正如标题所示,我基本上完蛋了。在这一切发生之前,我遇到了一个问题:我的组策略无法从 PDC 复制到其他 DC。我有三个 DC 在生产中。
如您所见,12 月 22 日在 PDC 中创建的策略编号 (78B9346A) 未复制到其他两个 DC。我还在 DC1 的 Sysvol 文件夹中创建了一个测试文件,但它没有复制到其他 DC。您可以在下图中看到这一点:
在复制问题出现之前,我的所有 Dc 都在运行 Windows Server 2008 R2。现在它们正在运行 Windows Server 2012。它们已升级,除复制外,一切运行正常。我在 PDC 上安装了 DFS 角色。当我查看域系统卷的复制组设置时,它包括其中一个已退役的 Dc 作为成员。我认为这导致了复制问题。我尝试编辑复制组,但无法编辑,因此我删除并尝试重新创建它。这时所有问题都出现了。当我重新创建该组时:
我开始获取事件 ID 6410 和 6002。
事件 6410 表示:DFS 复制服务无法初始化已复制文件夹 C:\Windows\SYSVOL\domain,因为该服务检测到其工作文件夹之一与 Windows 系统文件夹重叠。这是不受支持的配置。
事件 6002 表示:DFS 复制服务在轮询配置信息时检测到无效的 msDFSR-Subscriber 对象数据。我返回 DFS 管理并运行诊断报告,并收到以下错误:
现在,我不知道下一步该做什么以及如何启动和运行复制。我环境中的某些计算机收到了策略,而有些则没有。我非常感谢任何能帮助我解决这个问题的帮助。我没有备份,所以我可以执行权威恢复。提前感谢任何回复,如果我把这篇文章发错了地方,我很抱歉。
答案1
您必须使用 Ldifde 重新创建CN=Domain System Volume。从另一个域控制器导出CN=Domain System Volume,然后修改导出文件以匹配缺少域系统卷的 DC 的名称并重新导入它。
查看 ADSIEdit 来了解我在说什么:
出口:
LDIFDE –f output.txt –d "CN=Domain System Volume,CN=DFSR-LocalSettings,CN=AnotherDC,OU=Domain Controllers,DC=dom,DC=com" –p base
然后更改导出的文件 - 更新dn:(可分辨名称)和,msDFSR-MemberReference以便dn:对应于缺少的域控制器CN=Domain System Volume,并且msDFSR-MemberReference指的是CN=AnotherDC,DC=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=domain,DC=com
然后将其重新导入Ldifde -i -f import.txt
希望有所帮助。Ldifde 是重新创建域系统卷订阅的唯一方法。如果没有任何您的 DC 有域系统卷对象……那么您就完蛋了。这就是我们备份东西的原因。(不要使用 DFSR 管理 GUI 来处理 Sysvol。)
答案2
我遇到了类似的情况并发现本指南很有帮助。https://community.spiceworks.com/how_to/160786-how-to-re-build-sysvol-dfsr-replication-group-without-demoting-promoting-dc。它利用 dcpromo 操作中使用的进程为 SYSVOL 目录重新创建 DFS 复制组。
- 备份!
- 停止所有 DC 上的 DFSR 服务,确保在 DFS 管理中的所有 DC 上删除针对 SYSVOL 共享的所有现有 DFS 组
- 打开
ADSI Edit - 如果您没有在左侧窗格中看到您的域名,请转到
Action>Connect to...。您应该会看到一个包含一些默认连接信息的窗口。对我来说,默认信息是正确的,所以我点击了OK - 展开您的域的树并查找
OU=Domain Controllers - 展开每个域控制器并找到
CN=DFSR-LocalSettings - 假设您没有与这些 DC 关联的任何其他 DFS 组,请删除
CN=DFSR-LocalSettings文件夹中的所有内容 - 返回左侧窗格中的域并找到
CN=Systems>CN=DFSR-GlobalSettings并删除任何不是活动 DFS 组的子文件夹。删除前请验证! - 强制复制到所有 DC。
repadmin /syncall /AdeP运行全部DCs。从AFSI Edit其他 DC 上验证更改是否可见。 - 在您的主 DC用 替换您的 AD 域名
<your ad domain>。
# Create the key below
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DFSR\Parameters\SysVols\Promoting SysVols
# Add the following DWORD32 entry
Sysvol Information is Committed=1
# Create the key below
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DFSR\Parameters\SysVols\Promoting SysVols\<your ad domian>
# Create the following DWORD32 entry
Is Primary=1
# Create the following string entries
Command=DcPromo
Parent Computer=
Replicated Folder Name=<your ad domain>
Replicated Folder Root=C:\Windows\SYSVOL\Domain
Replicated Folder Root Set=C:\Windows\SYSVOL\sysvol\<your ad domain>
Replicated Folder Stage=C:\Windows\SYSVOL\staging areas\<your ad domain>
Replication Group Name=<your ad domain>
Replication Group Type=Domain
- 在主 DC 上启动 DFSR 服务并等待一两分钟以启动它。
- 如果成功,您创建的注册表项应该会消失。相反,您应该看到以下键
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DFSR\Parameters\SysVols\Seeding Sysvols - 检查 DC 中的条目
AFSI Edit。您还应该在> > > >下看到主 DCCN=Domain System VolumeDFSR-LocalSettingsCN=SystemCN=DFSR-GlobalSettingsCN=Domain System VolumeCN=TopologyCN=<your primary dc> - 再次在所有 DC 上强制同步
repadmin /syncall /AdeP - 逐个遍历每个 DC 并添加以下注册表项
# Create the key below
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DFSR\Parameters\SysVols\Promoting SysVols
# Add the following DWORD32 entry
Sysvol Information is Committed=1
# Create the key below
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DFSR\Parameters\SysVols\Promoting SysVols\<your ad domian>
# Create the following DWORD32 entry
Is Primary=0
# Create the following string entries
Command=DcPromo
Parent Computer=<your primary dc>
Replicated Folder Name=<your ad domain>
Replicated Folder Root=C:\Windows\SYSVOL\Domain
Replicated Folder Root Set=C:\Windows\SYSVOL\sysvol\<your ad domain>
Replicated Folder Stage=C:\Windows\SYSVOL\staging areas\<your ad domain>
Replication Group Name=<your ad domain>
Replication Group Type=Domain
- 启动 DFSR 服务
- 再次强制复制
repadmin /syncall /AdeP AFSI Edit在主 DC 上检查 DC 中的CN=Domain System Volume条目DFSR-LocalSettings。您还应该在CN=System>CN=DFSR-GlobalSettings>CN=Domain System Volume>CN=Topology>下看到 DCCN=<your dc>- 检查 DFS 管理是否正常工作。健康的 DFS 管理视图应如下所示
在每个 DC 上重复步骤 15-18 后,您的环境应该可以正常工作。您可能需要等待几分钟才能同步所有内容。
感谢ZooM_00Spiceworks 为我指明正确的方向!