Exécution d’une synchronisation sans autorité des données SYSVOL à l’aide de DFSR (Distributed File System Replication)

Important : Cet article s’applique uniquement si les données SYSVOL sont répliquées à l’aide de DFSR (Distributed File System Replication). Il s’agit de la méthode privilégiée pour répliquer les données SYSVOL depuis Windows Server 2008. Toutefois, il est possible que l’ancienne méthode, File Replication System (FRS), soit toujours utilisée si le domaine existe depuis longtemps. Pour déterminer si DFSR est en cours d’utilisation, exécutez dfsrmig /getmigrationstate à partir d’une invite de commande avec élévation de privilèges sur un contrôleur de domaine (DC). Si l’état de la migration est « Eliminated », DFSR est en cours d’utilisation.

La hiérarchie des dossiers SYSVOL, présente sur tous les contrôleurs de domaine Active Directory, est utilisée pour stocker deux ensembles de données importants :

• Fichiers de modèle de stratégie de groupe : Ils sont stockés dans des dossiers distincts sous \\SYSVOL\<domain>\Policies.
• Scripts de connexion, de déconnexion, de démarrage et d’arrêt utilisés par les machines du domaine : Ils sont stockés dans \\SYSVOL\<domain>\scripts. Le dossier de scripts est lui-même partagé en tant que NETLOGON.

Ces données sont répliquées entre les contrôleurs de domaine, mais la réplication SYSVOL s’effectue séparément de la réplication Active Directory. Il est possible que l’un échoue alors que l’autre est entièrement fonctionnel. Dans certaines situations, la réplication SYSVOL peut échouer et ne pas pouvoir reprendre sans intervention manuelle. Les étapes suivantes effectuent une synchronisation sans autorité de SYSVOL. Dans une synchronisation sans autorité, le contrôleur de domaine cible copie toutes les données SYSVOL à partir d’un autre contrôleur de domaine de l’environnement.

Important: Dans un domaine à dc unique, une synchronisation sans autorité ne peut jamais aboutir, car aucune autre copie des données SYSVOL n’existe. Dans ce cas, une synchronisation faisant autorité doit être effectuée à la place. Vous trouverez des instructions sur l’exécution d’une synchronisation autorisée dans Comment effectuer une synchronisation autorisée des données SYSVOL à l’aide de DFSR (Distributed File System Replication).

Avant de commencer cette procédure, assurez-vous qu’un autre contrôleur de domaine existe dans l’environnement et que sa copie des données SYSVOL est à jour. Cela implique de parcourir la hiérarchie des dossiers SYSVOL (située par défaut à %systemroot%\SYSVOL) pour vérifier les dates modifiées des fichiers de modèle de stratégie de groupe et des fichiers de script.

Pour effectuer une synchronisation sans autorité des données SYSVOL à l’aide de DFSR, procédez comme suit :

Remarque : Pour plus de simplicité, le contrôleur de domaine en cours de synchronisation sans autorité est appelé dc cible dans les étapes ci-dessous.

1. Sur un contrôleur de domaine, lancez la console de modification ADSI (adsiedit.msc).
2. Si le contexte de dénomination par défaut est déjà répertorié dans le volet de gauche, passez à l’étape suivante. Sinon, effectuez les étapes suivantes pour vous connecter au contexte de dénomination par défaut :
   1. Cliquez avec le bouton droit de la souris sur l’en-tête Modification ADSI dans le volet de gauche et sélectionnez Se connecter à... .
   2. Sélectionnez le bouton radio nommé Select a well known Naming Context et sélectionnez Default naming context dans la liste déroulante.
   3. Cliquez sur OK. Le contexte de dénomination par défaut doit désormais s’afficher dans le volet de gauche de la console.
3. Dans le contexte de dénomination par défaut, accédez à DC=domain > OU=Domain Controllers > CN=servername > CN=DFSR-LocalSettings > CN=Domain System Volume. Dans cette étape, servername représente le nom du contrôleur de domaine cible.
4. Cliquez avec le bouton droit de la souris sur CN=SYSVOL Subscription (Abonnement SYSVOL) et sélectionnez Properties (Propriétés).
5. Double-cliquez sur l’attribut msDFSR-Enabled et définissez sa valeur sur FALSE.
6. Cliquez sur OK pour fermer la fenêtre des propriétés, mais laissez la console ADSI Edit ouverte.
7. Cette étape n’est pas nécessaire si la modification ADSI a été lancée sur le contrôleur de domaine cible. Forcez la réplication Active Directory à l’échelle du domaine. Cela peut prendre un certain temps, en fonction de la taille et de la topologie de réplication du domaine.
8. Sur le contrôleur de domaine cible, exécutez dfsrdiag pollad à partir d’une invite de commande avec élévation de privilèges.
9. Sur le contrôleur de domaine cible, lancez l’Observateur d’événements et confirmez que le journal des événements de réplication DFS contient l’événement 4114. Cet événement indique que SYSVOL n’est plus répliqué.
10. Dans Modification ADSI, double-cliquez sur l’attribut msDFSR-Enabled de l’étape 5 et définissez sa valeur sur TRUE.
11. Cette étape n’est pas nécessaire si la modification ADSI a été lancée sur le contrôleur de domaine cible. Forcez la réplication Active Directory à l’échelle du domaine.
12. Sur le contrôleur de domaine cible, exécutez dfsrdiag pollad à partir d’une invite de commande avec élévation de privilèges.
13. Sur le contrôleur de domaine cible, vérifiez que les événements 4614 et 4604 s’affichent dans le journal des événements de réplication DFS. Ces événements indiquent que ce contrôleur de domaine a effectué une synchronisation sans autorité de SYSVOL.

Si la demande dfsrdiag pollad la commande n’est pas reconnue, vous disposez de deux options :

• Redémarrez le service de réplication DFS au lieu d’exécuter la commande. Si d’autres données (non SYSVOL) sont répliquées par DFSR, cela peut provoquer de brèves interruptions.
• Installez les outils de gestion DFS en sélectionnant Add Roles and Features (Ajouter des rôles et des fonctionnalités) dans le menu Manage (Gérer) du Server Manager (Gestionnaire de serveur). Les outils de gestion DFS se trouvent à l’emplacement indiqué ci-dessous.

Reportez-vous à cette vidéo :

vous pouvez également visionner cette vidéo sur YouTube .