Windows Server: Durchführen einer nicht autorisierenden Synchronisierung von SYSVOL-Daten mithilfe der verteilten Dateisystemreplikation

Die SYSVOL-Ordnerhierarchie, die auf allen Active Directory-Domänencontrollern vorhanden ist, wird zum Speichern von zwei wichtigen Datensätzen verwendet:

• Vorlagendateien für Gruppenrichtlinien: Diese werden in separaten Ordnern gespeichert unter \\SYSVOL\<domain>\Policieszurücksetzen.
• Skripte zum Anmelden, Abmelden, Starten und Herunterfahren, die von Computern in der Domäne verwendet werden: Diese werden gespeichert in \\SYSVOL\<domain>\scriptszurücksetzen. Der Skriptordner selbst wird als NETLOGON freigegeben.

Diese Daten werden zwischen Domänencontrollern repliziert, aber die SYSVOL-Replikation erfolgt separat von der Active Directory-Replikation. Es ist möglich, dass eine ausfällt, während die andere voll funktionsfähig ist. In einigen Situationen kann die SYSVOL-Replikation fehlschlagen und kann ohne manuelle Intervention nicht fortgesetzt werden. Mit den folgenden Schritten wird eine nicht autorisierende Synchronisierung von SYSVOL durchgeführt. Bei einer nicht autorisierenden Synchronisierung kopiert der Ziel-DC alle SYSVOL-Daten von einem anderen DC in der Umgebung.
Bevor Sie mit diesem Verfahren beginnen, stellen Sie sicher, dass ein anderer DC in der Umgebung vorhanden ist und dass dessen Kopie der SYSVOL-Daten auf dem neuesten Stand ist. Dazu gehört das Durchsuchen der SYSVOL-Ordnerhierarchie (standardmäßig unter %systemroot%\SYSVOL), um die geänderten Daten von Gruppenrichtlinienvorlagendateien und Skriptdateien zu überprüfen.

Gehen Sie folgendermaßen vor, um eine nicht autorisierende Synchronisierung von SYSVOL-Daten mithilfe von DFSR durchzuführen:
 

1. Starten Sie auf einem DC die ADSI-Bearbeitungskonsole (adsiedit.msc).
2. Wenn Standard-Namenskontext bereits im linken Fensterbereich aufgeführt ist, fahren Sie mit dem nächsten Schritt fort. Führen Sie andernfalls die folgenden Schritte aus, um eine Verbindung mit dem Standardnamenskontext herzustellen:
   1. Klicken Sie mit der rechten Maustaste auf die Kopfzeile ADSI Edit im linken Fensterbereich und wählen Sie Verbinden mit... aus. zurücksetzen.
   2. Aktivieren Sie das Optionsfeld mit der Bezeichnung Bekannten Namenskontext auswählen und wählen Sie Standardmäßiger Namenskontext aus der Dropdown-Liste aus.
   3. Klicken Sie auf OK. Der Standard-Namenskontext sollte jetzt im linken Bereich der Konsole angezeigt werden.
3. Navigieren Sie im Standardnamenskontext zu DC=domain >OU=Domain Controllers>CN=servername >CN=DFSR-LocalSettings>CN=Domain System Volume. In diesem Schritt stellt servernameden Namen des Ziel-DC dar.
4. Klicken Sie mit der rechten Maustaste auf CN=SYSVOL-Abonnement , und wählen Sie Eigenschaften aus.
5. Doppelklicken Sie auf das Attribut msDFSR-Enabled und legen Sie seinen Wert auf FALSE fest.
6. Klicken Sie auf OK , um das Eigenschaftenfenster zu schließen, aber die ADSI-Bearbeitungskonsole geöffnet zu lassen.
7. Dieser Schritt ist nicht erforderlich, wenn ADSI Edit auf dem Ziel-DC gestartet wurde. Erzwingen Sie die domänenweite Active Directory-Replikation. Dies kann je nach Größe und Replikationstopologie der Domain einige Zeit in Anspruch nehmen.
8. Führen Sie auf dem Ziel-DC Folgendes aus: dfsrdiag pollad über eine Eingabeaufforderung mit erhöhten Rechten.
9. Starten Sie auf dem Ziel-DC die Ereignisanzeige und vergewissern Sie sich, dass das DFS-Replikationsereignisprotokoll das Ereignis 4114 enthält. Dieses Ereignis weist darauf hin, dass SYSVOL nicht mehr repliziert wird.
10. Doppelklicken Sie in ADSI Edit auf das Attribut msDFSR-Enabled aus Schritt 5 und legen Sie seinen Wert auf TRUE fest.
11. Dieser Schritt ist nicht erforderlich, wenn ADSI Edit auf dem Ziel-DC gestartet wurde. Erzwingen Sie die domänenweite Active Directory-Replikation.
12. Führen Sie auf dem Ziel-DC Folgendes aus: dfsrdiag pollad über eine Eingabeaufforderung mit erhöhten Rechten.
13. Vergewissern Sie sich auf dem Ziel-DC, dass die Ereignisse 4614 und 4604 im DFS-Replikationsereignisprotokoll angezeigt werden. Diese Ereignisse weisen darauf hin, dass dieser DC eine nicht autorisierende Synchronisierung von SYSVOL durchgeführt hat.

Wenn die dfsrdiag pollad nicht erkannt wird, haben Sie zwei Möglichkeiten:

• Starten Sie den DFS-Replikationsservice neu, anstatt den Befehl auszuführen. Wenn andere (Nicht-SYSVOL-)Daten von DFSR repliziert werden, kann dies zu kurzen Unterbrechungen führen.
• Installieren Sie die DFS-Managementtools, indem Sie im Menü "Verwalten" des Server-Managers die Option "Rollen und Features hinzufügen" auswählen. Die DFS-Managementtools befinden sich an dem unten genannten Speicherort.

 

In diesem Video finden Sie eine Demonstration:

 

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360, PowerEdge R440 , PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less