DFSR SYSVOL 无法迁移或复制、SYSVOL 未共享、事件 ID 8028 或 6016

本文提供了一个解决方案，用于解决分布式文件系统复制（DFSR） SYSVOL 无法迁移或复制或 SYSVOL 未共享的问题。

原始 KB 数： 2567421

现象

方案 1： 开始 SYSVOL 从文件复制服务（FRS）迁移到 DFSR 后，没有域控制器进入“准备”阶段，并且仍然停滞在“准备”阶段。 即使在验证 Active Directory （AD） 复制是否已聚合到所有域控制器之后，此问题也会继续。 此问题即使在与 PDCE 相同的 AD 站点中的 DC 上仍然存在，其中 AD 复制每 15 秒发生一次，并且已在 所有 DC 上运行DFSRDIAG.EXE POLLAD 。 /GETMIGRATIONSTATE运行报告命令会显示：

DFSRMIG.EXE /GETMIGRATIONSTATE

域控制器 （本地迁移状态） - DC 类型

===================================================
2008R2-MIG-01 （“准备”） - 主要 DC
2008R2-MIG-02 （“准备”） - 可写 DC
迁移尚未在所有域控制器上达到一致状态。
由于 AD 延迟，状态信息可能过时。

检查主域控制器（PDC）模拟器中的 DFS 复制事件登录会显示：

Log Name: DFS Replication  
Source: DFSR  
Date: <DateTime> 
Event ID: 8028 
Task Category: None  
Level: Error  
Keywords: Classic  
User: N/A  
Computer: 2008r2-mig-01.cohowinery.com  
Description:  
DFSR Migration was unable to transition to the 'PREPARED' state for Domain Controller 2008R2-MIG-01. DFSR will retry the next time it polls the Active Directory. To force an immediate retry, execute the command 'dfsrdiag /pollad'.
Additional Information:
Domain Controller: 2008R2-MIG-01
Error: 5 (Access is denied.)

检查 PDCE 中的 DFSR 调试登录会显示：

<DateTime> 1524 CFAD  2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain
Controllers,DC=cohowinery,DC=com
<DateTime> 1524 ADWR   633
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Local settings object already exists.
<DateTime> 1524 ADWR   655
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Got Local Setting's SD for adding ACE
<DateTime> 1524 ADWR   678
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [SYSVOL] Going to set new SD
<DateTime> 1524 CFAD  2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain Controllers,DC=cohowinery,DC=com Error:Insufficient Rights
<DateTime> 1524 SYSM   586 [ERROR] Migration::SysvolMigrationTask::Step [MIG] Failed Migration task.Error:
+ [Error:5(0x5) Migration::SysVolMigration::Migrate migrationserver.cpp:1200 1524 W Access is denied.] 
+ [Error:5(0x5) Migration::SysVolMigration::StepToNextStableState migrationserver.cpp:1271 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::Prepare migrationserver.cpp:1431 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::CreateLocalAdObjects migrationserver.cpp:2694 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolMigrationLocalObjects adwriterserver.cpp:1965 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 U Insufficient Rights]

方案 2： 已使用 DFSR 复制 SYSVOL 域。 升级新的 DC 时，它无法复制 SYSVOL，并且 SYSVOL 不会创建共享 NETLOGON 。

检查新 DC 显示的 DFS 复制事件登录：

Log Name: DFS Replication
Source: DFSR
Date: <DateTime>
Event ID: 6016
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: 2008-R2-TSPDC2.tailspintoys.com
Description:
The DFS Replication service failed to update configuration in Active Directory Domain Services. The service will retry this operation periodically.

Additional Information:
Object Category: msDFSR-LocalSettings
Object DN: CN=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com**  
Error: 5 (Access is denied.)
Domain Controller: 2008-R2-TSPDC1.tailspintoys.com
Polling Cycle: 60

检查 DC 显示的 DFSR 调试登录：

<DateTime> 1712 CFAD  2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
<DateTime> 1712 ADWR   633 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Local settings object already exists.
<DateTime> 1712 ADWR   655 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Got Local Setting's SD for adding ACE
<DateTime> 1712 ADWR   678 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [`SYSVOL`] Going to set new SD
<DateTime> 1712 CFAD  2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com Error:Insufficient Rights
<DateTime> 1712 CFAD 11508 [ERROR] Config::AdReader::Read [SYSVOL] (Ignored) Failed to create SysVol objects, Error:
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjects adwriterserver.cpp:1360 1712 W Access is denied.]  
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjectsWithParams adwriterserver.cpp:1457 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 U Insufficient Rights]

检查 PDCE 中的 DFSR 调试登录会显示：

<DateTime> 1792 CFAD  6160 [ERROR]   Config::AdSnapshot::BuildPartnersSubTree Failed to create computer tree for partner:CN=2008-R2-TSPDC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=tailspintoys,DC=com, Error:  
+ [Error:1168(0x490) Config::AdSnapshot::BuildPartnerComputerSubTree ad.cpp:6018 1792 W Element not found.] 
+ [Error:1168(0x490) Config::AdSnapshot::BuildLocalSettingsTree ad.cpp:6408 1792 W Element not found.]  
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4112 1792 W Element not found.]  
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4108 1792 W Element not found.]

原因

默认用户权限分配“管理审核和安全日志”（SeSecurityPrivilege）已从内置管理员组中删除。 不支持从域控制器上的管理员中删除此用户权限。 这将导致 DFSR SYSVOL 迁移失败。 DFSR 迁移，必须由属于该域中内置管理员组成员的用户运行。 所有 DC 都是内置管理员组的自动成员。

解决方法

若要解决此问题，请按照顺序执行所有步骤，在以域管理员身份运行时使用提升的 CMD 提示符：

场景 1：

1. 通过在 PDCE 上运行来确定哪个安全组策略正在将此设置应用到 DC：

   GPRESULT.EXE /H secpol.htm
   

2. 在 Web 浏览器中打开 secpol.htm ，然后选择“ 全部显示”。 搜索“管理审核和安全日志”条目。 它将列出正在应用此设置的组策略。

3. 使用 GPMC.MSC 编辑该组策略以包含组 管理员。

4. 允许 AD 和 SYSVOL 复制在所有 DC 上聚合。 在 PDCE 上，运行：

   GPUPDATE /FORCE
   

5. 注销 PDCE 并重新登录，使用用户权限分配更新安全令牌。

6. 运行：

   DFSRMIG.EXE /CREATEGLOBALOBJECTS
   

7. 允许 AD 和 SYSVOL 复制在所有 DC 上聚合。 在 PDCE 上，运行：

   DFSRDIAG.EXE POLLAD
   DFSRMIG.EXE /GETMIGRATIONSTATE
   

8. 验证某些或所有 DC 是否已达到“准备”状态，并准备好重定向。 此时，可以正常继续进行迁移。 请参阅下面的“详细信息”部分。

场景 2：

1. 通过在 PDCE 上运行来确定哪个安全组策略正在将此设置应用到 DC：

   GPRESULT.EXE /H secpol.htm
   

2. 在 Web 浏览器中打开 secpol.htm ，然后选择“ 全部显示”。 搜索“管理审核和安全日志”条目。 它将列出正在应用此设置的组策略。

3. 使用 GPMC.MSC 编辑该组策略以包含组 管理员。

4. 允许 AD 和 SYSVOL 复制在所有 DC 上聚合。 在受影响的 DC 上，运行：

   GPUPDATE /FORCE
   

5. 在该 DC 上重启 DFSR 服务。

6. 验证 DC 现在是否共享 SYSVOL 和 NETLOGON，并复制 SYSVOL 入站。

sysvol可能不在任何 DC 上共享。 这会阻止你编辑或应用组策略。 解决方法是手动共享 sysvol、编辑用户权限“管理审核和安全日志”并强制更新 GP。

步骤：

1. 手动共享 sysvol - 编辑此注册表值 Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
   值 SysvolReady = 1
   运行 net share 以确保 sysvol 共享。

2. 打开策略并将用户或组添加到“管理审核和安全日志”用户权限。

3. 运行：

   gpupdate force.
   

   注意

   在步骤 3 中，可能需要在步骤 3 中再次共享 sysvol 作为迁移后台进程 SYSVOL ，在编辑策略之前可能将其取消共享

4. 如上所述继续执行方案 1 或 2。

DFSRMIG 可以成功更新 AD，但无法更新注册表。 如果 AD 更新已成功创建 sysvol 复制组，但注册表由于缺少用户权限而更改 DFSR 服务，则只会看到迁移正在进行的事件 8010。

详细信息

DC 在迁移期间保持长时间的准备状态是正常的，尤其是在 AD 复制可能需要几个小时或数天才能聚合的较大环境中。 即使 AD 复制达到这些 DC 并且 15 分钟已通过 DFSR AD 轮询，它们仍处于该状态并不正常。

请勿手动共享 SYSVOL 和 NETLOGON 以解决此问题。 不要设置为 SYSVOLREADY=1 解决此问题。 这样做将导致 DC 自行联系组策略。 由于无法填充用户 SYSVOL权限，因此不会应用任何用于修复用户权限的更改。

有关使用站点间更改通知降低 AD 复制收敛时间的详细信息，请参阅 附录 B - 过程参考。

有关从 FRS 迁移到 DFSR 的详细信息 SYSVOL ，请参阅 将 SYSVOL 复制迁移到 DFS 复制。