À mon entreprise, nous disposons d'un serveur Windows Server 2003 R2 qui est notre principal serveur AD avec à peu près tous les services basés sur Windows (AD, partage de fichiers, partage d'imprimantes, etc). Le niveau fonctionnel du domaine est Windows Server 2003, mais le niveau fonctionnel de la forêt est Windows 2000 (le domaine était principalement hébergé sur un serveur Windows 2000).
Il y a quelques semaines, un collègue et moi avons retiré le serveur Windows 2000 du domaine, transférant tous les rôles FSMO vers la machine Windows Server 2003, en faisant le contrôleur de domaine principal et unique. Malheureusement, nous avons oublié de déplacer quelques éléments, tels que les GPO et les scripts de connexion. La majorité des scripts de connexion ont été recréés, ainsi que les GPO, mais nous avons encore quelques petits problèmes restants. L'un d'eux est cette petite erreur que nous recevons environ toutes les 5 minutes :
Windows ne peut pas accéder au fichier gpt.ini pour GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=OURDOMAIN,DC=com. Le fichier doit être présent à l'emplacement <\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini>. (Le système ne trouve pas le chemin spécifié.) Le traitement de la stratégie de groupe a été abandonné.
Peu de temps après avoir reçu cette erreur, nous recevons l'erreur suivante :
Windows ne peut pas interroger la liste des objets de la stratégie de groupe. Veuillez consulter le journal des événements pour d'éventuels messages précédemment enregistrés par le moteur de stratégie qui expliquent la raison de ceci.
Maintenant, les éléments que j'ai recréés comme la redirection de dossiers fonctionnent bien à l'heure actuelle, donc autant que je sache, les GPO existantes sont trouvées par les postes de travail clients, et sont appliquées, donc nous sommes bons de ce côté-là. Cependant, j'aimerais que ces erreurs disparaissent car c'est assez agaçant. (Je reçois des copies de toutes les erreurs dans ma boîte de réception tous les matins).
J'ai essayé d'exécuter dcgpofix, cependant cela ne me donne que le message d'erreur suivant :
Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
U:>dcgpofix
Utilitaire de restauration de la stratégie de groupe par défaut du système d'exploitation Microsoft Windows v5.1
Copyright (C) Microsoft Corporation. 1981-2003
Description : Recrée les objets de stratégie de groupe par défaut (GPO) pour un domaine
Syntaxe : DcGPOFix [/ignoreschema] [/Cible : Domain | DC | LES DEUX]
Cet utilitaire peut restaurer la Stratégie de Groupe par Défaut du Domaine ou la Stratégie de Groupe par Défaut des Contrôleurs de Domaine à l'état qui existe immédiatement après une installation propre. Vous devez être administrateur de domaine pour effectuer cette opération.
AVERTISSEMENT : VOUS PERDREZ TOUTES LES MODIFICATIONS APPORTÉES À CES GPO. CET UTILITAIRE EST DESTINÉ UNIQUEMENT À DES FINS DE RÉCUPÉRATION EN CAS DE CATASTROPHE.
La version du schéma de l'Annuaire Actif pour ce domaine, et la version prise en charge par cet outil ne correspondent pas. La GPO peut être restaurée en utilisant le paramètre /ignoreschema en ligne de commande. Cependant, il est recommandé d'essayer d'obtenir une version mise à jour de cet outil qui pourrait avoir une version mise à jour du schéma de l'Annuaire Actif. Restaurer une GPO avec un schéma incorrect peut entraîner un comportement imprévisible. La restauration a échoué. Voir les messages précédents pour plus de détails.
Comme d'habitude, s'il y a quelque chose d'important que j'ai omis et que je dois vous dire pour aider à résoudre ce problème, commentez et je l'inclurai.
Plus d'informations, car les commentaires sont limités à 600 caractères :
Je suis totalement capable d'accéder à \ourdomain\sysvol et \ourdomain.com\sysvol à la fois à partir des clients et du serveur. Le vrai problème que nous rencontrons est que sur le répertoire C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies sur le serveur AD principal, il n'y a pas de répertoire {6AC17...}. Point final. Il n'a pas du tout été répliqué. Je ne pense pas que quoi que ce soit se soit répliqué pour être honnête, car nous avons dû reconstruire entièrement les scripts de connexion et les GPO manuellement.
Je n'ai pas été celui qui a retiré l'ancien serveur Win2k, mais en regardant, le gars qui l'a fait a rencontré un problème et a dû saisir les rôles FSMO sur le nouveau système. Sysvol a dû être reconstruit manuellement si je me souviens bien, et NETLOGON n'est pas configuré exactement comme il faut, bien qu'il fonctionne, tout comme nos GPO actuelles moins celle qui semble être référencée quelque part mais n'existe pas.
Voici la liste des étapes que j'ai prises pour tenter de résoudre ce problème :
- J'ai cherché dans le répertoire C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies pour les fichiers, ils n'existent pas
- J'ai recherché les fichiers \ourdomain.com\sysvol et \ourdomain\sysvol, qui encore une fois, n'existent pas. Ces deux éléments me disent que la GPO n'existe tout simplement nulle part sur notre système.
- J'ai recherché l'ensemble du système de fichiers du serveur pour trouver quelque chose correspondant à 6AC1786C et n'ai rien trouvé sauf une ancienne sauvegarde datant de 6 ans provenant du serveur Windows 2000.
- J'ai tenté d'exécuter dcgpofix, seulement pour qu'il échoue en citant le fait que le type de schéma du domaine ne correspond pas au type de schéma de l'outil.
- J'ai exécuté dfsutil /PurgeMupCache qui n'a effectivement rien fait.
