Erzwingen der autorisierenden und nicht autorisierenden Synchronisierung für die vom DFSR replizierte sysvol-Replikation

In diesem Artikel wird das Erzwingen einer autorisierenden und nicht autorisierenden Synchronisierung für die von DFSR replizierte sysvol-Replikation erläutert.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   2218556

Zusammenfassung

Stellen Sie sich folgendes Szenario vor:

Sie möchten die nicht autorisierende Synchronisierung der sysvol-Replikation auf einem Domänencontroller (DC) erzwingen. Im Dateireplikationsdienst (File Replication Service, FRS) wurde er über die D2- und D4-Datenwerte für die Registrierungswerte gesteuert, aber diese Werte sind für den Bur Flags DFSR (Distributed File System Replication)-Dienst nicht vorhanden. Sie können dazu nicht das DFS-Verwaltungs-Snap-In (Dfsmgmt.msc) oder das Dfsradmin.exe-Befehlszeilentool verwenden. Im Gegensatz zu benutzerdefinierten replizierten DFSR-Ordnern ist die sysvol-Replikation absichtlich vor jeder Bearbeitung über die Verwaltungsschnittstellen geschützt, um Einedigungen zu verhindern.

Durchführen einer nicht autorisierenden Synchronisierung der dfsr-replizierten sysvol-Replikation (z. B. D2 für FRS)

  1. Im ADSIEDIT. Msc-Tool, ändern Sie den folgenden Distinguished Name (DN)-Wert und das Attribut auf jedem DOmänencontroller( DCs), den Sie nicht autorisieren möchten:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=FALSE
    
  2. Erzwingen Sie die Active Directory-Replikation in der gesamten Domäne.

  3. Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf denselben Servern aus, die Sie als nicht autorisierend festgelegt haben:

    DFSRDIAG POLLAD
    
  4. Sie sehen die Ereignis-ID 4114 im DFSR-Ereignisprotokoll, das angibt, dass die sysvol-Replikation nicht mehr repliziert wird.

  5. Legen Sie auf demselben DN aus Schritt 1 msDFSR-Enabled=TRUE .

  6. Erzwingen Sie die Active Directory-Replikation in der gesamten Domäne.

  7. Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf denselben Servern aus, die Sie als nicht autorisierend festgelegt haben:

    DFSRDIAG POLLAD
    
  8. Sie sehen die Ereignis-ID 4614 und 4604 im DFSR-Ereignisprotokoll, die angeben, dass die sysvol-Replikation initialisiert wurde. Dieser Domänencontroller hat nun eine D2 der sysvol-Replikation durchgeführt.

Durchführen einer autorisierenden Synchronisierung der dfsr-replizierten sysvol-Replikation (z. B. D4 für FRS)

  1. Legen Sie den Starttyp des DFS-Replikationsdiensts auf "Manuell" und beenden Sie den Dienst auf allen Domänencontrollern in der Domäne.

  2. Im ADSIEDIT. Msc-Tool: Ändern Sie die folgenden DN- und zwei Attribute auf dem Domänencontroller, den Sie autorisieren möchten (vorzugsweise den PDC-Emulator, der in der Regel die aktuelle Für sysvol-Replikationsinhalte ist):

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=FALSE
    msDFSR-options=1
    
  3. Ändern Sie den folgenden DN und ein einzelnes Attribut auf allen anderen Domänencontrollern in dieser Domäne:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=FALSE
    
  4. Erzwingen Sie die Active Directory-Replikation in der gesamten Domäne, und überprüfen Sie den Erfolg auf allen DCs.

  5. Starten Sie den DFSR-Dienst auf dem Domänencontroller, der in Schritt 2 als autoritativ festgelegt wurde.

  6. Sie sehen die Ereignis-ID 4114 im DFSR-Ereignisprotokoll, das angibt, dass die sysvol-Replikation nicht mehr repliziert wird.

  7. Legen Sie auf demselben DN aus Schritt 1 msDFSR-Enabled=TRUE .

  8. Erzwingen Sie die Active Directory-Replikation in der gesamten Domäne, und überprüfen Sie den Erfolg auf allen DCs.

  9. Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf demselben Server aus, den Sie als autorisierend festgelegt haben:

    DFSRDIAG POLLAD
    
  10. Die Ereignis-ID 4602 im DFSR-Ereignisprotokoll wird angezeigt, die angibt, dass die sysvol-Replikation initialisiert wurde. Dieser Domänencontroller hat nun eine D4 der sysvol-Replikation durchgeführt.

  11. Starten Sie den DFSR-Dienst auf den anderen nicht autorisierenden DCs. Sie sehen die Ereignis-ID 4114 im DFSR-Ereignisprotokoll, das angibt, dass die sysvol-Replikation nicht mehr für jede repliziert wird.

  12. Ändern Sie den folgenden DN und ein einzelnes Attribut auf allen anderen Domänencontrollern in dieser Domäne:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=TRUE
    
  13. Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf allen nicht autorisierenden DCs aus (d. h. alle bis auf den zuvor autorisierenden):

    DFSRDIAG POLLAD
    
  14. Zurückgeben des dfSR-Diensts auf den ursprünglichen Starttyp (automatisch) auf allen DCs.

Weitere Informationen

Wenn Sie das autorisierende Flag auf einem DC festlegen, müssen Sie alle anderen DCs in der Domäne nicht autorisierend synchronisieren. Andernfalls werden Konflikte auf DCs angezeigt, die von DCs stammen, auf denen Sie die Authentifizierung/Nicht-Authentifizierung nicht festgelegt und den DfSR-Dienst neu gestartet haben. Wenn z. B. alle Anmeldeskripts versehentlich gelöscht und eine manuelle Kopie dieser Skripts wieder auf dem Besitzer der PDC-Emulator-Rolle platziert wird, würde eine autorisierende Funktion dieses Servers und aller anderen Server, die nicht autorisierend sind, Erfolg garantieren und Konflikte verhindern.

Wenn sie dcautorisierend machen, ist der PDC-Emulator als autoritativ zu verwenden, da der Inhalt der sysvol-Replikation auf dem neuesten Stand ist.

Die Verwendung des autorisierenden Kennzeichens ist nur erforderlich, wenn Sie die Synchronisierung aller DCs erzwingen müssen. Wenn Sie nur einen DC reparieren, machen Sie ihn nicht autoritativ, und berühren Sie keine anderen Server.

Dieser Artikel wurde zur Vereinfachung der Beschreibung auf eine 2-DC-Umgebung ausgelegt. Wenn sie mehr als einen betroffenen Gleichstrom hatten, erweitern Sie die Schritte, um auch alle davon zu enthalten. Außerdem wird davon ausgegangen, dass Sie die Möglichkeit haben, gelöschte, überschriebene, beschädigte Daten wiederherzustellen. früher, wenn es sich um ein Notfallwiederherstellungsszenario auf allen DCs in der Domäne ist.