Impossible de promouvoir un contrôleur de domaine Windows Server : erreurs de délégation DNS, FSMO, réplication AD et SYSVOL

Vous tentez d’ajouter un nouveau contrôleur de domaine après la mise hors service de DC Windows Server 2012 et la promotion échoue : avertissement de délégation DNS, réplication incomplète, SYSVOL/NETLOGON absents. Ce guide concret détaille le diagnostic et les corrections pour réussir la promotion.

Sommaire

Vue d’ensemble du problème

Après la dépose d’anciens DC Windows Server 2012 (octobre 2023) et le transfert des rôles FSMO vers un nouveau contrôleur, l’ajout d’un autre DC échoue partiellement :

Avertissement/erreur de délégation DNS pendant l’assistant de promotion (souvent surfacée lors de la configuration du rôle DNS).
Le serveur rejoint l’OU Domain Controllers et crée ses connexions de réplication, mais la réplication Active Directory reste inachevée : seules quelques OU/utilisateurs arrivent.
Les partages SYSVOL et NETLOGON ne se montent pas.
Symptôme identique quelles que soient les versions tentées (2016, 2019, 2022).

L’hypothèse dominante est un couplage DNS ↔ FSMO ↔ Réplication défaillant : rôle(s) FSMO mal transférés ou DC non sains, enregistrements DNS SRV incomplets, réplication AD/DFSR bloquée. Le bon ordre de traitement est : DNS → FSMO → Réplication AD → SYSVOL/NETLOGON.

Ce que signifie l’avertissement de délégation DNS

Lors de la promotion, l’assistant vérifie la possibilité de créer une delegation dans la zone parente du domaine. En environnement purement interne (aucune délégation publique à créer) ou si la zone parente n’est pas hébergée sur un serveur accessible, un warning apparaît. Ce n’est pas bloquant si :

la zone du domaine est AD‑integrated ;
les enregistrements SRV sous _msdcs.<domaine> existent et se répliquent ;
tous les DC utilisent un DNS AD opérationnel (jamais 127.0.0.1 avant la promotion).

Plan d’action rapide

Confirmer les rôles FSMO et la santé du détenteur
netdom query fsmo dcdiag /v /c /e repadmin /replsummary repadmin /showrepl * /csv > C:\Temp\repl.csv Si l’ancien détenteur FSMO n’existe plus et que la topologie n’est pas propre : seize les rôles (en dernier recours).
Assainir le DNS
Chaque DC (et le futur DC) doit pointer en primaire vers un DC‑DNS sain ; vérifier _ldap._tcp.dc._msdcs.<domaine> en nslookup, supprimer les enregistrements orphelins et activer la réplication All DNS servers in the forest pour les zones AD‑integrated.
Nettoyer les métadonnées d’anciens DC non dépromus proprement (AD Sites & Services, ntdsutil, DNS SRV/A).
Débloquer la réplication SYSVOL : confirmer l’usage de DFSR, état de migration, événements DFS Replication, dfsrdiag backlog.
Relancer la promotion via PowerShell (Install-ADDSDomainController) avec journaux ouverts (Directory Service, DFSR, DNS Server) pour corréler immédiatement tout échec.

Diagnostic détaillé

Valider et, si besoin, reprendre les rôles FSMO

Les rôles FSMO doivent être détenus par un DC sain et joignable ; sinon, la réplication et certaines opérations de promotion échouent.

netdom query fsmo

Si le détenteur est définitivement perdu :

netdom seize fsmo:all

Bonnes pratiques : saisir uniquement si l’ancien DC ne reviendra jamais. Après saisie, ne rallumez pas l’ancien DC.

Rôle FSMO	Impact si non joignable	Contrôle
Schema Master	Échec de `adprep`, schéma figé	Éviter toute extension de schéma
Domain Naming Master	Impossible d’ajouter/supprimer des domaines	Requis pour promotion d’une nouvelle forêt/arborescence
PDC Emulator	Problèmes de mot de passe/temps/GPO	`w32tm /query /status`, latence auth
RID Master	Blocage création d’objets (RID épuisés)	`dcdiag /test:ridmanager /v`
Infrastructure Master	Références inter‑domaines obsolètes	Moins critique en domaine unique

Examiner la santé du domaine

dcdiag /v /c /e
repadmin /replsummary
repadmin /showrepl *
repadmin /queue

Codes fréquents : 1722 (RPC), 8451/8464 (DFSR), 8606 (tombstone), 1396 (USN).
Symptômes : files Replication Queue non vides, retards persistants, erreurs sur Configuration, Schema, Domain et partitions ForestDnsZones/DomainDnsZones.

Nettoyer les métadonnées d’anciens DC

Dans Active Directory Sites and Services, supprimer le serveur obsolète (objet Server + NTDS Settings), puis forcer la réplication.
Exécuter ntdsutil → metadata cleanup pour enlever toute trace résiduelle.
Dans DNS, retirer les enregistrements A/SRV (_msdcs, _sites, _tcp, _udp) pointant vers l’ancien DC.

DNS : conditions indispensables

Un DNS AD intègre la topologie de réplication. Sans SRV corrects, la promotion échoue ou reste incomplète.

Pointage DNS : avant promotion, le futur DC doit utiliser en primaire un DC‑DNS existant et sain (jamais 127.0.0.1 tant que non promu).
Zones : AD‑integrated, réplication sur All DNS servers in the forest.
Enregistrements SRV clés : _ldap._tcp.dc._msdcs, _kerberos._tcp, _kpasswd._tcp, _gc._tcp si GC.

nslookup -type=SRV _ldap._tcp.dc._msdcs.contoso.com
ipconfig /registerdns
net stop netlogon &amp;&amp; net start netlogon

Pour vérifier la portée de réplication :

Get-DnsServerZone -ComputerName GoodDC |
  Select-Object ZoneName, IsDsIntegrated, ReplicationScope

Temps et NTP : l’angle mort fréquent

Un écart d’horloge > 5 minutes brise Kerberos et la réplication DFSR.

w32tm /query /status
w32tm /query /peers
w32tm /config /syncfromflags:manual /manualpeerlist:"ntp.exemple.lan" /update
net stop w32time &amp;&amp; net start w32time

Sites et sous‑réseaux

Chaque DC doit appartenir au bon site IP (Active Directory Sites and Services) ; sinon, la KCC produit une topologie sous‑optimale et des retards. Créez le sous‑réseau correspondant et liez‑le au site attendu, puis repadmin /kcc pour recalculer.

Pare‑feu et RPC dynamiques

Assurez l’ouverture des ports DC↔DC :

Service	Port	Remarque
RPC Endpoint Mapper	135/TCP	Obligatoire
RPC dynamiques	49152–65535/TCP	Plage par défaut Windows Server
LDAP / LDAPS	389/TCP, 636/TCP	Annuaire/SSL
Kerberos	88/TCP/UDP	Auth Kerberos
DNS	53/TCP/UDP	Résolution et mises à jour
SMB	445/TCP	SYSVOL/NETLOGON
DFS R	5722/TCP	Réplication SYSVOL via DFSR

Services critiques

DFS Replication : automatique et en cours d’exécution sur tous les DC.
Netlogon, Active Directory Domain Services, DNS Server (si installé).
FRS ne doit plus être utilisé ; si présent, planifier la migration DFSR.

Réplication SYSVOL via DFSR

Depuis 2008 R2, la réplication de SYSVOL doit être en DFSR (FRS est obsolète). Vérifiez l’état global :

dfsrmig /getglobalstate
dfsrmig /getmigrationstate

État attendu : Eliminated (3). Si < 3, terminer la migration :

dfsrmig /setglobalstate 1  # Prepared
dfsrmig /setglobalstate 2  # Redirected
dfsrmig /setglobalstate 3  # Eliminated
dfsrmig /getmigrationstate # Attendre que tous les DC atteignent l'état

Si DFSR est actif mais bloqué :

Sur un DC sain : dfsrdiag pollad pour forcer une lecture AD des paramètres.
Mesurer l’arriéré : dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:GoodDC /rmem:NewDC
Si la base DFSR du nouveau DC est corrompue ou figée, effectuer une réinitialisation non‑authoritative (le DC sain ré‑ensemence). Sur le DC problématique :
1. Arrêter DFSR : net stop dfsr
2. Renommer C:\System Volume Information\DFSR (ou purger conformément aux procédures internes).
3. Démarrer DFSR et vérifier les événements (DFS Replication).

Cas d’événements typiques : 2212/2213 (récupération, attente de réplication initiale), 4004/4012/5002/5004 (conflits, journal, topologie). Analysez et corrigez la cause racine avant de redémarrer le service.

Contrôles DNS essentiels

Outre les SRV, validez l’enregistrement de l’hôte et le service Netlogon :

ipconfig /all
ipconfig /registerdns
nltest /dsregdns
nltest /dsgetdc:contoso.com

Les enregistrements SRV doivent apparaître sous :

_msdcs.<domaine> (GUID DC, services LDAP/GC/KDC)
_sites.<domaine> (scopés par site)
_tcp.<domaine>, _udp.<domaine>

Table de correspondance symptômes → causes → actions

Symptôme	Cause probable	Vérification	Action corrective
Avertissement délégation DNS	Zone parente non modifiable ou externe	SRV présents ? `nslookup`	Ignorer si SRV/zone AD OK ; sinon corriger la zone parente
Réplication AD partielle	SRV manquants, site erroné, RPC/ports fermés	`repadmin /showrepl`, ports	Corriger DNS/sites/pare‑feu puis `repadmin /syncall /AdeP`
SYSVOL/NETLOGON absents	DFSR bloqué ou migration incomplète	Événements 22xx/40xx, `dfsrmig`	Terminer migration, réinitialiser DFSR si besoin
Erreurs 1722 RPC	Firewall/NAT, MTU, résolution	`repadmin /replsummary`	Ouvrir ports, forcer KCC, stabiliser le réseau
Échecs SID/RID	RID Master injoignable	`dcdiag /test:ridmanager`	Restaurer ou saisir le rôle RID Master
DNS SRV en doublon	Cartes multiples/multi‑homing	Liste A/SRV dans DNS	Désactiver l’enregistrement auto des NIC non utiles

Procédure de promotion fiable via PowerShell

Préparez le serveur (nom défini, IP fixe, pointage DNS vers DC‑DNS sain). Depuis une session élevée :

# Rôle AD DS
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

# Promotion

Import-Module ADDSDeployment
Install-ADDSDomainController `  -DomainName "contoso.com"`
-InstallDNS `  -NoGlobalCatalog:$false`
-DatabasePath "C:\Windows\NTDS" `  -LogPath "C:\Windows\NTDS"`
-SysvolPath "C:\Windows\SYSVOL" `
-Confirm:$false

Astuce : ajoutez -SafeModeAdministratorPassword si l’assistant le demande en mode non interactif. Au redémarrage, validez :

nltest /dsgetdc:contoso.com
nltest /dclist:contoso.com
dcdiag /v
repadmin /replsummary
net share | findstr /I "SYSVOL NETLOGON"

Préparation du schéma et compatibilité

Avant d’introduire des DC 2019/2022 dans une forêt héritée :

adprep /forestprep
adprep /domainprep

Exécutez ces commandes depuis le média de la version cible, en vous assurant que Schema Master et Domain Naming Master sont joignables et sains.

Bonnes pratiques DNS pendant la promotion

Ordre DNS sur le futur DC : Primary → DC‑DNS sain, Secondary → autre DC‑DNS.
Après promotion, ajouter en troisième 127.0.0.1 uniquement si le service DNS local est installé et sain.
Éviter les résolveurs externes (fournisseur internet) côté DC.

Vérifications post‑promotion

AD : Get-ADDomainController -Filter *, repadmin /showrepl, erreurs Event ID dans Directory Service.
DNS : SRV présent pour le nouveau DC, zone en AD‑integrated, réplication « All DNS servers in the forest ».
SYSVOL : partages visibles, dfsrdiag backlog à 0.
Heure : w32tm /query /status sans dérive.
Sites : le DC est au bon site et le sous‑réseau IP existe.

Pièges classiques et cas particuliers

USN rollback/instantanés VM : ne jamais restaurer un DC via snapshot. Symptôme : événements USN. Solution : dépromouvoir/reconstruire.
Multi‑homing : une seconde carte réseau publie des SRV erronés. Désactiver « Register this connection’s addresses » pour les NIC non utilisées.
IPv6 : ne pas désactiver globalement ; AD l’exploite. Laisser IPv6 activé, même si non routé.
Lingering objects : forêts avec isolement prolongé ; utiliser repadmin /removelingeringobjects avec précaution.
DNS scindé : si une zone publique homonyme existe ailleurs, l’avertissement de délégation est normal ; assurez seulement la résolution interne.

Check‑list structurée

Backup récent Système‑État sur au moins un DC sain.
Rôles FSMO validés et joignables (netdom query fsmo).
DNS AD intégré, SRV complets, pas d’entrées orphelines.
Sites/sous‑réseaux corrects, ports ouverts.
DFSR : état « Eliminated (3) » et backlog à 0.
Temps synchronisé (PDC Emulator source NTP fiable).
Promotion via PowerShell avec journaux surveillés.

Exemples de commandes utiles

# Synchroniser immédiatement la réplication AD
repadmin /syncall /AdeP

# Forcer le recalcul KCC

repadmin /kcc *

# Vérifier les partitions d'application DNS

repadmin /showrepl * "DC=ForestDnsZones,DC=contoso,DC=com"
repadmin /showrepl * "DC=DomainDnsZones,DC=contoso,DC=com"

# Lister les DC connus via PowerShell

Get-ADDomainController -Filter * | Select-Object HostName,Site,IsGlobalCatalog

# Fixer les DNS côté hôte à promouvoir

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.0.10,10.0.0.11

Rétablissement en cas d’échec de promotion

Si la promotion a terminé partiellement mais que la réplication/SYSVOL reste cassée :

Démotion forcée du serveur défaillant (Uninstall-ADDSDomainController -ForceRemoval ou assistant GUI), puis nettoyage des métadonnées.
Retour aux sections DNS/FSMO/DFSR pour corriger la cause racine sur les DC existants.
Promotion à nouveau via PowerShell, en suivant la check‑list.

Plan de montée de version

Converger vers Windows Server 2019/2022 pour tous les DC.
Transférer FSMO vers un DC moderne, vérifier dcdiag sans erreur.
Dépromouvoir les anciens DC (proprement), puis nettoyer DNS/Sites.
Maintenir la compatibilité du niveau fonctionnel de forêt/domaine avec vos besoins applicatifs, et planifier sa hausse après stabilisation.

FAQ de terrain

Q : Je vois « Access is denied » pendant la promotion.
R : Utiliser un compte membre de Domain Admins et Enterprise Admins. Vérifier l’heure et le réseau, et que la machine est déjà jointe au domaine.

Q : La promotion réussit mais le DC n’apparaît pas dans les SRV.
R : ipconfig /registerdns, redémarrer Netlogon, vérifier la zone _msdcs et la portée de réplication.

Q : Replication Access Was Denied dans repadmin.
R : Plausible délégation/permissions. Vérifier que le compte machine du DC est autorisé et que la réplication de Configuration fonctionne.

Modèle de runbook opérable

État : exécuter dcdiag /v /c /e et repadmin /replsummary. Si erreurs généralisées : stabiliser les DC existants avant toute nouvelle promotion.
DNS : épurer SRV/A orphelins, valider _msdcs, corriger la portée de réplication, pointage DNS du futur DC.
FSMO : confirmer détenteur, transférer au besoin, saisir si l’ancien DC est perdu.
DFSR : état « Eliminated (3) », corriger backlog, résoudre événements 22xx/40xx.
Sites : créer le sous‑réseau, lier au site, repadmin /kcc.
Promotion : via PowerShell (paramètres ci‑dessus), redémarrage, contrôles post‑promotion.

Synthèse

Les échecs de promotion d’un nouveau contrôleur de domaine après retrait d’anciens DC tiennent presque toujours au triptyque DNS / FSMO / Réplication. En validant rigoureusement le détenteur FSMO, en garantissant des zones DNS AD‑integrated avec SRV complets et en assurant une réplication AD/DFSR saine (état DFSR 3, ports ouverts, sites corrects), la promotion redevient un processus déterministe. Appliquez l’ordre de traitement et les commandes de ce guide, réalisez des sauvegardes Système‑État avant toute action intrusive, et privilégiez la promotion par PowerShell pour plus de traçabilité. À l’issue, vous devez constater la réplication complète des partitions AD, l’apparition des partages SYSVOL/NETLOGON et l’absence d’erreurs persistantes dans les journaux.

Annexes : aide‑mémoire

Commandes rapides

# Vue d'ensemble santé AD
dcdiag /v /c /e
repadmin /replsummary

# Contrôle DNS et enregistrements SRV

nslookup -type=SRV _ldap._tcp.dc._msdcs.contoso.com
ipconfig /registerdns
net stop netlogon && net start netlogon

# DFSR / SYSVOL

dfsrmig /getglobalstate
dfsrmig /getmigrationstate
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:GoodDC /rmem:NewDC

# Sites / KCC

repadmin /kcc *

États DFSR de migration SYSVOL

État	Signification	Action
0 – Start	FRS actif	Lancer la migration
1 – Prepared	Préparation DFSR	Valider journaux, poursuivre
2 – Redirected	DFS R utilisé, FRS présent	Vérifier cohérence
3 – Eliminated	FRS supprimé	État cible

Rappels essentiels : conservez des sauvegardes Système‑État récentes, exploitez les journaux DFS Replication et File Replication Service pour remonter à la cause, et utilisez des outils graphiques tels que l’outil de statut de réplication AD pour visualiser rapidement les erreurs.