26/03/2025
IT-Connect » Cours - Tutoriels » Administration Systèmes » Windows Server » Active Directory » Active Directory : comment réparer et restaurer le dossier Sysvol ?

Active Directory - Comment réparer et restaurer le Sysvol
Active Directory

Active Directory : comment réparer et restaurer le dossier Sysvol ?

Mehdi DAKHAMA 0 commentaire

I. Présentation

Dans cet article, nous allons voir comment réparer et restaurer correctement un dossier SYSVOL afin de résoudre les problèmes de réplication pouvant survenir après une restauration, une défaillance de l’Active Directory, un site distant déconnecté ou un contrôleur de domaine sans réplication.

Nous aborderons les points suivants : qu'est-ce que le Sysvol ? Comment vérifier son bon fonctionnement ? Et, surtout, comment réparer le Sysvol selon deux méthodes spécifiques, à appliquer en fonction du scénario qui est le vôtre.

II. Rappel sur le Sysvol

Avant de commencer, rappelons le principe du dossier SYSVOL. Il s'agit d'un dossier partagé sur les contrôleurs de domaine, accessible en lecture seule pour les utilisateurs authentifiés.

Il contient l’ensemble des fichiers liés aux GPOs, ainsi que les scripts de démarrage, de connexion et, selon les usages historiques, d'autres fichiers comme des ressources d’applications.

Ce dossier joue un rôle essentiel dans le bon fonctionnement d'Active Directory. Dès lors que l’on dispose de deux contrôleurs de domaine ou plus, il est impératif que les éléments qu'il contient soient identiques et conformes sur tous les DCs afin d’éviter tout dysfonctionnement.

III. Vérifier le bon fonctionnement du dossier Sysvol

Avant d’entamer toute réparation, il est essentiel de s’assurer que le dossier SYSVOL fonctionne correctement et que le problème vient bien d’une désynchronisation ou d’une corruption. Voici les étapes à suivre pour effectuer cette vérification.

A partir d'une invite de commande entrez la commande de diagnostic suivante :

dcdiag /test:sysvolcheck /test:advertising

Pour rappel, dcdiag est un outil de diagnostic très puissant capable d'effectuer différents tests en rapport avec l'Active Directory (DNS, Sysvol, etc.). Ici, nous lançons deux tests nommés sysvolcheck et advertising. Vous pouvez consulter la documentation de Microsoft pour en savoir plus sur son utilisation.

Il est aussi possible de générer des rapports de réplications à l'aide du gestionnaire des fichiers DFS. Pour cela, commencez par installer la fonctionnalité sur un serveur membre du domaine.

Une fois l’opération terminée, lancez le gestionnaire DFS, à partir du menu démarrer ou outils.

Développez le dossier « Réplication » sur la gauche, puis sélectionnez « Domain System Volume » puis cliquez sur « Créer un rapport de diagnostic ». Il s’agit du partenariat de synchronisation DFSR mis en place entre les contrôleurs de domaine pour la réplication du SYSVOL.

Choisissez ensuite un type de rapport, il est conseillé d'exécuter les trois tests.

Assurez-vous d'avoir Sysvol comme dossier répliqué, et sélectionnez un serveur de propagation privilégiez celui qui a un problème ou récemment restauré, puis cliquez sur « Suivant » pour lancer le test.

Une fois le test terminé, un rapport détaillé sur la réplication et l’état de santé du dossier SYSVOL sera généré sous forme de page HTML. Examinez attentivement ce rapport : toute anomalie ou erreur y sera consignée avec des détails précis.

Si des problèmes de réplication sont détectés, ils seront clairement indiqués, ce qui permettra d’identifier l’origine du dysfonctionnement et d’appliquer les corrections appropriées.

IV. Réparation du dossier Sysvol

Avant toute intervention, il est recommandé de désactiver le service de réplication DFS sur l’ensemble des contrôleurs de domaine, ou au moins sur ceux qui répliquent directement avec le DC en dysfonctionnement (exemple : un site spécifique).

Dans une infrastructure étendue, vous pouvez tester les étapes en désactivant uniquement le service sur le DC en erreur dans un premier temps.

Nous allons voir deux méthodes :

  1. Réparer un problème de réplication SYSVOL.
  2. Forcer une réplication autoritaire à partir d’un DC spécifique.

Les deux approches partagent des étapes communes, mais la finalité diffère.

A. Réparer un problème de réplication SYSVOL

Commencez par effectuer la désactivation temporaire de la réplication DFSR sur le DC concerné.

Lancez votre console de gestion AD (dsa.msc), puis cochez l'option « Fonctionnalités avancées ».

Développez le contrôleur de domaine concerné et accédez au dossier « Domain System Volume ».

Faites un clic droit sur l’élément « SYSVOL Subscription » et sélectionnez « Propriétés ».

Ensuite, rendez-vous dans l’onglet « Éditeur d’attributs ».

Double-cliquez sur l'attribut msDFSR-Enabled, puis cochez Faux comme sur l’image ci-dessous. Validez avec OK.

Puis, exécutez la commande suivante pour arrêter le service de réplication DFS :

net stop dfsr

Vous devez ensuite forcer la réplication AD.

Ouvrez une invite de commande en administrateur et forcez la réplication à l'aide de la commande suivante :

repadmin /syncall /AdeP

Puis, pour mettre à jour l’état de DFSR exécutez cette commande :

dfsrdiag PollAD

Dans l’Observateur d’événements, recherchez l’événement avec l’ID 4114, qui confirme que la réplication a bien été désactivée.

A partir de la console AD, redéfinissez la valeur de l’attribut msDFSR-Enabled sur Vrai pour réactiver la réplication.

Quand c’est fait, relancez la réplication AD avec :

repadmin /syncall /AdeP
dfsrdiag PollAD

Démarrer le service de réplication :

net start dfsr

Recherchez maintenant les événements avec les ID 4614, 4604 ou 4602 dans l'Observateur d’événements pour vérifier que SYSVOL a bien été réinitialisé et que la synchronisation a réussi.

Revérifiez le bon fonctionnement du dossier SYSVOL avec les tests vus au début de l’article.

B. Forcer une réplication autoritaire à partir d’un DC spécifique

Si vous souhaitez forcer une réplication autoritaire depuis un contrôleur de domaine spécifique (ex : DC-2), appliquez les mêmes étapes que précédemment, mais sur les DCs devant recevoir la réplication (ex : DC-3, DC-4).

Voici les spécificités de cette manipulation.

Désactivez la réplication DFSR sur DC-3 et DC-4 (répétez les étapes pour msDFSR-Enabled = Faux).

Modifiez l’attribut suivant sur DC-2 :

msDFSR-options=1

Arrêtez le service de réplication sur tous les DCs modifiés :

net stop dfsr

Forcez la réplication AD :

repadmin /syncall /AdeP
dfsrdiag PollAD

Vérifiez l’événement avec l’ID 4114 pour confirmer l’arrêt de la réplication sur les DCs ciblés.

Redéfinissez la valeur msDFSR-Enabled = Vrai sur tous les DCs modifiés.

Puis, forcez de nouveau la réplication :

repadmin /syncall /AdeP
dfsrdiag PollAD

Redémarrez le service de réplication sur l'ensemble des DCs à l'aide de la commande suivante :

net start dfsr

Vérifiez que SYSVOL a bien été répliqué sur les DC depuis DC-2 comme source, en cherchant les événements avec les ID 4614, 4604 ou 4602 dans l’Observateur d’événements.

V. Conclusion

La réplication SYSVOL est essentielle au bon fonctionnement d'Active Directory. En suivant ces étapes, vous pouvez corriger une réplication défaillante ou forcer une synchronisation autoritaire en toute sécurité. Une surveillance régulière avec dcdiag, repadmin et l’Observateur d’événements permet d’anticiper les problèmes et d’assurer la stabilité de votre infrastructure AD.

author avatar
Mehdi DAKHAMA Consultant et formateur
Consultant et formateur expert Windows Server et Cloud Azure. Chercheur en Cybersécurité.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Installation et configuration d’Azure AD Connect

Florian BURNEL 11
Active directory Obtenir la liste des admins locaux de tous les ordinateurs

Active Directory : comment obtenir la liste des administrateurs locaux de tous les ordinateurs ?

Florian BURNEL 3
tuto active directory désactiver mDNS

Active Directory : comment et pourquoi désactiver le protocole mDNS ?

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.