本文提供了一个解决方案,用于解决分布式文件系统复制(DFSR) SYSVOL
无法迁移或复制或 SYSVOL
未共享的问题。
原始 KB 数: 2567421
现象
方案 1: 开始 SYSVOL
从文件复制服务(FRS)迁移到 DFSR 后,没有域控制器进入“准备”阶段,并且仍然停滞在“准备”阶段。 即使在验证 Active Directory (AD) 复制是否已聚合到所有域控制器之后,此问题也会继续。 此问题即使在与 PDCE 相同的 AD 站点中的 DC 上仍然存在,其中 AD 复制每 15 秒发生一次,并且已在 所有 DC 上运行DFSRDIAG.EXE POLLAD 。
/GETMIGRATIONSTATE
运行报告命令会显示:
DFSRMIG.EXE /GETMIGRATIONSTATE
域控制器 (本地迁移状态) - DC 类型
===================================================
2008R2-MIG-01 (“准备”) - 主要 DC
2008R2-MIG-02 (“准备”) - 可写 DC
迁移尚未在所有域控制器上达到一致状态。
由于 AD 延迟,状态信息可能过时。
检查主域控制器(PDC)模拟器中的 DFS 复制事件登录会显示:
Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 8028
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: 2008r2-mig-01.cohowinery.com
Description:
DFSR Migration was unable to transition to the 'PREPARED' state for Domain Controller 2008R2-MIG-01. DFSR will retry the next time it polls the Active Directory. To force an immediate retry, execute the command 'dfsrdiag /pollad'.
Additional Information:
Domain Controller: 2008R2-MIG-01
Error: 5 (Access is denied.)
检查 PDCE 中的 DFSR 调试登录会显示:
<DateTime> 1524 CFAD 2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain
Controllers,DC=cohowinery,DC=com
<DateTime> 1524 ADWR 633
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Local settings object already exists.
<DateTime> 1524 ADWR 655
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Got Local Setting's SD for adding ACE
<DateTime> 1524 ADWR 678
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Going to set new SD
<DateTime> 1524 CFAD 2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain Controllers,DC=cohowinery,DC=com Error:Insufficient Rights
<DateTime> 1524 SYSM 586 [ERROR] Migration::SysvolMigrationTask::Step [MIG] Failed Migration task.Error:
+ [Error:5(0x5) Migration::SysVolMigration::Migrate migrationserver.cpp:1200 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::StepToNextStableState migrationserver.cpp:1271 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::Prepare migrationserver.cpp:1431 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::CreateLocalAdObjects migrationserver.cpp:2694 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolMigrationLocalObjects adwriterserver.cpp:1965 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 U Insufficient Rights]
方案 2: 已使用 DFSR 复制 SYSVOL
域。 升级新的 DC 时,它无法复制 SYSVOL
,并且 SYSVOL
不会创建共享 NETLOGON
。
检查新 DC 显示的 DFS 复制事件登录:
Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 6016
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: 2008-R2-TSPDC2.tailspintoys.com
Description:
The DFS Replication service failed to update configuration in Active Directory Domain Services. The service will retry this operation periodically.
Additional Information:
Object Category: msDFSR-LocalSettings
Object DN: CN=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com**
Error: 5 (Access is denied.)
Domain Controller: 2008-R2-TSPDC1.tailspintoys.com
Polling Cycle: 60
检查 DC 显示的 DFSR 调试登录:
<DateTime> 1712 CFAD 2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
<DateTime> 1712 ADWR 633 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Local settings object already exists.
<DateTime> 1712 ADWR 655 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Got Local Setting's SD for adding ACE
<DateTime> 1712 ADWR 678 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Going to set new SD
<DateTime> 1712 CFAD 2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com Error:Insufficient Rights
<DateTime> 1712 CFAD 11508 [ERROR] Config::AdReader::Read [SYSVOL] (Ignored) Failed to create SysVol objects, Error:
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjects adwriterserver.cpp:1360 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjectsWithParams adwriterserver.cpp:1457 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 U Insufficient Rights]
检查 PDCE 中的 DFSR 调试登录会显示:
<DateTime> 1792 CFAD 6160 [ERROR] Config::AdSnapshot::BuildPartnersSubTree Failed to create computer tree for partner:CN=2008-R2-TSPDC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=tailspintoys,DC=com, Error:
+ [Error:1168(0x490) Config::AdSnapshot::BuildPartnerComputerSubTree ad.cpp:6018 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::BuildLocalSettingsTree ad.cpp:6408 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4112 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4108 1792 W Element not found.]
原因
默认用户权限分配“管理审核和安全日志”(SeSecurityPrivilege)已从内置管理员组中删除。 不支持从域控制器上的管理员中删除此用户权限。 这将导致 DFSR SYSVOL
迁移失败。 DFSR 迁移,必须由属于该域中内置管理员组成员的用户运行。 所有 DC 都是内置管理员组的自动成员。
解决方法
若要解决此问题,请按照顺序执行所有步骤,在以域管理员身份运行时使用提升的 CMD 提示符:
场景 1:
通过在 PDCE 上运行来确定哪个安全组策略正在将此设置应用到 DC:
GPRESULT.EXE /H secpol.htm
在 Web 浏览器中打开 secpol.htm ,然后选择“ 全部显示”。 搜索“管理审核和安全日志”条目。 它将列出正在应用此设置的组策略。
使用 GPMC.MSC 编辑该组策略以包含组 管理员。
允许 AD 和
SYSVOL
复制在所有 DC 上聚合。 在 PDCE 上,运行:GPUPDATE /FORCE
注销 PDCE 并重新登录,使用用户权限分配更新安全令牌。
运行:
DFSRMIG.EXE /CREATEGLOBALOBJECTS
允许 AD 和
SYSVOL
复制在所有 DC 上聚合。 在 PDCE 上,运行:DFSRDIAG.EXE POLLAD DFSRMIG.EXE /GETMIGRATIONSTATE
验证某些或所有 DC 是否已达到“准备”状态,并准备好重定向。 此时,可以正常继续进行迁移。 请参阅下面的“详细信息”部分。
场景 2:
通过在 PDCE 上运行来确定哪个安全组策略正在将此设置应用到 DC:
GPRESULT.EXE /H secpol.htm
在 Web 浏览器中打开 secpol.htm ,然后选择“ 全部显示”。 搜索“管理审核和安全日志”条目。 它将列出正在应用此设置的组策略。
使用 GPMC.MSC 编辑该组策略以包含组 管理员。
允许 AD 和
SYSVOL
复制在所有 DC 上聚合。 在受影响的 DC 上,运行:GPUPDATE /FORCE
在该 DC 上重启 DFSR 服务。
验证 DC 现在是否共享
SYSVOL
和 NETLOGON,并复制SYSVOL
入站。
sysvol
可能不在任何 DC 上共享。 这会阻止你编辑或应用组策略。 解决方法是手动共享 sysvol
、编辑用户权限“管理审核和安全日志”并强制更新 GP。
步骤:
手动共享
sysvol
- 编辑此注册表值Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
值SysvolReady
= 1
运行 net share 以确保sysvol
共享。打开策略并将用户或组添加到“管理审核和安全日志”用户权限。
运行:
gpupdate force.
注意
在步骤 3 中,可能需要在步骤 3 中再次共享 sysvol 作为迁移后台进程
SYSVOL
,在编辑策略之前可能将其取消共享如上所述继续执行方案 1 或 2。
DFSRMIG 可以成功更新 AD,但无法更新注册表。 如果 AD 更新已成功创建 sysvol 复制组,但注册表由于缺少用户权限而更改 DFSR 服务,则只会看到迁移正在进行的事件 8010。
详细信息
DC 在迁移期间保持长时间的准备状态是正常的,尤其是在 AD 复制可能需要几个小时或数天才能聚合的较大环境中。 即使 AD 复制达到这些 DC 并且 15 分钟已通过 DFSR AD 轮询,它们仍处于该状态并不正常。
请勿手动共享 SYSVOL
和 NETLOGON 以解决此问题。 不要设置为 SYSVOLREADY=1
解决此问题。 这样做将导致 DC 自行联系组策略。 由于无法填充用户 SYSVOL
权限,因此不会应用任何用于修复用户权限的更改。
有关使用站点间更改通知降低 AD 复制收敛时间的详细信息,请参阅 附录 B - 过程参考。
有关从 FRS 迁移到 DFSR 的详细信息 SYSVOL
,请参阅 将 SYSVOL 复制迁移到 DFS 复制。