemple

https://smg.domaine.com

Nous allons voir dans ce blog comment générer un VHD Windows Server 2016 Nano TP3 depuis l’iso de Windows Server 2016 Technical Preview 3.

Récupération des sources Windows Server 2016 TP3

Récupérer l’ISO de Win 2016 TP3 :

https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-technical-preview

Une fois l’ISO récupéré, monter la dans votre explorateur Windows.

A la racine du lecteur est présent un répertoire nommé NanoServer.

Celui-ci contient l’image WIM que nous allons utiliser durant la construction de notre VHD Nano.

Dans le répertoire NanoServer est présent deux scripts PowerShell dont : new-nanoserverimage.ps1 permettant d’obtenir une image VHD à partir de l’image WIM.

Cependant, nous n’allons pas utiliser ici ce script pour la génération de l’image VHD Nano.

L’outil GUI qui sera utilisé est : DISM_64bits_Mount-Unmount_1.0.exe

Disponible à cette adresse :

https://onedrive.live.com/?cid=b370cc46ea3ab572&id=B370CC46EA3AB572%21137&ithint=folder,exe&authkey=!ANkLug_PPC-kh-8

Rappel :

Présentation de l’outil DISM_64bits_Mount-Unmount_1.0.exe

http://blog.piservices.fr/post/DISM_64bits_Mount-Unmount.aspx

Création du VHD Windows Server 2016 Nano

Lancer l’outil en tant que administrateur.

L’interface se lance

Créer votre VHD Nano

Le VHD est maintenant monté dans votre explorateur Windows

Dans la section WIM, sélectionner l’image NanoServer.wim présent dans les binaires du DVD Windows Server 2016 Technical Preview 3 et sélectionner l’index 1.

Sélectionner le volume du VHD et cliquer sur le bouton Apply

L’image WIM est maintenant décompressée dans le VHD.

Si ce message intervient, cliquer sur Non

Ouvrez maintenant une invite de commande en tant que administrateur et taper la commande bcdboot X:\Windows /s X: ou X correspond à la lettre du volume du VHD.

Exemple:

Ajout des fonctionnalités au VHD Nano

Dans le répertoire NanoServer sur le DVD d’installation, vous pouvez trouver un certains nombres de packages disponible pour notre image Nano.

Dans la section Mount, sélectionner le volume du VHD.

Dans la section Add Package, cochez cab et sélectionner le fichier .cab à intégrer. Cliquer sur Add.

Le package a été ajouté au VHD.

Faites de même pour les autres packages que vous souhaitez intégrer.

Vous pouvez maintenant démonter votre VHD de l’explorateur Windows.

Intégration dans Hyper-V

Dans la MMC Hyper-V cliquer sur Nouveau è Ordinateur virtuel

Donner un nom à votre VM

Sélectionner Génération 1

Sélectionner votre VHD Nano.

Votre VM sous Windows Server 2016 TP3 Nano est maintenant créé.

Vous pouvez maintenant démarrer votre VM Nano.

Introduction

Le répertoire SYSVOL est répliqué entre tous les contrôleurs d'un domaine Active Directory. Celui-ci peut être répliqué par FRS (File Replication Service) ou DFS-R (Distributed File System Replication). FRS devient petit à petit obsolète et il convient de migrer vers DFS-R dès que tous les contrôleurs de domaine (DC) utilisent Windows 2008 ou supérieur. Il existe d'ailleurs une procédure fortement documenté par Microsoft pour effectuer cette bascule (https://technet.microsoft.com/en-us/library/dd640019(v=WS.10).aspx). En effet, DFS-R est beaucoup plus robuste et performant.

Cependant, celui-ci peut aussi rencontré des problèmes et la réplication peut se retrouver en erreur avec certains contrôleur de domaine. Lorsque cet incident survient, les stratégies de groupes (GPO) ou les scripts d'ouverture de session (ou de démarrage d'ordinateur) ne sont plus forcément en accord avec la dernière version mise en place. Pire, une stratégie de groupe récemment créée peut ne pas exister sur un contrôleur de domaine. On rencontre alors des erreurs d'application des GPOs sur des postes clients, serveurs ou utilisateurs. Pour pallier à ce problème, il existe une procédure permettant de resynchroniser la totalité (restaurer) du répertoire SYSVOL depuis un contrôleur de domaine valide.

Nous allons voir comment repérer les contrôleur de domaine dont la réplication DFS-R du SYSVOL est en erreur, puis nous aborderons le sujet de la restauration non autoritaire (principe expliqué ci-dessous) du répertoire SYSVOL.

Diagnostic

Pour repérer si un contrôleur de domaine ne réplique plus correctement le répertoire SYSVOL, il existe une multitude de méthodes. Tout d'abord, il suffit de comparer le contenu des dossiers SYSVOL de plusieurs contrôleurs de domaine. Si l'un d'entre eux est vide ou qu'il n'y a pas les mêmes objets alors il y a des problèmes de réplication DFS-R du répertoire SYSVOL.

Il existe aussi des techniques plus fiables. Tout d'abord, dans une invite de commande depuis un contrôleur de domaine, on peut exécuter le script ci-dessous :

Ce dernier affiche un statut de la réplication DFS-R pour chaque contrôleur de domaine. Le chiffre affiché pour chaque DC nous donne l'information. Lorsqu'il y a une erreur celui-ci possède la valeur 5 (une réplication sans erreur équivaut à un statut 4). Aussi, il peut arriver que la valeur soit “No instance avalaible”. Cette information indique qu'il n'y a donc pas de réplication du SYSVOL.

On peut confirmer une erreur de réplication DFS-R (ou même une absence de réplication du SYSVOL) via la recherche d'événements spécifiques dans l'observateur d'événements. Ceux-ci sont situés dans le journal “DFS Replication” et non dans les journaux Active Directory. Il faut rechercher les événements avec les IDs suivants :

• 2012

• 2013

• 4012

Event 2012

L'événement 2012 nous informe d'une erreur de réplication DFS lors d'un arrêt non prévu du serveur (coupure de courant). Si cet événement n'est pas accompagné d'un événement avec l'ID 2013 alors la réplication a repris son cours normal et ne nécessite pas d'action (vous devriez néanmoins obtenir un statut 4 avec la commande précédente pour confirmer cela).

Event 2013

Cet événement indique que la réplication n'a pas repris et qu'il convient de le faire manuellement via la commande suivante :

NB : Pensez à remplacer GUID_VOLUME par le votre. Pour cela, il suffit de copier coller la commande indiqué dans l'événement pour relancer la réplication du répertoire SYSVOL. Cependant, si celle-ci n'a pas été relancé depuis longtemps alors elle ne redémarre pas et on obtient l'événement 4012.

Pour information, les management packs SCOM AD ou DFS ne remontent pas ce type d'erreur.

Event 4012

En effet, lorsqu'une réplication DFS-R a été stoppé pendant plus de 60 jours (valeur par défaut du paramètre MaxOfflineTimeInDays) alors il est nécessaire de lancer une synchronisation complète du dossier répliqué. L'événement donne une procédure qui peut s'appliquer dans le cas où il s'agit d'une réplication DFS-R créé par un administrateur. Néanmoins celle-ci n'est pas applicable dans le cas du répertoire SYSVOL car nous n'avons tout simplement pas accès à cette réplication via la console DFS Management. Il faut alors réaliser une restauration du répertoire SYSVOL.

Procédure de restauration

Cette procédure n'est pas compliquée mais nécessite de la rigueur afin de rétablir la réplication Active Directory du répertoire SYSVOL. Toutefois, celle-ci ne s'applique que lorsque le nombre de contrôleurs de domaine en erreur est faible et que l'on est sûr que celui-ci répliquera le répertoire SYSVOL depuis un contrôleur de domaine sain. Par exemple, cela peut être le cas dans une topologie en étoile lorsque un ou plusieurs contrôleurs de domaine présent sur des sites distants ne répliquent plus le répertoire SYSVOL.

Dans le cas où l'on souhaiterait restaurer le dossier SYSVOL depuis un contrôleur de domaine précis et restaurer tous les autres DC alors il convient de réaliser une restauration autoritaire du SYSVOL (la restauration est forcé depuis un contrôleur de domaine précis et la réplication DFS-R est coupé temporairement sur les autres DC).

Lors de l'exécution du processus ci-dessous, on ne choisit pas un contrôleur de domaine comme source de la restauration, cette dernière est donc dite non autoritaire. Il n'existe pas véritablement de règle pour savoir s'il faut préférer une restauration autoritaire ou non. Cela dépendra donc des cas (pourcentage de DC en erreur, topologie Active Directory complexe). Microsoft recommande toutefois de réaliser une restauration autoritaire dès qu'il y a plus d'un DC qui rencontre ce type de problème (dans des gros environnements cela peut vite devenir compliqué à mettre en œuvre et une restauration non autoritaire peut rester une solution viable).

Pour réaliser une restauration non autoritaire, il faut lancer ADSIEdit avec un compte administrateur du domaine.

Il faut ensuite effectuer un clic droit sur ADSI Edit puis choisir l'option “Connect To”.

Dans les paramètres de connexion il faut choisir de se connecter au contexte d'attribution de noms par defaut (Default Naming Context) et valider.

Enfin, il faut naviguer jusqu'à l'objet du contrôleur de domaine posant problème (Exemple de chemin : CN=DC01,OU=Domain Controllers,DC=myenterprise,DC=com) puis se rendre dans le conteneur “DFSR-LocalSettings” puis “Domain System Volume”.

Sur ce dernier, il faut effectuer un clic droit puis choisir “Properties”. Il faut ensuite trouver l'attribut “msDFSR-Enabled” et passer la valeur à “False” (cette dernière doit être à “True” par défaut). Cela permet de rendre le contrôleur de domaine non authoritaire pour la réplication.

Par la suite, on force une réplication Active Directory depuis un DC sain via l'outil en ligne de commande repadmin :

Sur le DC en erreur, on exécute la commande ci-dessous qui aura pour effet de désactiver la réplication du répertoire SYSVOL :

Un événement avec l'ID 4114 doit être présent dans le journal “DFS Replication” de l'observateur d'événement du contrôleur de domaine en erreur dont voici le contenu :

Nous pouvons maintenant réinitialiser la réplication du répertoire SYSVOL. Dans ADSI Edit, il faut éditer de nouveau l'objet “Domain System Volume” du contrôleur de domaine en erreur et remettre la valeur de l'attribut “msDFSR-Enabled” à “True”.

Il suffit ensuite de forcer une réplication Active Directory depuis un DC sain via l'outil en ligne de commande repadmin :

Puis, on lance une réplication initiale du répertoire SYSVOL depuis le DC sur lequel on effecture une restauration via la commande :

Un premier événement de type avertissement doit être visible dans le journal “DFS Replication”. Celui-ci possède l'ID 4614. Il indique que la réplication Active Directory s'est lancée.

Lorsque la réplication est terminée, un second événement avec l'ID 4604 indique la bonne exécution de celle-ci.

Enfin, on peut vérifier le statut de la réplication du répertoire SYSVOL du contrôleur de domaine via la commande suivante :

NB : Pensez à changer NOM_DC par le nom du contrôleur de domaine à tester.