DFSR SYSVOL の移行またはレプリケートに失敗する、SYSVOL が共有されていない、イベント ID 8028 または 6016

  • [アーティクル]

この記事では、分散ファイル システム レプリケーション (DFSR) SYSVOL の移行またはレプリケートに失敗する、または SYSVOL 共有されない問題に対する解決策について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2567421

現象

シナリオ 1: ファイル レプリケーション サービス (FRS) から DFSR への移行を開始 SYSVOL した後、準備済みフェーズに入るドメイン コントローラーはなく、準備中のままです。 この問題は、Active Directory (AD) レプリケーションがすべてのドメイン コントローラーに収束したことを確認した後も続きます。 この問題は、15 秒ごとに AD レプリケーションが発生し、すべての DC で DFSRDIAG.EXE POLLAD を実行した、PDCE と同じ AD サイト内の DC でも引き続き発生します。 レポート コマンドを実行すると、 /GETMIGRATIONSTATE 次の内容が表示されます。

DFSRMIG.EXE /GETMIGRATIONSTATE

ドメイン コントローラー (ローカル移行状態) - DC の種類

===================================================
2008R2-MIG-01 ('準備') - プライマリ DC
2008R2-MIG-02 ('準備') - 書き込み可能 DC
移行は、すべてのドメイン コントローラーで一貫性のある状態にまだ達していません。
AD 待機時間が原因で状態情報が古くなる可能性があります。

プライマリ ドメイン コントローラー (PDC) エミュレーターで DFS レプリケーション イベント のサインインを調べると、次の内容が表示されます。

Log Name: DFS Replication  
Source: DFSR  
Date: <DateTime> 
Event ID: 8028 
Task Category: None  
Level: Error  
Keywords: Classic  
User: N/A  
Computer: 2008r2-mig-01.cohowinery.com  
Description:  
DFSR Migration was unable to transition to the 'PREPARED' state for Domain Controller 2008R2-MIG-01. DFSR will retry the next time it polls the Active Directory. To force an immediate retry, execute the command 'dfsrdiag /pollad'.
Additional Information:
Domain Controller: 2008R2-MIG-01
Error: 5 (Access is denied.)

PDCE で DFSR デバッグ サインインを調べると、次のようになります。

<DateTime> 1524 CFAD  2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain
Controllers,DC=cohowinery,DC=com
<DateTime> 1524 ADWR   633
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Local settings object already exists.
<DateTime> 1524 ADWR   655
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Got Local Setting's SD for adding ACE
<DateTime> 1524 ADWR   678
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Going to set new SD
<DateTime> 1524 CFAD  2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain Controllers,DC=cohowinery,DC=com Error:Insufficient Rights
<DateTime> 1524 SYSM   586 [ERROR] Migration::SysvolMigrationTask::Step [MIG] Failed Migration task.Error:
+ [Error:5(0x5) Migration::SysVolMigration::Migrate migrationserver.cpp:1200 1524 W Access is denied.] 
+ [Error:5(0x5) Migration::SysVolMigration::StepToNextStableState migrationserver.cpp:1271 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::Prepare migrationserver.cpp:1431 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::CreateLocalAdObjects migrationserver.cpp:2694 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolMigrationLocalObjects adwriterserver.cpp:1965 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 U Insufficient Rights]

シナリオ 2: ドメインは既に DFSR を SYSVOL 使用してレプリケートされています。 新しい DC が昇格されると、レプリケート SYSVOLに失敗し、 SYSVOL 共有が NETLOGON 作成されません。

新しい DC が示す DFS レプリケーション イベント サインインを調べる:

Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 6016
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: 2008-R2-TSPDC2.tailspintoys.com
Description:
The DFS Replication service failed to update configuration in Active Directory Domain Services. The service will retry this operation periodically.

Additional Information:
Object Category: msDFSR-LocalSettings
Object DN: CN=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com**  
Error: 5 (Access is denied.)
Domain Controller: 2008-R2-TSPDC1.tailspintoys.com
Polling Cycle: 60

DC が示す DFSR デバッグ サインインを調べる:

<DateTime> 1712 CFAD  2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
<DateTime> 1712 ADWR   633 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Local settings object already exists.
<DateTime> 1712 ADWR   655 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Got Local Setting's SD for adding ACE
<DateTime> 1712 ADWR   678 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Going to set new SD
<DateTime> 1712 CFAD  2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com Error:Insufficient Rights
<DateTime> 1712 CFAD 11508 [ERROR] Config::AdReader::Read [SYSVOL] (Ignored) Failed to create SysVol objects, Error:
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjects adwriterserver.cpp:1360 1712 W Access is denied.]  
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjectsWithParams adwriterserver.cpp:1457 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 U Insufficient Rights]

PDCE で DFSR デバッグ サインインを調べると、次のようになります。

<DateTime> 1792 CFAD  6160 [ERROR]   Config::AdSnapshot::BuildPartnersSubTree Failed to create computer tree for partner:CN=2008-R2-TSPDC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=tailspintoys,DC=com, Error:  
+ [Error:1168(0x490) Config::AdSnapshot::BuildPartnerComputerSubTree ad.cpp:6018 1792 W Element not found.] 
+ [Error:1168(0x490) Config::AdSnapshot::BuildLocalSettingsTree ad.cpp:6408 1792 W Element not found.]  
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4112 1792 W Element not found.]  
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4108 1792 W Element not found.]

原因

既定のユーザー権限の割り当て "監査とセキュリティ ログの管理" (SeSecurityPrivilege) は、組み込みの Administrators グループから削除されました。 ドメイン コントローラー上の管理者からのこのユーザーの削除はサポートされていません。 これにより、DFSR SYSVOL の移行が失敗します。 DFSR 移行であり、そのドメイン内の組み込みの Administrators グループのメンバーであるユーザーが実行する必要があります。 すべての DC は、組み込みの Administrators グループのメンバーになります。

解決方法

この問題を解決するには、ドメイン 管理として実行中に管理者特権の CMD プロンプトを使用して、すべての手順に従います。

シナリオ 1:

  1. PDCE で実行して、この設定を DC に適用するセキュリティ グループ ポリシーを決定します。

    GPRESULT.EXE /H secpol.htm

  2. Web ブラウザー でsecpol.htm を開き、[ すべて表示] を選択します。 [監査とセキュリティ ログの管理] エントリを検索します。 この設定を適用しているグループ ポリシーが一覧表示されます。

  3. GPMC.MSC を使用して、そのグループ ポリシーを編集して、グループ管理者を含めます

  4. AD と SYSVOL レプリケーションがすべての DC に収束することを許可します。 PDCE で、次を実行します。

    GPUPDATE /FORCE

  5. ユーザーの適切な割り当てでセキュリティ トークンを更新するには、PDCE をサインアウトしてログオンし直します。

  6. 次を実行します: 

    DFSRMIG.EXE /CREATEGLOBALOBJECTS

  7. AD と SYSVOL レプリケーションがすべての DC に収束することを許可します。 PDCE で、次を実行します。

    DFSRDIAG.EXE POLLAD
DFSRMIG.EXE /GETMIGRATIONSTATE

  8. 一部またはすべての DC が準備済み状態に達し、リダイレクトする準備ができたことを検証します。 この時点で、通常どおりに移行を続行できます。 以下の 「詳細情報 」セクションを参照してください。

シナリオ 2:

  1. PDCE で実行して、この設定を DC に適用するセキュリティ グループ ポリシーを決定します。

    GPRESULT.EXE /H secpol.htm

  2. Web ブラウザー でsecpol.htm を開き、[ すべて表示] を選択します。 [監査とセキュリティ ログの管理] エントリを検索します。 この設定を適用しているグループ ポリシーが一覧表示されます。

  3. GPMC.MSC を使用して、そのグループ ポリシーを編集して、グループ管理者を含めます

  4. AD と SYSVOL レプリケーションがすべての DC に収束することを許可します。 影響を受ける DC で、次を実行します。

    GPUPDATE /FORCE

  5. その DC で DFSR サービスを再起動します。

  6. DC が NETLOGON と共有 SYSVOL し、受信をレプリケートすることを検証します SYSVOL

どの sysvol DC でも共有できません。 これにより、グループ ポリシーを編集または適用できなくなります。 回避策として、ユーザー権利の "監査とセキュリティ ログの sysvol管理" を手動で共有し、GP 更新を強制することができます。

手順:

  1. 手動で共有する - このレジストリ値を sysvol 編集する Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
    SysvolReady = 1
    ネット共有を実行して、共有されていることを確認します sysvol

  2. ポリシーを開き、ユーザーまたはグループを "監査とセキュリティ ログの管理" ユーザー権利に追加します。

  3. 次を実行します: 

    gpupdate force.

    注:

    ポリシーの編集を完了する前に、移行の SYSVOL バックグラウンド プロセスで sysvol を共有し直す必要がある場合があります。

  4. 上記のように、シナリオ 1 またはシナリオ 2 に進みます。

DFSRMIG が AD を正常に更新してもレジストリの更新に失敗する可能性があります。 SYSvol レプリケーション グループを作成するために AD の更新が正常に行われても、ユーザー権限がないために DFSR サービスが変更されないレジストリが変更された場合は、移行が進行中のイベント 8010 のみが表示されます。

詳細情報

DC は移行中に長時間準備状態のままになるのが普通です。特に、AD レプリケーションが収束するまでに数時間または数日かかる可能性がある大規模な環境では、DC は準備状態のままです。 AD レプリケーションがこれらの DC に達し、DFSR AD ポーリングに 15 分が経過した後でも、その状態を維持するのは通常のことではありません。

この問題を回避するために、NETLOGON と手動で共有 SYSVOL しないでください。 この問題を回避するように設定 SYSVOLREADY=1 しないでください。 この操作を行うと、DC はグループ ポリシーについて自身に連絡します。 設定できないため SYSVOL、ユーザー権限を修正するための変更は適用されません。

サイト間変更通知を使用して AD レプリケーションの収束時間を短縮する方法の詳細については、「 付録 B - 手順リファレンス」を参照してください

FRS から DFSR への移行の SYSVOL 詳細については、「 SYSVOL レプリケーションを DFS レプリケーションに移行する」を参照してください