SYSVOL et stratégie de groupe désynchronisés sur les DC de serveur 2012 R2 à l'aide de DFSR – Serveur d’impression

Récemment, en apportant des modifications à la stratégie de groupe, j’ai constaté une multitude de problèmes entre les clients qui n’acceptaient pas la stratégie. Cela m'a finalement amené à découvrir que deux des contrôleurs de domaine de cet environnement particulier ne se répliquaient pas correctement et entraînaient des partages SYSVOL incohérents. Symptômes Sur les clients, nous avons constaté les erreurs suivantes lors de l’exécution de la gpupdate commander:

Journaux de l'observateur d'événements Nom du journal: SystèmeSource: Microsoft-Windows-GroupPolicyDate: 25/07/2014 10:46:45ID d'événement: 1096Catégorie de tâche: AucuneNiveau: erreurMots clés: Utilisateur: SYSTEMOrdinateur: mymachine.mydomain.localLa description:Le traitement de la stratégie de groupe a échoué. Windows n'a pas pu appliquer les paramètres de stratégie basés sur le registre pour l'objet de stratégie de groupe LDAP: // CN = Machine, cn = CF25ED30-3895-4147-8EB7-38789553F6A0, cn = stratégies, cn = système, DC = mydomain, DC = local. Les paramètres de stratégie de groupe ne seront pas résolus jusqu'à ce que cet événement soit résolu. Affichez les détails de l'événement pour plus d'informations sur le nom de fichier et le chemin d'accès à l'origine de l'échec.

Sur les CD, nous avons assisté aux événements suivants à l’intérieur de Observateur d'événements -> Applications et journaux de service -> Réplication DFS

Nom du journal: Réplication DFSSource: DFSRDate: 25/07/2014 13:04:30ID d'événement: 4612Catégorie de tâche: AucuneNiveau: erreurMots-clés: ClassiqueUtilisateur: N / AOrdinateur: DC02.mydomain.localLa description:Le service de réplication DFS a initialisé SYSVOL sur le chemin local C: Windows SYSVOL domain et attend la réplication initiale. Le dossier répliqué reste dans l'état de synchronisation initial jusqu'à ce qu'il ait été répliqué avec son partenaire DC01.mydomain.local. Si le serveur était en train d'être promu en tant que contrôleur de domaine, le contrôleur de domaine ne sera pas publié et ne fonctionnera pas en tant que contrôleur de domaine tant que ce problème n'est pas résolu. Cela peut se produire si le partenaire spécifié est également dans l'état de synchronisation initial ou si des violations de partage sont rencontrées sur ce serveur ou le partenaire de synchronisation. Si cet événement s'est produit lors de la migration de SYSVOL du service de réplication de fichiers vers la réplication DFS, les modifications ne seront pas répliquées tant que ce problème n'aura pas été résolu. Cela peut entraîner une désynchronisation du dossier SYSVOL sur ce serveur avec d'autres contrôleurs de domaine. Information additionnelle: Nom du dossier répliqué: Partage SYSVOL ID de dossier répliqué: 2276C68D-BC24-46BF-B492-067919163EDA Nom du groupe de réplication: Volume système du domaine ID de groupe de réplication: D50C64AE-0A01-4F97-B838-069F0BCBE369 Numéro de membre: 7ADF2D7C-7947-412C-A619-C0C0D72F6A9C Lecture seule: 0

Nom du journal: Réplication DFSSource: DFSRDate: 25/07/2014 13:04:30ID d'événement: 5002Catégorie de tâche: AucuneNiveau: erreurMots-clés: ClassiqueUtilisateur: N / AOrdinateur: DC02.mydomain.localLa description:Le service de réplication DFS a rencontré une erreur de communication avec le partenaire DC01 pour le volume système du groupe de réplication. Adresse DNS du partenaire: DC01.mydomain.local Données facultatives si disponibles: Adresse WINS du partenaire: DC01 Adresse IP du partenaire: 192.168.1.5 Le service réessayera la connexion périodiquement. Information additionnelle: Erreur: 1753 (Il n'y a plus de points de terminaison disponibles à partir du mappeur de points de terminaison.) ID de connexion: D50C64AE-0A01-4F97-B838-069F0BCBE369 ID de groupe de réplication: 4DCE6A8E-6271-48B6-A0D0-5447718B8FAB

Solution Nous avons fini par avoir à préformer manuellement une synchronisation en instance entre les deux contrôleurs. Comme vous le savez peut-être, DFSR n’utilise plus les mêmes étapes que FSR pour effectuer une synchronisation autoritive. Vous trouverez ci-dessous mes notes et expériences sur la réalisation d’une synchronisation DFSR autorisée. Vous pouvez trouver les notes ofificial de Microsoft ici: http://support.microsoft.com/kb/2218556/en-us

Connectez-vous à votre DC principal Arrêtez le service de réplication DFS

Clique sur le Le menu Démarrer, sélectionnez Outils administratifs, puis cliquez sur Prestations de service Dans la colonne Nom, cliquez avec le bouton droit de la souris. Réplication DFS ou Netlogon, puis cliquez sur Arrêtez

S'ouvrir ADSI Edit Ouvrez le Contexte de nommage par défaut Naviguez vers le suivant

CN = abonnement SYSVOL, CN = volume du système de domaine, CN = DFSR-LocalSettings, CN =, OU = Contrôleurs de domaine, DC =

Remplacez les attributs suivants par les valeurs suivantes

msDFSR-Enabled =FAUXmsDFSR-options =1Les deux valeurs appliquées

Remarque: Si vous ne pouvez pas voir les options msDFSR, décochez Afficher uniquement les attributs ayant des valeurs

Sur le TOUT autres pays en développement, modifiez le msDFSR-Enabled attribuer à Faux Forcer la réplication Active Directory dans tout le domaine (assurez-vous que tous les réponses de synchronisation se terminent sans erreur).

repadmin / syncall nom_dc primaire / APed

REMARQUE: Voici une liste de ce que les commutateurs signifient

/ A: Perform / SyncAll pour tous les CN détenus par (ne tient pas compte ) / P: Transférer les modifications du serveur hôte vers l'extérieur (par défaut: extraire les modifications) / e: Entreprise, sites croisés (par défaut: site d'accueil uniquement) / d: identifie les serveurs par DN dans les messages (au lieu de GUID DNS)

Démarrer la sauvegarde du service DFSR sur le contrôleur de domaine faisant autorité

Clique sur le Le menu Démarrer, sélectionnez Outils administratifs, puis cliquez sur Prestations de service Dans la colonne Nom, cliquez avec le bouton droit de la souris. Réplication DFS ou Netlogon, puis cliquez sur Début

Ouvrez l'observateur d'événements et accédez à Journaux d'applications et de services -> Réplication DFS. Vérifiez que vous voyez l'ID d'événement 4114. Revenez à ce qui suit dans ADSI

CN = abonnement SYSVOL, CN = volume du système de domaine, CN = DFSR-LocalSettings, CN =, OU = Contrôleurs de domaine, DC =

Définir la valeur de msDFSR-Enabled à VRAI Exécutez les opérations suivantes via une invite de commande avec privilèges élevés

POLLAD DFSRDIAG

REMARQUE: C'est un utilitaire en dehors de DFS Managment Tools. J'ai terminé le guide avec succès sans exécuter cette commande, mais Microsoft vous recommande de l'exécuter.

Forcer la réplication Active Directory dans tout le domaine

repadmin / syncall nom_dc primaire / APed

Attendez quelques minutes et vous devriez voir Event ID 2002 et 4602 Revenez à chacun de vos contrôleurs de domaine secondaires et modifiez la valeur de msDFSR-Enabled à VRAI Exécutez les opérations suivantes via une invite de commande avec privilèges élevés

POLLAD DFSRDIAG

REMARQUE: C'est un utilitaire en dehors de DFS Managment Tools. J'ai terminé le guide avec succès sans exécuter cette commande, mais Microsoft vous recommande de l'exécuter. Forcer la réplication Active Directory dans tout le domaine

Vérifiez que vous voyez l'ID d'événement 2002 et 4602 sur chacun des CD secondaires

À ce stade, essayez d’exécuter une commande gpupdate sur votre client. Si tout s'est bien passé, chacun de vos dossiers SYSVOL partagés sur vos contrôleurs de domaine doit contenir le même nombre de stratégies et votre client doit réussir à extraire toutes les stratégies.

Click to rate this post! [Total: 0 Average: 0]