Serveur d'impression

SYSVOL et stratégie de groupe désynchronisés sur les DC de serveur 2012 R2 à l'aide de DFSR – Serveur d’impression

Par Titanfall , le 15 octobre 2019 - 7 minutes de lecture

Récemment, en apportant des modifications à la stratégie de groupe, j’ai constaté une multitude de problèmes entre les clients qui n’acceptaient pas la stratégie. Cela m'a finalement amené à découvrir que deux des contrôleurs de domaine de cet environnement particulier ne se répliquaient pas correctement et entraînaient des partages SYSVOL incohérents.

Symptômes

Sur les clients, nous avons constaté les erreurs suivantes lors de l’exécution de la gpupdate commander:

gpupdate - Echec du traitement de la stratégie de groupe - Paramètres de stratégie basés sur le registre

Journaux de l'observateur d'événements

Nom du journal: Système
Source: Microsoft-Windows-GroupPolicy
Date: 25/07/2014 10:46:45
ID d'événement: 1096
Catégorie de tâche: Aucune
Niveau: erreur
Mots clés:
Utilisateur: SYSTEM
Ordinateur: mymachine.mydomain.local
La description:
Le traitement de la stratégie de groupe a échoué. Windows n'a pas pu appliquer les paramètres de stratégie basés sur le registre pour l'objet de stratégie de groupe LDAP: // CN = Machine, cn = CF25ED30-3895-4147-8EB7-38789553F6A0, cn = stratégies, cn = système, DC = mydomain, DC = local. Les paramètres de stratégie de groupe ne seront pas résolus jusqu'à ce que cet événement soit résolu. Affichez les détails de l'événement pour plus d'informations sur le nom de fichier et le chemin d'accès à l'origine de l'échec.

Sur les CD, nous avons assisté aux événements suivants à l’intérieur de Observateur d'événements -> Applications et journaux de service -> Réplication DFS

Nom du journal: Réplication DFS
Source: DFSR
Date: 25/07/2014 13:04:30
ID d'événement: 4612
Catégorie de tâche: Aucune
Niveau: erreur
Mots-clés: Classique
Utilisateur: N / A
Ordinateur: DC02.mydomain.local
La description:
Le service de réplication DFS a initialisé SYSVOL sur le chemin local C: Windows SYSVOL domain et attend la réplication initiale. Le dossier répliqué reste dans l'état de synchronisation initial jusqu'à ce qu'il ait été répliqué avec son partenaire DC01.mydomain.local. Si le serveur était en train d'être promu en tant que contrôleur de domaine, le contrôleur de domaine ne sera pas publié et ne fonctionnera pas en tant que contrôleur de domaine tant que ce problème n'est pas résolu. Cela peut se produire si le partenaire spécifié est également dans l'état de synchronisation initial ou si des violations de partage sont rencontrées sur ce serveur ou le partenaire de synchronisation. Si cet événement s'est produit lors de la migration de SYSVOL du service de réplication de fichiers vers la réplication DFS, les modifications ne seront pas répliquées tant que ce problème n'aura pas été résolu. Cela peut entraîner une désynchronisation du dossier SYSVOL sur ce serveur avec d'autres contrôleurs de domaine.

Information additionnelle:
Nom du dossier répliqué: Partage SYSVOL
ID de dossier répliqué: 2276C68D-BC24-46BF-B492-067919163EDA
Nom du groupe de réplication: Volume système du domaine
ID de groupe de réplication: D50C64AE-0A01-4F97-B838-069F0BCBE369
Numéro de membre: 7ADF2D7C-7947-412C-A619-C0C0D72F6A9C
Lecture seule: 0


Nom du journal: Réplication DFS
Source: DFSR
Date: 25/07/2014 13:04:30
ID d'événement: 5002
Catégorie de tâche: Aucune
Niveau: erreur
Mots-clés: Classique
Utilisateur: N / A
Ordinateur: DC02.mydomain.local
La description:
Le service de réplication DFS a rencontré une erreur de communication avec le partenaire DC01 pour le volume système du groupe de réplication.

Adresse DNS du partenaire: DC01.mydomain.local

Données facultatives si disponibles:
Adresse WINS du partenaire: DC01
Adresse IP du partenaire: 192.168.1.5

Le service réessayera la connexion périodiquement.

Information additionnelle:
Erreur: 1753 (Il n'y a plus de points de terminaison disponibles à partir du mappeur de points de terminaison.)
ID de connexion: D50C64AE-0A01-4F97-B838-069F0BCBE369
ID de groupe de réplication: 4DCE6A8E-6271-48B6-A0D0-5447718B8FAB

Solution

Nous avons fini par avoir à préformer manuellement une synchronisation en instance entre les deux contrôleurs. Comme vous le savez peut-être, DFSR n’utilise plus les mêmes étapes que FSR pour effectuer une synchronisation autoritive. Vous trouverez ci-dessous mes notes et expériences sur la réalisation d’une synchronisation DFSR autorisée. Vous pouvez trouver les notes ofificial de Microsoft ici: http://support.microsoft.com/kb/2218556/en-us

  1. Connectez-vous à votre DC principal
  2. Arrêtez le service de réplication DFS
    1. Clique sur le Le menu Démarrer, sélectionnez Outils administratifs, puis cliquez sur Prestations de servicePrestations de service
    2. Dans la colonne Nom, cliquez avec le bouton droit de la souris. Réplication DFS ou Netlogon, puis cliquez sur Arrêtez
  3. S'ouvrir ADSI Edit
    Gestionnaire de serveur - ADSI Edit
  4. Ouvrez le Contexte de nommage par défaut
    ADSI Edit - Connection Settings - Contexte de nommage par défaut
  5. Naviguez vers le suivant
    1. CN = abonnement SYSVOL, CN = volume du système de domaine, CN = DFSR-LocalSettings, CN =, OU = Contrôleurs de domaine, DC =
      ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine
  6. Remplacez les attributs suivants par les valeurs suivantes
    1. msDFSR-Enabled =FAUX
      msDFSR-options =1
      ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - msDFSR-Enabled - False
      Modification ADSI - Contexte de dénomination par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - msDFSR-Options - 1
      Les deux valeurs appliquées
      ADSI Edit - Contexte de dénomination par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - msDFSR-Options - msDFSR-Enabled
      1. Remarque: Si vous ne pouvez pas voir les options msDFSR, décochez Afficher uniquement les attributs ayant des valeurs
        ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - Afficher uniquement les attributs ayant des valeurs
  7. Sur le TOUT autres pays en développement, modifiez le msDFSR-Enabled attribuer à Faux
    ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - msDFSR-Enabled - False
  8. Forcer la réplication Active Directory dans tout le domaine (assurez-vous que tous les réponses de synchronisation se terminent sans erreur).
    1. repadmin / syncall nom_dc primaire / APed
      repadmin -syncall -aped
      1. REMARQUE: Voici une liste de ce que les commutateurs signifient
        1. / A: Perform / SyncAll pour tous les CN détenus par (ne tient pas compte )
        2. / P: Transférer les modifications du serveur hôte vers l'extérieur (par défaut: extraire les modifications)
        3. / e: Entreprise, sites croisés (par défaut: site d'accueil uniquement)
        4. / d: identifie les serveurs par DN dans les messages (au lieu de GUID DNS)
  9. Démarrer la sauvegarde du service DFSR sur le contrôleur de domaine faisant autorité
    1. Clique sur le Le menu Démarrer, sélectionnez Outils administratifs, puis cliquez sur Prestations de service
      Prestations de service
    2. Dans la colonne Nom, cliquez avec le bouton droit de la souris. Réplication DFS ou Netlogon, puis cliquez sur Début
  10. Ouvrez l'observateur d'événements et accédez à Journaux d'applications et de services -> Réplication DFS. Vérifiez que vous voyez l'ID d'événement 4114.
    Observateur d'événements - Journaux des applications et des services - Réplication DFS - Événement 4114
  11. Revenez à ce qui suit dans ADSI
      1. CN = abonnement SYSVOL, CN = volume du système de domaine, CN = DFSR-LocalSettings, CN =, OU = Contrôleurs de domaine, DC =
        ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine
  12. Définir la valeur de msDFSR-Enabled à VRAI
    ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - msDFSR-Enabled - True
  13. Exécutez les opérations suivantes via une invite de commande avec privilèges élevés
    1. POLLAD DFSRDIAG
      1. REMARQUE: C'est un utilitaire en dehors de DFS Managment Tools. J'ai terminé le guide avec succès sans exécuter cette commande, mais Microsoft vous recommande de l'exécuter.
  14. Forcer la réplication Active Directory dans tout le domaine
    1. repadmin / syncall nom_dc primaire / APed
      repadmin -syncall -aped
  15. Attendez quelques minutes et vous devriez voir Event ID 2002 et 4602
    Observateur d'événements - Journaux des applications et des services - Réplication DFS - Événement 4602 - Événement 2002
  16. Revenez à chacun de vos contrôleurs de domaine secondaires et modifiez la valeur de msDFSR-Enabled à VRAI
    ADSI Edit - Contexte de nommage par défaut - Contrôleurs de domaine - DC01 - DFSR-LocalSettings - Volume système du domaine - msDFSR-Enabled - True
  17. Exécutez les opérations suivantes via une invite de commande avec privilèges élevés
    1. POLLAD DFSRDIAG
      1. REMARQUE: C'est un utilitaire en dehors de DFS Managment Tools. J'ai terminé le guide avec succès sans exécuter cette commande, mais Microsoft vous recommande de l'exécuter. Forcer la réplication Active Directory dans tout le domaine
  18. Vérifiez que vous voyez l'ID d'événement 2002 et 4602 sur chacun des CD secondaires
    Observateur d'événements - Journaux des applications et des services - Réplication DFS - Événement 4602 - Événement 2002

À ce stade, essayez d’exécuter une commande gpupdate sur votre client. Si tout s'est bien passé, chacun de vos dossiers SYSVOL partagés sur vos contrôleurs de domaine doit contenir le même nombre de stratégies et votre client doit réussir à extraire toutes les stratégies.

gpupdate - succès

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.