Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution aux problèmes où la réplication de système de fichiers distribué (DFSR) SYSVOL ne parvient pas à migrer ou à répliquer, ou SYSVOL n’est pas partagée.
Numéro de base de connaissances d’origine : 2567421
Symptômes
Scénario 1 : Après avoir démarré une SYSVOL migration du service de réplication de fichiers (FRS) vers DFSR, aucun contrôleur de domaine n’entre dans la phase Préparée et reste bloqué lors de la préparation. Ce problème se poursuit même après avoir vérifié que la réplication Active Directory (AD) a convergé sur tous les contrôleurs de domaine. Le problème persiste même sur les contrôleurs de domaine dans le même site AD que le PDCE, où la réplication AD se produit toutes les 15 secondes et où vous avez exécuté DFSRDIAG.EXE POLLAD sur tous les contrôleurs de domaine.
L’exécution de la commande de création de /GETMIGRATIONSTATE rapports affiche :
DFSRMIG.EXE /GETMIGRATIONSTATE
Contrôleur de domaine (état de migration locale) - Type de contrôleur de domaine
===================================================
2008R2-MIG-01 ('Préparation') - Contrôleur de domaine principal
2008R2-MIG-02 ('Préparation') - DC accessible en écriture
La migration n’a pas encore atteint un état cohérent sur tous les contrôleurs de domaine.
Les informations d’état peuvent être obsolètes en raison de la latence AD.
L’examen de la connexion à l’événement de réplication DFS dans l’émulateur PDC (Primary Domain Controller) montre :
Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 8028
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: 2008r2-mig-01.cohowinery.com
Description:
DFSR Migration was unable to transition to the 'PREPARED' state for Domain Controller 2008R2-MIG-01. DFSR will retry the next time it polls the Active Directory. To force an immediate retry, execute the command 'dfsrdiag /pollad'.
Additional Information:
Domain Controller: 2008R2-MIG-01
Error: 5 (Access is denied.)
L’examen de la connexion de débogage DFSR dans le PDCE montre :
<DateTime> 1524 CFAD 2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain
Controllers,DC=cohowinery,DC=com
<DateTime> 1524 ADWR 633
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Local settings object already exists.
<DateTime> 1524 ADWR 655
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Got Local Setting's SD for adding ACE
<DateTime> 1524 ADWR 678
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Going to set new SD
<DateTime> 1524 CFAD 2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain Controllers,DC=cohowinery,DC=com Error:Insufficient Rights
<DateTime> 1524 SYSM 586 [ERROR] Migration::SysvolMigrationTask::Step [MIG] Failed Migration task.Error:
+ [Error:5(0x5) Migration::SysVolMigration::Migrate migrationserver.cpp:1200 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::StepToNextStableState migrationserver.cpp:1271 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::Prepare migrationserver.cpp:1431 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::CreateLocalAdObjects migrationserver.cpp:2694 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolMigrationLocalObjects adwriterserver.cpp:1965 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 U Insufficient Rights]
Scénario 2 : un domaine est déjà répliqué SYSVOL à l’aide de DFSR. Lorsqu’un nouveau contrôleur de domaine est promu, il ne parvient pas à répliquer SYSVOLet les SYSVOL NETLOGON partages ne sont pas créés.
L’examen de la connexion de l’événement de réplication DFS dans laquelle le nouveau contrôleur de domaine affiche :
Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 6016
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: 2008-R2-TSPDC2.tailspintoys.com
Description:
The DFS Replication service failed to update configuration in Active Directory Domain Services. The service will retry this operation periodically.
Additional Information:
Object Category: msDFSR-LocalSettings
Object DN: CN=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com**
Error: 5 (Access is denied.)
Domain Controller: 2008-R2-TSPDC1.tailspintoys.com
Polling Cycle: 60
L’examen de la connexion de débogage DFSR que DC affiche :
<DateTime> 1712 CFAD 2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
<DateTime> 1712 ADWR 633 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Local settings object already exists.
<DateTime> 1712 ADWR 655 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Got Local Setting's SD for adding ACE
<DateTime> 1712 ADWR 678 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Going to set new SD
<DateTime> 1712 CFAD 2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com Error:Insufficient Rights
<DateTime> 1712 CFAD 11508 [ERROR] Config::AdReader::Read [SYSVOL] (Ignored) Failed to create SysVol objects, Error:
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjects adwriterserver.cpp:1360 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjectsWithParams adwriterserver.cpp:1457 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 U Insufficient Rights]
L’examen de la connexion de débogage DFSR dans le PDCE montre :
<DateTime> 1792 CFAD 6160 [ERROR] Config::AdSnapshot::BuildPartnersSubTree Failed to create computer tree for partner:CN=2008-R2-TSPDC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=tailspintoys,DC=com, Error:
+ [Error:1168(0x490) Config::AdSnapshot::BuildPartnerComputerSubTree ad.cpp:6018 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::BuildLocalSettingsTree ad.cpp:6408 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4112 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4108 1792 W Element not found.]
Cause
L’attribution de droits utilisateur par défaut « Gérer l’audit et le journal de sécurité » (SeSecurityPrivilege) a été supprimée du groupe Administrateurs intégré. La suppression de ce droit d’utilisateur des administrateurs sur les contrôleurs de domaine n’est pas prise en charge. La migration DFSR SYSVOL échoue. La migration DFSR doit être exécutée par un utilisateur membre du groupe Administrateurs intégré de ce domaine. Tous les contrôleurs de domaine sont automatiquement membres du groupe Administrateurs intégré.
Résolution
Pour résoudre le problème, suivez toutes les étapes de l’ordre, à l’aide d’une invite CMD avec élévation de privilèges lors de l’exécution en tant qu’administrateur de domaine :
Scénario 1 :
Déterminez la stratégie de groupe de sécurité qui applique ce paramètre aux contrôleurs de domaine en s’exécutant sur le PDCE :
GPRESULT.EXE /H secpol.htmOuvrez secpol.htm dans un navigateur web, puis sélectionnez Afficher tout. Recherchez l’entrée Gérer l’audit et le journal de sécurité. Elle répertorie la stratégie de groupe qui applique ce paramètre.
À l’aide de GPMC.MSC, modifiez cette stratégie de groupe pour inclure les administrateurs de groupe.
Autoriser AD et
SYSVOLla réplication à converger sur tous les contrôleurs de domaine. Sur le PDCE, exécutez :GPUPDATE /FORCEDéconnectez-vous du PDCE et reconnectez-vous pour mettre à jour votre jeton de sécurité avec l’attribution de droit de l’utilisateur.
Run :
DFSRMIG.EXE /CREATEGLOBALOBJECTSAutoriser AD et
SYSVOLla réplication à converger sur tous les contrôleurs de domaine. Sur le PDCE, exécutez :DFSRDIAG.EXE POLLAD DFSRMIG.EXE /GETMIGRATIONSTATEVérifiez que certains ou tous les contrôleurs de domaine ont atteint l’état Préparé et sont prêts à être redirigés. À ce stade, vous pouvez poursuivre votre migration normalement. Consultez la section Plus d’informations ci-dessous.
Scénario 2 :
Déterminez la stratégie de groupe de sécurité qui applique ce paramètre aux contrôleurs de domaine en s’exécutant sur le PDCE :
GPRESULT.EXE /H secpol.htmOuvrez secpol.htm dans un navigateur web, puis sélectionnez Afficher tout. Recherchez l’entrée Gérer l’audit et le journal de sécurité. Elle répertorie la stratégie de groupe qui applique ce paramètre.
À l’aide de GPMC.MSC, modifiez cette stratégie de groupe pour inclure les administrateurs de groupe.
Autoriser AD et
SYSVOLla réplication à converger sur tous les contrôleurs de domaine. Sur le contrôleur de domaine concerné, exécutez :GPUPDATE /FORCERedémarrez le service DFSR sur ce contrôleur de domaine.
Vérifiez que le contrôleur de domaine partage
SYSVOLmaintenant et NETLOGON et répliqueSYSVOLle trafic entrant.
Les sysvol contrôleurs de domaine ne peuvent pas être partagés. Ce qui vous empêchera de modifier ou d’appliquer une stratégie de groupe. Pour contourner ce problème, vous pouvez partager manuellement le sysvolfichier , modifier le droit de l’utilisateur « Gérer l’audit et le journal de sécurité » et forcer une mise à jour de la stratégie de groupe.
Étapes :
Partager manuellement -
sysvolModifier cette valeur de RegistreKey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
ValeurSysvolReady= 1
exécutez le partage net pour vous assurer que lesysvolpartage est partagé.Ouvrez la stratégie et ajoutez l’utilisateur ou le groupe au droit d’utilisateur « Gérer l’audit et le journal de sécurité ».
Run :
gpupdate force.Note
Vous devrez peut-être partager à nouveau sysvol à l’étape 3 en tant que processus en arrière-plan de
SYSVOLla migration peut l’annuler avant de modifier la stratégie.Poursuivez avec le scénario 1 ou 2, comme indiqué ci-dessus.
Il est possible que DFSRMIG met à jour AD avec succès, mais ne parvient pas à mettre à jour le Registre. Si les mises à jour AD sont effectuées avec succès pour créer le groupe de réplication sysvol, mais que le registre modifie le service DFSR n’est pas effectué en raison de droits utilisateur manquants, vous verrez uniquement les événements 8010 que la migration est en cours.
Plus d’informations
Il est normal que les contrôleurs de domaine restent à l’état de préparation pendant une période prolongée pendant une migration, en particulier dans les environnements plus volumineux où la réplication AD peut prendre plusieurs heures ou plusieurs jours pour converger. Il n’est pas normal qu’ils restent dans cet état, même après que la réplication AD ait atteint ces contrôleurs de domaine et que 15 minutes soient passées pour l’interrogation AD DFSR.
Ne partagez SYSVOL pas et NETLOGON manuellement pour contourner ce problème. Ne définissez SYSVOLREADY=1 pas pour contourner ce problème. Cela entraîne le contact du contrôleur de domaine lui-même pour la stratégie de groupe. Étant donné qu’il ne peut pas remplir son SYSVOL, les modifications apportées pour corriger les droits utilisateur ne seront pas appliquées.
Pour plus d’informations sur la réduction du temps de convergence de la réplication AD à l’aide de la notification de modification inters site, consultez l’annexe B - Informations de référence sur les procédures.
Pour plus d’informations sur la SYSVOL migration de FRS vers DFSR, consultez Migrer la réplication SYSVOL vers la réplication DFS.