DFSR SYSVOL kann nicht migriert oder repliziert werden, SYSVOL nicht freigegeben, Ereignis-IDs 8028 oder 6016

Dieser Artikel enthält eine Lösung für Probleme, bei denen die DfSR-Replikation (Distributed File System Replication) SYSVOL nicht migriert oder repliziert oder SYSVOL nicht freigegeben wird.

Ursprüngliche KB-Nummer: 2567421

Symptome

Szenario 1: Nach dem Starten einer SYSVOL Migration vom Dateireplikationsdienst (FILE Replication Service, FRS) zu DFSR treten keine Domänencontroller in die Vorbereitungsphase ein und bleiben bei der Vorbereitung hängen. Dieses Problem wird auch nach der Überprüfung fortgesetzt, dass die Active Directory(AD)-Replikation auf allen Domänencontrollern konvergent wurde. Das Problem wird auch auf DCs am gleichen AD-Standort wie der PDCE fortgesetzt, wobei die AD-Replikation alle 15 Sekunden auftritt und wo Sie DFSRDIAG.EXE POLLAD auf allen DCs ausgeführt haben. Wenn Sie den /GETMIGRATIONSTATE Berichterstellungsbefehl ausführen, wird Folgendes angezeigt:

DFSRMIG.EXE /GETMIGRATIONSTATE

Domänencontroller (lokaler Migrationsstatus) – DC-Typ

===================================================
2008R2-MIG-01 ('Preparing') - Primär dc
2008R2-MIG-02 ('Vorbereitung') - Schreibbarer DC
Die Migration hat noch keinen konsistenten Zustand auf allen Domänencontrollern erreicht.
Statusinformationen können aufgrund der AD-Latenz veraltet sein.

Das Untersuchen der DFS-Replikationsereignisanmeldung im PDC-Emulator (Primary Domain Controller) zeigt:

Log Name: DFS Replication  
Source: DFSR  
Date: <DateTime> 
Event ID: 8028 
Task Category: None  
Level: Error  
Keywords: Classic  
User: N/A  
Computer: 2008r2-mig-01.cohowinery.com  
Description:  
DFSR Migration was unable to transition to the 'PREPARED' state for Domain Controller 2008R2-MIG-01. DFSR will retry the next time it polls the Active Directory. To force an immediate retry, execute the command 'dfsrdiag /pollad'.
Additional Information:
Domain Controller: 2008R2-MIG-01
Error: 5 (Access is denied.)

Untersuchen der DFSR-Debuganmeldung in der PDCE zeigt:

<DateTime> 1524 CFAD  2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain
Controllers,DC=cohowinery,DC=com
<DateTime> 1524 ADWR   633
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Local settings object already exists.
<DateTime> 1524 ADWR   655
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Got Local Setting's SD for adding ACE
<DateTime> 1524 ADWR   678
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Going to set new SD
<DateTime> 1524 CFAD  2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain Controllers,DC=cohowinery,DC=com Error:Insufficient Rights
<DateTime> 1524 SYSM   586 [ERROR] Migration::SysvolMigrationTask::Step [MIG] Failed Migration task.Error:
+ [Error:5(0x5) Migration::SysVolMigration::Migrate migrationserver.cpp:1200 1524 W Access is denied.] 
+ [Error:5(0x5) Migration::SysVolMigration::StepToNextStableState migrationserver.cpp:1271 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::Prepare migrationserver.cpp:1431 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::CreateLocalAdObjects migrationserver.cpp:2694 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolMigrationLocalObjects adwriterserver.cpp:1965 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 U Insufficient Rights]

Szenario 2: Eine Domäne repliziert SYSVOL bereits mithilfe von DFSR. Wenn ein neuer DC höhergestuft wird, wird er nicht repliziert SYSVOL, und die SYSVOL Freigaben NETLOGON werden nicht erstellt.

Untersuchen des DFS-Replikationsereignisses, in dem der neue DC angezeigt wird:

Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 6016
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: 2008-R2-TSPDC2.tailspintoys.com
Description:
The DFS Replication service failed to update configuration in Active Directory Domain Services. The service will retry this operation periodically.

Additional Information:
Object Category: msDFSR-LocalSettings
Object DN: CN=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com**  
Error: 5 (Access is denied.)
Domain Controller: 2008-R2-TSPDC1.tailspintoys.com
Polling Cycle: 60

Untersuchen des DFSR-Debuganmeldungs, in dem DC angezeigt wird:

<DateTime> 1712 CFAD  2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
<DateTime> 1712 ADWR   633 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Local settings object already exists.
<DateTime> 1712 ADWR   655 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Got Local Setting's SD for adding ACE
<DateTime> 1712 ADWR   678 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Going to set new SD
<DateTime> 1712 CFAD  2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com Error:Insufficient Rights
<DateTime> 1712 CFAD 11508 [ERROR] Config::AdReader::Read [SYSVOL] (Ignored) Failed to create SysVol objects, Error:
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjects adwriterserver.cpp:1360 1712 W Access is denied.]  
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjectsWithParams adwriterserver.cpp:1457 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 U Insufficient Rights]

Untersuchen der DFSR-Debuganmeldung in der PDCE zeigt:

<DateTime> 1792 CFAD  6160 [ERROR]   Config::AdSnapshot::BuildPartnersSubTree Failed to create computer tree for partner:CN=2008-R2-TSPDC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=tailspintoys,DC=com, Error:  
+ [Error:1168(0x490) Config::AdSnapshot::BuildPartnerComputerSubTree ad.cpp:6018 1792 W Element not found.] 
+ [Error:1168(0x490) Config::AdSnapshot::BuildLocalSettingsTree ad.cpp:6408 1792 W Element not found.]  
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4112 1792 W Element not found.]  
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4108 1792 W Element not found.]

Ursache

Die Standardmäßige Benutzerrechtezuweisung "Überwachung und Sicherheitsprotokoll verwalten" (SeSecurityPrivilege) wurde aus der integrierten Gruppe "Administratoren" entfernt. Das Entfernen dieses Benutzers direkt von Administratoren auf Domänencontrollern wird nicht unterstützt. Dies führt dazu, dass die DFSR-Migration SYSVOL fehlschlägt. DFSR-Migration und muss von einem Benutzer ausgeführt werden, der Mitglied der integrierten Administratorgruppe in dieser Domäne ist. Alle DCs sind automatisch Mitglieder der integrierten Gruppe "Administratoren".

Lösung

Um das Problem zu beheben, führen Sie alle Schritte in der Reihenfolge aus, indem Sie eine CMD-Eingabeaufforderung mit erhöhten Rechten verwenden, während Sie als Domänenadministrator ausgeführt werden:

Szenario 1:

1. Ermitteln Sie, welche Sicherheitsgruppenrichtlinie diese Einstellung auf die DCs anwendet, indem Sie auf der PDCE ausgeführt werden:

   GPRESULT.EXE /H secpol.htm
   

2. Öffnen Sie secpol.htm in einem Webbrowser, und wählen Sie dann " Alle anzeigen" aus. Suchen Sie nach dem Eintrag "Überwachung und Sicherheitsprotokoll verwalten". Sie listet die Gruppenrichtlinie auf, die diese Einstellung anwendet.

3. Bearbeiten Sie diese Gruppenrichtlinie mithilfe von GPMC.MSC, um die Gruppenadministratoren einzuschließen.

4. Zulassen, dass AD und SYSVOL Replikation auf allen DCs zusammengeführt werden. Führen Sie auf der PDCE Folgendes aus:

   GPUPDATE /FORCE
   

5. Melden Sie sich bei der PDCE ab und melden Sie sich wieder an, um Ihr Sicherheitstoken mit der richtigen Zuweisung des Benutzers zu aktualisieren.

6. Führen Sie Folgendes aus:

   DFSRMIG.EXE /CREATEGLOBALOBJECTS
   

7. Zulassen, dass AD und SYSVOL Replikation auf allen DCs zusammengeführt werden. Führen Sie auf der PDCE Folgendes aus:

   DFSRDIAG.EXE POLLAD
   DFSRMIG.EXE /GETMIGRATIONSTATE
   

8. Überprüfen Sie, ob einige oder alle DCs den Bereitschaftszustand erreicht haben und bereit sind, umzuleiten. An diesem Punkt können Sie ihre Migration normal fortsetzen. Weitere Informationen finden Sie unten im Abschnitt "Weitere Informationen".

Szenario 2:

1. Ermitteln Sie, welche Sicherheitsgruppenrichtlinie diese Einstellung auf die DCs anwendet, indem Sie auf der PDCE ausgeführt werden:

   GPRESULT.EXE /H secpol.htm
   

2. Öffnen Sie secpol.htm in einem Webbrowser, und wählen Sie dann " Alle anzeigen" aus. Suchen Sie nach dem Eintrag "Überwachung und Sicherheitsprotokoll verwalten". Sie listet die Gruppenrichtlinie auf, die diese Einstellung anwendet.

3. Bearbeiten Sie diese Gruppenrichtlinie mithilfe von GPMC.MSC, um die Gruppenadministratoren einzuschließen.

4. Zulassen, dass AD und SYSVOL Replikation auf allen DCs zusammengeführt werden. Führen Sie auf dem betroffenen DC Folgendes aus:

   GPUPDATE /FORCE
   

5. Starten Sie den DFSR-Dienst auf diesem DC neu.

6. Überprüfen Sie, ob der DC jetzt freigabet und NETLOGON, SYSVOL und repliziert sie SYSVOL eingehend.

Die sysvol Dürfen nicht auf einem der DCs freigegeben werden. Dadurch wird verhindert, dass Sie Gruppenrichtlinien bearbeiten oder anwenden. Als Problemumgehung können Sie das sysvolBenutzerrecht "Überwachung und Sicherheitsprotokoll verwalten" manuell freigeben und ein GP-Update erzwingen.

Schritte:

1. Manuelle Freigabe des sysvol Registrierungswerts – Diesen Registrierungswert bearbeiten Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
   Wert SysvolReady = 1
   führen Sie net share aus, um sicherzustellen, dass die sysvol Freigabe erfolgt.

2. Öffnen Sie die Richtlinie, und fügen Sie den Benutzer oder die Gruppe zum Benutzerrecht "Überwachung und Sicherheitsprotokoll verwalten" hinzu.

3. Führen Sie Folgendes aus:

   gpupdate force.
   

   Notiz

   Möglicherweise müssen Sie das Sysvol erneut in Schritt 3 als Hintergrundprozess aus der SYSVOL Migration freigeben, bevor Sie die Bearbeitung der Richtlinie abgeschlossen haben.

4. Fahren Sie mit Szenario 1 oder 2 fort, wie oben erwähnt.

Es ist möglich, dass DFSRMIG AD erfolgreich aktualisiert, aber die Registrierung nicht aktualisiert. Wenn die AD-Updates erfolgreich zum Erstellen der Sysvol-Replikationsgruppe durchgeführt wurden, aber die Registrierung den DFSR-Dienst aufgrund fehlender Benutzerrechte nicht ändert, werden nur Ereignisse 8010 angezeigt, die die Migration ausgeführt wird.

Weitere Informationen

Es ist normal, dass DCs während einer Migration den Zustand "Vorbereiten" für einen längeren Zeitraum beibehalten, insbesondere in größeren Umgebungen, in denen die AD-Replikation mehrere Stunden oder Tage dauern kann, um zusammenzuverlangen. Es ist nicht normal, dass sie in diesem Zustand verbleiben, auch nachdem die AD-Replikation diese DCs erreicht hat und 15 Minuten für DFSR AD-Abrufe bestanden wurde.

Teilen Sie dieses Problem nicht, und verwenden Sie NETLOGON nicht SYSVOL manuell. Lassen Sie sich dieses Problem nicht SYSVOLREADY=1 umgehen. Dies bewirkt, dass sich der DC für Gruppenrichtlinien an sich selbst wenden kann. Da sie nicht aufgefüllt SYSVOLwerden kann, werden keine Änderungen angewendet, um die Benutzerrechte zu beheben.

Weitere Informationen zum Verringern der Ad-Replikationskonvergenzzeit mithilfe der Änderungsbenachrichtigung zwischen Standorten finden Sie in Anhang B – Referenz zu Verfahren.

Weitere Informationen zur SYSVOL Migration von FRS zu DFSR finden Sie unter Migrieren der SYSVOL-Replikation zu DFS-Replikation.