Microsoft lance une alerte auprès des administrateurs IT pour évoquer un problème spécifique aux environnements où il y a un contrôleur de domaine sous Windows Server 2025 et un serveur de messagerie Exchange. Voici ce qu’il faut savoir.
Attention avant d’installer une CU Exchange
Avant d’envisager l’installation d’une prochaine mise à jour cumulative (CU) d’Exchange Server, comme Exchange 2019 CU15, il est préférable de prendre connaissance ce problème signalé par Microsoft. Le problème survient dans un cas bien précis : lorsque le rôle FSMO “Contrôleur de schéma” est détenu par un serveur sous Windows Server 2025.
Microsoft explique que le bug se manifeste par la création de doublons dans les valeurs d’attributs du schéma après l’installation de la mise à jour d’Exchange. Ce bug a pour conséquence d’entraîner des échecs de réplication de l’annuaire Active Directory.
Les contrôleurs de domaine Active Directory (DC) exécutant Windows Server 2025 et assumant également le rôle FSMO « schema master » permettront des entrées dupliquées dans les attributs des objets de schéma. Les attributs couramment affectés incluent auxiliaryClass, possSuperiors et mayContain, avec des valeurs telles que msExchBaseClass, msExchContainer et msExchVirtualDirectoryFlags.”, précise Microsoft.
Les erreurs sont visibles avec les outils habituels, notamment la commande repadmin /showrepl ainsi que dans les journaux de la machine :
Erreur 8418 : “The replication operation failed because of a schema mismatch between the servers involved.” (L’opération de réplication a échoué en raison d’une incohérence de schéma entre les serveurs impliqués.)
Avertissement 1203 (NTDS Replication) : “The local domain controller could not replicate the following object from the source domain controller at the following network address because of an Active Directory schema mismatch.” (Le contrôleur de domaine local n’a pas pu répliquer l’objet suivant depuis le contrôleur de domaine source à l’adresse réseau suivante en raison d’une incohérence de schéma Active Directory.)
On pourrait penser que ce problème soit directement lié à la mise à jour de septembre 2025 pour Windows Server 2025, à savoir la KB5065426. En effet, il est référencé en tant que problème connu sur la page dédiée à cette mise à jour. Pour autant, Microsoft précise : “Ce problème semble exister depuis la version initiale de Windows Server 2025, mais les récentes mises à jour cumulatives d’Exchange Server (pour Exchange Server SE) l’ont révélé.”
Comment éviter et résoudre le problème ?
Pour l’heure, il n’existe pas de correctif… Dans l’immédiat, Microsoft recommande surtout de ne pas utiliser Windows Server 2025 comme maître FSMO pour le rôle lié au schéma avant d’appliquer une CU d’Exchange Server. Autrement dit, les contrôleurs de domaine sous Windows Server 2025 peuvent être présent dans votre infrastructure, mais ce rôle FSMO doit être attribué à une machine avec une version différente de l’OS.
“Si vous êtes déjà confronté à ce problème, l’équipe d’assistance Windows dispose d’une procédure qui permettra à la réplication AD de se poursuivre, mais une intervention manuelle (modification du schéma) pourrait s’avérer nécessaire. Veuillez ouvrir un ticket de support auprès de l’équipe Windows Active Directory si vous êtes déjà concerné par ce problème.”, précise Microsoft. Le site de support précise par ailleurs qu’une suppression des entrées dupliquées est nécessaire.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.