Durchführen einer nicht autorisierenden Synchronisierung von SYSVOL-Daten mithilfe der verteilten Dateisystemreplikation (DFSR)

Wichtig: Dieser Artikel gilt nur, wenn SYSVOL-Daten mit dfsr (Distributed File System Replication) repliziert werden. Dies ist seit Windows Server 2008 die bevorzugte Methode zur Replikation von SYSVOL-Daten. Es ist jedoch möglich, dass die ältere Methode, File Replication System (FRS), weiterhin verwendet wird, wenn die Domain schon lange existiert. Um festzustellen, ob DFSR verwendet wird, führen Sie dfsrmig /getmigrationstate über eine Eingabeaufforderung mit erhöhten Rechten auf einem Domänencontroller (DC). Wenn der Migrationsstatus "Eliminiert" lautet, wird DFSR verwendet.

Die SYSVOL-Ordnerhierarchie, die auf allen Active Directory-Domain-Controllern vorhanden ist, wird verwendet, um zwei wichtige Datensätze zu speichern:

• Gruppenrichtlinienvorlagendateien: Diese werden in separaten Ordnern unter \\SYSVOL\<domain>\Policies gespeichert.
• Skripte zum Anmelden, Abmelden, Starten und Herunterfahren, die von Computern in der Domäne verwendet werden: Diese werden in \\SYSVOL\domain>\<scripts gespeichert. Der Ordner "Scripts" wird selbst als NETLOGON freigegeben.

Diese Daten werden auf Domänencontrollern repliziert, aber die SYSVOL-Replikation erfolgt separat von der Active Directory-Replikation. Es ist möglich, dass einer ausfällt, während der andere voll funktionsfähig ist. In einigen Situationen kann die SYSVOL-Replikation fehlschlagen und ohne manuelle Intervention nicht fortgesetzt werden. Die folgenden Schritte führen eine nicht autorisierende Synchronisierung von SYSVOL durch. In einer nicht autorisierenden Synchronisierung kopiert der Ziel-DC alle SYSVOL-Daten von einem anderen DC in der Umgebung.

Wichtig: In einer Single-DC-Domain kann eine nicht autorisierende Synchronisierung nie erfolgreich sein, da keine andere Kopie der SYSVOL-Daten vorhanden ist. In dieser Situation sollte stattdessen eine autorisierende Synchronisierung durchgeführt werden. Anweisungen zum Durchführen einer autorisierenden Synchronisierung finden Sie unter Durchführen einer autorisierenden Synchronisierung von SYSVOL-Daten mit dfsr (Distributed File System Replication).

Bevor Sie mit diesem Verfahren beginnen, stellen Sie sicher, dass ein anderer DC in der Umgebung vorhanden ist und dass die Kopie der SYSVOL-Daten auf dem neuesten Stand ist. Dazu gehört das Durchsuchen der SYSVOL-Ordnerhierarchie (standardmäßig unter %systemroot%\SYSVOL) zur Überprüfung der geänderten Daten von Gruppenrichtlinienvorlagendateien und Skriptdateien.

Gehen Sie folgendermaßen vor, um eine nicht autorisierende Synchronisierung von SYSVOL-Daten unter Verwendung von DFSR durchzuführen:

Hinweis: Der Einfachheit halber wird der DC, der die nicht autorisierende Synchronisierung durchläuft, in den folgenden Schritten als Ziel-DC bezeichnet.

1. Starten Sie auf einem Domänencontroller die ADSI-Bearbeitungskonsole (adsiedit.msc).
2. Wenn der Standardbenennungskontext bereits im linken Fensterbereich aufgeführt ist, fahren Sie mit dem nächsten Schritt fort. Führen Sie andernfalls die folgenden Schritte aus, um eine Verbindung zum standardmäßigen Namenskontext herzustellen:
   1. Klicken Sie mit der rechten Maustaste auf die ADSI-Bearbeitungskopfzeile im linken Fensterbereich und wählen Sie Verbinden mit... aus. .
   2. Wählen Sie die Optionsschaltfläche Namenskontext auswählen aus und wählen Sie Standardbenennungskontext aus der Drop-down-Liste aus.
   3. Klicken Sie auf OK. Der Standardbenennungskontext sollte nun im linken Bereich der Konsole angezeigt werden.
3. Navigieren Sie im standardmäßigen Namenskontext zu DC=domain > OU=Domain Controllers > CN=servername > CN=DFSR-LocalSettings > CN=Domain System Volume. In diesem Schritt steht der Servername für den Namen des Ziel-DC.
4. Klicken Sie mit der rechten Maustaste auf CN=SYSVOL Subscription und wählen Sie Properties aus.
5. Doppelklicken Sie auf das Attribut msDFSR-Enabled und legen Sie seinen Wert auf FALSE fest.
6. Klicken Sie auf OK, um das Eigenschaftenfenster zu schließen, lassen Sie die ADSI-Bearbeitungskonsole jedoch geöffnet.
7. Dieser Schritt ist nicht erforderlich, wenn ADSI Edit auf dem Ziel-DC gestartet wurde. Erzwingen der domainweiten Active Directory-Replikation Dies kann je nach Größe und Replikationstopologie der Domain einige Zeit dauern.
8. Führen Sie auf dem Ziel-DC folgende Schritte aus: dfsrdiag pollad über eine Eingabeaufforderung mit erhöhten Rechten.
9. Starten Sie auf dem Ziel-DC die Ereignisanzeige und vergewissern Sie sich, dass das DFS-Replikationsereignisprotokoll das Ereignis 4114 enthält. Dieses Ereignis weist darauf hin, dass SYSVOL nicht mehr repliziert wird.
10. Doppelklicken Sie in ADSI Edit auf das Attribut msDFSR-Enabled aus Schritt 5 und setzen Sie seinen Wert auf TRUE.
11. Dieser Schritt ist nicht erforderlich, wenn ADSI Edit auf dem Ziel-DC gestartet wurde. Erzwingen der domainweiten Active Directory-Replikation
12. Führen Sie auf dem Ziel-DC folgende Schritte aus: dfsrdiag pollad über eine Eingabeaufforderung mit erhöhten Rechten.
13. Bestätigen Sie auf dem Ziel-DC, dass die Ereignisse 4614 und 4604 im DFS-Replikationsereignisprotokoll angezeigt werden. Diese Ereignisse weisen darauf hin, dass dieser Domänencontroller eine nicht autorisierende Synchronisierung von SYSVOL durchgeführt hat.

Wenn die dfsrdiag pollad Der Befehl wird nicht erkannt. Sie haben zwei Optionen:

• Starten Sie den DFS-Replikationsservice neu, anstatt den Befehl auszuführen. Wenn andere (Nicht-SYSVOL)-Daten von DFSR repliziert werden, kann dies zu kurzen Unterbrechungen führen.
• Installieren Sie die DFS-Managementtools, indem Sie im Menü Verwalten von Server Manager Rollen und Funktionen hinzufügen auswählen. Die DFS-Managementtools finden Sie an der unten aufgeführten Stelle.

Weitere Informationen finden Sie in diesem Video:

Sie können dieses Video auch auf YouTube anzeigen.