DFSR レプリケートされた sysvol レプリケーションに対して権限のある同期と権限のない同期を強制する方法

この記事では、DFSR レプリケートされた sysvol レプリケーションに対して権限のある同期と権限のない同期を強制する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2218556

概要

次のような状況で問題が発生します。

ドメイン コントローラー (DC) で sysvol レプリケーションの権限のない同期を強制する必要があります。 ファイル レプリケーション サービス (FRS) では、レジストリ値の D2 および D4 データ値 Bur Flags を使用して制御されましたが、分散ファイル システム レプリケーション (DFSR) サービスにはこれらの値は存在しません。 これを実現するために、DFS 管理スナップイン (Dfsmgmt.msc) またはDfsradmin.exeコマンド ライン ツールを使用することはできません。 カスタム DFSR レプリケート フォルダーとは異なり、sysvol レプリケーションは、事故を防ぐために、管理インターフェイスを介して編集から意図的に保護されます。

DFSR レプリケートされた sysvol レプリケーションの権限のない同期を実行する方法 (FRS の D2 など)

1. ADSIEDIT.MSC ツールで、権限のないドメイン コントローラー (DC) ごとに、次の識別名 (DN) の値と属性を変更します。

   CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
   
   msDFSR-Enabled=FALSE
   

2. ドメイン全体で Active Directory レプリケーションを強制します。

3. 権限のないサーバーに設定したのと同じサーバーで、管理者特権のコマンド プロンプトから次のコマンドを実行します。

   DFSRDIAG POLLAD
   

4. SYSvol レプリケーションがレプリケートされなくなったことを示すイベント ID 4114 が DFSR イベント ログに表示されます。

5. 手順 1 と同じ DN で、 msDFSR-Enabled=TRUE を設定します。

6. ドメイン全体で Active Directory レプリケーションを強制します。

7. 権限のないサーバーに設定したのと同じサーバーで、管理者特権のコマンド プロンプトから次のコマンドを実行します。

   DFSRDIAG POLLAD
   

8. SYSvol レプリケーションが初期化されたことを示すイベント ID 4614 と 4604 が DFSR イベント ログに表示されます。 これで、そのドメイン コントローラーで D2 の sysvol レプリケーションが実行されました。

DFSR レプリケートされた sysvol レプリケーションの権限のある同期を実行する方法 (D4 for FRS など)

1. DFS レプリケーション サービスのスタートアップの種類を手動に設定し、ドメイン内のすべてのドメイン コントローラーでサービスを停止します。

2. ADSIEDIT.MSC ツールを使用して、権限を持たせたいドメイン コントローラーで次の DN と 2 つの属性を変更します (できれば、PDC Emulator は、通常、sysvol レプリケーションの内容の最新の状態にします)。

   CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
   
   msDFSR-Enabled=FALSE
   msDFSR-options=1
   

3. そのドメイン内の他の すべての ドメイン コントローラーで、次の DN 属性と単一属性を変更します。

   CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>
   
   msDFSR-Enabled=FALSE
   

4. ドメイン全体で Active Directory レプリケーションを強制し、すべての DC でその成功を検証します。

5. 手順 2 で権限が設定されたドメイン コントローラーで DFSR サービスを開始します。

6. SYSvol レプリケーションがレプリケートされなくなったことを示すイベント ID 4114 が DFSR イベント ログに表示されます。

7. 手順 2 の同じ DN で、 msDFSR-Enabled=TRUE を設定します。

8. ドメイン全体で Active Directory レプリケーションを強制し、すべての DC でその成功を検証します。

9. 権限として設定したのと同じサーバーで、管理者特権のコマンド プロンプトから次のコマンドを実行します。

   DFSRDIAG POLLAD
   

10. SYSvol レプリケーションが初期化されたことを示すイベント ID 4602 が DFSR イベント ログに表示されます。 これで、そのドメイン コントローラーで D4 の sysvol レプリケーションが実行されました。

11. 他の権限のない DC で DFSR サービスを開始します。 DFSR イベント ログにイベント ID 4114 が表示されます。これは、sysvol レプリケーションがそれぞれのレプリケーションでレプリケートされなくなったことを示します。

12. そのドメイン内の他の すべての ドメイン コントローラーで、次の DN 属性と単一属性を変更します。

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>
    
    msDFSR-Enabled=TRUE
    

13. すべての権限のない DC (つまり、以前の権限を持つ DC を除くすべて) で、管理者特権でのコマンド プロンプトから次のコマンドを実行します。

    DFSRDIAG POLLAD
    

14. すべての DC で DFSR サービスを元のスタートアップの種類 (自動) に戻します。

詳細情報

1 つの DC で権限フラグを設定する場合は、ドメイン内の他のすべての DC を非権限で同期する必要があります。 それ以外の場合は、認証/非認証を設定せずにDFSR サービスを再起動させた DC から発生する DC で競合が発生します。 たとえば、すべてのログオン スクリプトが誤って削除され、それらの手動コピーが PDC エミュレーターロール所有者に戻された場合、そのサーバーが権限を持ち、他のすべてのサーバーが権限を持たないようにすると、成功が保証され、競合が防止されます。

DC を権限のあるものにする場合は、SYSvol レプリケーションの内容が最も最新であるため、PDC エミュレーターを権限のあるものにすることが望ましいです。

権限フラグの使用は、すべての DC の同期を強制する必要がある場合にのみ必要です。 1 つの DC のみを修復する場合は、権限を持たせないようにし、他のサーバーには触れないでください。

この記事は、説明をわかりやすくするために、2 DC 環境を念頭に置いて設計されています。 影響を受けた DC が複数ある場合は、すべての DC を含めるよう手順を拡張します。 また、削除、上書き、破損などのデータを復元する機能があることを前提としています。ドメイン内のすべての DC のディザスター リカバリー シナリオである場合は、以前の手順を実行します。