如何強制對 DFSR 複寫的 sysvol 複寫進行授權和非權威性同步處理

本文說明如何強制進行針對 DFSR 複寫之 sysvol 複寫的授權和非權威同步處理。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   2218556

摘要

請試想下列案例:

您想要在網域控制站上強制執行 sysvol 複寫的非權威性同步處理 (DC) 。 在檔案複寫服務 (FRS) 中,它是透過登錄值的 D2D4 資料值來控制的 Bur Flags ,但分散式檔案系統複寫 (DFSR) 服務不存在這些值。 您無法使用 DFS 管理嵌入式管理單元 (Dfsmgmt) 或 Dfsradmin.exe 命令列工具來達到此目的。 與自訂的 DFSR 複寫資料夾不同的是,sysvol 複寫可以從任何透過其管理介面進行編輯,以避免意外的情況受到保護。

如何執行 DFSR 複寫之 sysvol 複寫的非授權同步處理 (例如 D2 for FRS)

  1. 在 ADSIEDIT 中。MSC 工具,在您要非權威的每個網域控制站 (Dc) 中,修改下列辨別名稱 (DN) value 及屬性:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=FALSE
    
  2. 強制整個網域中的 Active Directory 複寫。

  3. 在您設定為非權威的相同伺服器上,從提升許可權的命令提示字元執行下列命令:

    DFSRDIAG POLLAD
    
  4. 在 DFSR 事件記錄檔中,您會看到指出不再複寫 sysvol 複寫的事件識別碼4114。

  5. 在步驟1的相同 DN 上,設定 啟用 msDFSR = TRUE

  6. 強制整個網域中的 Active Directory 複寫。

  7. 在您設定為非權威的相同伺服器上,從提升許可權的命令提示字元執行下列命令:

    DFSRDIAG POLLAD
    
  8. 您會在 DFSR 事件記錄檔中看到事件識別碼4614和4604,指出已初始化 sysvol 複寫。 此網域控制站現在已執行一個 D2 的 sysvol 複寫。

如何對 DFSR 執行 DFSR 同步處理的 sysvol 複寫 ((如 D4)進行授權同步處理)

  1. 將 [DFS 複寫服務] 啟動類型設定為 [手動],然後在網域中的所有網域控制站上停止服務。

  2. 在 ADSIEDIT 中。MSC 工具中,修改下列 DN 和您想要成為權威的網域控制站上的兩個屬性。 (最好是 PDC 模擬器,這通常是最新的 sysvol 複寫內容) :

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=FALSE
    msDFSR-options=1
    
  3. 在該網域中的其他 所有 網域控制站上修改下列 DN 和單一屬性:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=FALSE
    
  4. 強制整個網域中的 Active Directory 複寫,並在所有 Dc 上驗證其是否成功。

  5. 在步驟2中設定為權威的網域控制站上啟動 DFSR 服務。

  6. 在 DFSR 事件記錄檔中,您會看到指出不再複寫 sysvol 複寫的事件識別碼4114。

  7. 在步驟1的相同 DN 上,設定 啟用 msDFSR = TRUE

  8. 強制整個網域中的 Active Directory 複寫,並在所有 Dc 上驗證其是否成功。

  9. 在您設定為「授權」的相同伺服器上,從提升許可權的命令提示字元執行下列命令:

    DFSRDIAG POLLAD
    
  10. 在 DFSR 事件記錄檔中,您會看到指出已初始化 sysvol 複寫的事件識別碼4602。 此網域控制站現在已執行 D4 sysvol 複寫。

  11. 在其他非授權的 Dc 上啟動 DFSR 服務。 在 DFSR 事件記錄檔中,您將會看到 [事件識別碼 4114],表示每個元件上都不再複寫 sysvol 複寫。

  12. 在該網域中的其他 所有 網域控制站上修改下列 DN 和單一屬性:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=TRUE
    
  13. 在所有非授權 Dc 上,從提升許可權的命令提示字元中執行下列命令,除了先前的權威性) 之外,所有非授權 (Dc 皆會執行下列命令:

    DFSRDIAG POLLAD
    
  14. 將 DFSR 服務傳回至其原始啟動類型 (自動) 所有 Dc 上。

其他相關資訊

若在一個 DC 上設定權威性旗標,則必須非權威性地同步處理網域中的所有其他 Dc。 否則,您會看到 Dc 上的衝突,來源於任何未設定 auth/非驗證及重新開機 DFSR 服務的 Dc。 例如,如果意外刪除所有登入腳本,且已將其手動複本放回 PDC 模擬器角色的持有者,則讓該伺服器成為權威性和所有其他伺服器非權威會保證成功並防止衝突。

若要讓任何 DC 具有權威性,則具有權威性的 PDC 模擬器是最可取的,因為其 sysvol 複寫內容最新。

只有在您需要強制同步處理所有 Dc 時,才需要使用授權旗標。 若僅修復一個 DC,請將它設定為非權威性的,而且不會觸及其他伺服器。

本文是以兩個 DC 環境為設計,以簡化描述。 如果您有多個受影響的 DC,請展開步驟以包含全部。 此外,它也會假設您能夠還原已刪除、覆寫、損毀等的資料。 先前,如果是網域中所有 Dc 的嚴重損壞修復案例。