Главная » Руководство по Windows

Устранение неполадок в пропавших акциях sysvol и netlogon

Опубликовано: Руководство по Windows

Выполнение неполномочного восстановления папки FRS-Replicated SYSVOL

Неполномочное восстановление — это наиболее распространенный способ повторной инициализации репликации SYSVOL на отдельных контроллерах домена. Контроллеры домена, которые не восстанавливаются принудительно, должны иметь входящие подключения от других рабочих контроллеров домена, участвующих в Active Directory и репликации FRS. В крупной среде развертывания, состоящей из множества контроллеров домена, оставшиеся контроллеры домена можно восстановить с помощью восстановления неполномочного режима в следующих случаях:

  • Должен существовать хотя бы один известный работоспособный член реплики (контроллер домена с работоспособной папкой SYSVOL).
  • Другие контроллеры домена должны быть повторно инициализированы в порядке прямых партнеров репликации.

В следующей процедуре описывается, как выполнить неполномочное восстановление.

Выполнение неполномочного восстановления

  1. Завершите работу службы FRS.

  2. Восстановите данные из резервной копии в папку SYSVOL.

  3. Настройте раздел реестра BurFlags , задав для следующего раздела реестра значение DWORD D2.

    HKey _ Локальный _ компьютер \ System \ CurrentControlSet \ службы \ NtFrs \ Параметры \ Backup/Restore \ при запуске \ BurFlags

  4. Перезапустите службу FRS.

При перезапуске службы FRS выполняются следующие действия.

  • Значение раздела реестра BurFlags сбрасывается в ноль.

  • Файлы в повторно инициализированных папках FRS перемещаются в уже существующую папку.

  • Событие 13565 регистрируется в журнале событий FRS, чтобы сообщить о начале неполномочного восстановления.

    Примечание

    Коды событий службы FRS описаны в статье «коды ошибок журнала событий FRS» в базе знаний справки и поддержки по адресу https://go.microsoft.com/fwlink/p/?linkid=117779

  • База данных FRS перестраивается.

  • Член выполняет начальное соединение набора реплик от вышестоящего партнера или с компьютера, указанного в родительском разделе реестра Set реплики , если для НАБОРОВ реплик SYSVOL указан родительский элемент.

  • На повторно инициализированном компьютере выполняется полная репликация затронутых наборов реплик при запуске соответствующего расписания репликации.

  • После завершения процесса в журнал заносится событие 13516, сообщающее о работоспособности службы FRS. Если событие не заносится в журнал, возникает проблема с конфигурацией службы FRS.

Примечание

Размещение файлов в уже существующей папке на повторно инициализированных членах является защитой в службе FRS, которая предназначена для предотвращения случайной потери данных. Все файлы, предназначенные для реплики, которые существуют только в локальной папке и были реплицированы после того, как начальная репликация может быть скопирована в соответствующую папку. При исходящей репликации файлы в уже существующей папке можно удалить, чтобы освободить дополнительное место на диске.

Процедура устранения проблем FRS

  1. Проверьте свободное пространство диска на компьютере A (исходный каталог, каталог постановок и раздел базы данных) и компьютере B (раздел назначения, раздел preinstall и раздел базы данных). Посмотрите на следующие события в viewer событий:

    • ID события: 13511

      База данных находится вне дискового пространства.

    • ID события: 13522

      Каталог постановок заполнен. Это может вызвать исходящие партнеры, которые не подключены некоторое время. Удалите подключение и остановите и перезапустите FRS, чтобы принудительно удалить файлы постановок.

  2. Создайте тестовый файл на компьютере B и проверьте его репликацию на компьютер A.

  3. Убедитесь, что компьютер A и компьютер B доступны в сети. Так как FRS использует полностью квалифицированное доменное имя (FQDN) членов реплики, необходимо сначала проверить использование команды ping, указывав полное имя реплик проблемы.

    С компьютера A отправьте команду ping с FQDN компьютера B. С компьютера B отправьте команду ping в FQDN компьютера A. Убедитесь, что адреса, возвращенные командой ping, такие же, как и адреса, возвращенные командой с помощью командной строки конечного компьютера.

  4. Доступ к консоли администрирования Services, следуя следующим шагам:

    1. Нажмите кнопку Пуск и выберите пункт Выполнить.

    2. В поле Open введите services.msc.

      Подтверди, что FRS работает на обоих компьютерах. Если служба не запущена, просмотрите контейнер FRS для просмотра событий (расположенный в файле Eventvwr.msc) на компьютере с проблемой.

  5. Проверка подключения удаленного вызова процедуры (RPC) между компьютером A и компьютером B. Подходящим тестом может быть открытие просмотра событий на компьютере B с компьютера A (который использует RPC). Проверьте журналы событий FRS на обоих компьютерах. Если ID события 13508 присутствует, может возникнуть проблема со службой RPC на компьютере или с созданием безопасного подключения между компьютером A и компьютером B.

  6. Чтобы проверить расписание репликации объекта Подключения, используйте консоль Active Directory Sites and Services. Убедитесь, что репликация включена между компьютером A и компьютером B и включено подключение. Объект Connection — это входящий объект под объектом NTFRS_MEMBER компьютера B. Для объема системы (SYSVOL) объект Connection находится в папке Sites\Site_name\Servers\Server_name\Ntds Параметры\Connection_name.

  7. Для Dfs см. ссылки на подключение пользователей и компьютеров Active Directory (AD). Откройте пользователей ИД и компьютер, щелкните Просмотр из меню и убедитесь, что Параметры расширенный доступ. Перейдите к контейнеру System. Расположение объектов Подключения находится в папке System\File Replication Service\DFS Volumes.

  8. Проверьте, заблокирован ли файл на сервере происхождения (доступ к нему невозможно получить) на любом компьютере. Если файл заблокирован на компьютере B, чтобы frS не считыла файл, FRS не может создать файл постановки, что задерживает репликацию. Если файл заблокирован на компьютере A, чтобы FRS не обновлял файл, FRS продолжает повторное обновление до тех пор, пока оно не будет успешно. Интервал повторного отрезка составляет от 30 до 60 секунд.

  9. Проверьте, был ли исходный файл исключен из репликации. Подтвердим, что файл не шифрует файловую систему (EFS), соединение файловой системы NTFS (NTFS) или исключается фильтром файла или папки на исходивом члене реплики. Если какие-либо из этих ситуаций верны, FRS не реплицирует файл или каталог.

  10. Если все предыдущие условия выполнены, возможно, вам придется изучить файлы журналов, созданные для FRS. Файлы журнала находятся в папке %Systemroot%\Debug. Имена файлов перечислены из NtFrs_001.log в NtFrs_005.log.

Обходной путь

Существует несколько обходных способов решения этой проблемы, в зависимости от того, какое глобальное состояние миграции вы указали ранее.

Проблема возникает на этапе Подготовки или перенаправления

  1. Если вы уже запускали или ранее, запустите следующую команду в качестве администратора домена:

  2. Подождите, пока репликация Active Directory будет распространяться по всему домену, а также чтобы контроллеры домена Windows Server 2019 снова начали работу на этапе Начните.

  3. Убедитесь, что SYSVOL является общим для этих контроллеров домена и что SYSVOL снова реплицируется как обычно с помощью FRS.

  4. Убедитесь, что в этом домене Windows сервер 2008 R2, Windows Server 2012 R2 или Windows Server 2016 контроллер домена. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итдируется из одного или более контроллеров домена и что они реплицирует Active Directory в обычном режиме, прежде чем на следующем шаге понизить все контроллеры домена Windows Server 2019. Дополнительные сведения см. в дополнительных сведениях, связанных с устранением неполадок с репликацией Active Directory.

  5. Понизить Windows контроллеры домена на основе Сервера 2019 до серверов-членов. Это временный шаг.

  6. Перенос SYSVOL в DFSR обычно Windows сервер 2008 R2, Windows Server 2012 R2 и Windows Server 2016 контроллеры домена.

  7. Продвижение серверов Windows Server 2019 в контроллеры домена.

Проблема возникает на этапе устранения

Этап ликвидации FRS не может быть откатан с помощью DFSRMIG. Если уже задана ликвидация FRS, можно использовать любой из следующих обходных пути.

Вариант 1

В этом домене по-прежнему Windows сервер 2008 R2, Windows Server 2012 R2 или Windows Server 2016 контроллеры домена. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итдируется из одного или более контроллеров домена и что они реплицирует Active Directory в обычном режиме, прежде чем на следующем шаге понизить все контроллеры домена Windows Server 2019. Дополнительные сведения см. в дополнительных сведениях, связанных с устранением неполадок с репликацией Active Directory.

  1. Понизить Windows контроллеры домена на основе Сервера 2019. Это временный шаг.
  2. Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016 домена.
  3. Продвижение серверов Windows Server 2019 в контроллеры домена.

Вариант 2

Все контроллеры домена в домене работают Windows Server 2019.

Примечание

  • Шаг 6 этого обхода требует продвижения по крайней мере одного Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 DC.
  • При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

  1. В ADSIEDIT. Средство MSC измените следующее отличительное значение имени и атрибут в PDC Emulator:
    CN=DFSR-GlobalSettings, CN=System,DC= <domain> ,DC= <TLD> msDFSR-Flags = 0

  2. Подождите, пока репликация Active Directory будет распространяться по всему домену.

  3. На всех контроллерах Windows Server 2019 измените значение реестра типов DWORD Local State до 0:

    • Параметр реестра: локальное состояние
    • Путь реестра:
    • Значение реестра: 0
    • Тип данных: REG_DWORD

  4. На всех контроллерах Windows Server 2019 перезапустите следующие службы, запустив следующие команды:

  5. Убедитесь, что SYSVOL имеет общий доступ к этим контроллерам домена и что SYSVOL снова реплицируется как обычно с помощью FRS.

  6. Продвижение одного или более Windows 2008 R2, Windows Server 2012 R2 или Windows Server 2016 контроллеров домена в этом домене. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итдируется из одного или более контроллеров домена и что они реплицирует Active Directory в обычном режиме, прежде чем на следующем шаге понизить все контроллеры домена Windows Server 2019. Дополнительные сведения см. в дополнительных сведениях, связанных с устранением неполадок с репликацией Active Directory.

  7. Понизить Windows контроллеры домена на основе Сервера 2019 до серверов-членов. Это временный шаг.

  8. Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016 домена.

  9. Продвижение серверов Windows Server 2019 в контроллеры домена.

  10. Необязательный вариант: понижение Windows 2008 R2, Windows Server 2012 R2 или Windows Server 2016 dc, добавленных на шаге 6.

Доменные пространства имен в режиме Windows Server 2008

Система Windows Server 2008 поддерживает создание доменных пространств имен в режиме Windows Server 2008. При этом включается поддержка перечисления на основе доступа и обеспечивается повышенная масштабируемость. Доменное пространство имен, появившееся в Windows 2000 Server, теперь называется «доменное пространство имен (режим Windows 2000 Server)».
Чтобы можно было использовать режим Windows Server 2008, домен и доменное пространство имен должны удовлетворять следующим минимальным требованиям:

  • домен должен использовать режим работы домена Windows Server 2008;
  • все серверы пространства имен должны работать под управлением Windows Server 2008.

Если среда поддерживает режим Windows Server 2008, выбирайте его при создании доменных пространств имен. Этот режим обеспечивает дополнительные возможности и повышенную масштабируемость, а также исключает необходимость миграции пространства имен из режима Windows 2000 Server.

Актуальность содержимого

Репликация DFS в Windows Server 2008 включает новую функцию «Актуальность содержимого», не позволяющую серверу, который длительное время не был подключен к сети, переписать при возврате в оперативный режим работы актуальные данные устаревшими.

Усовершенствования обработки непредвиденных отключений

В Windows Server 2008 репликация DFS теперь обеспечивает более быстрое восстановление работоспособности системы после непредвиденных отключений. Непредвиденное отключение может произойти по причинам, указанным ниже.

  • Непредвиденное отключение репликации DFS может произойти при аварийном завершении процесса репликации DFS или его остановке из-за недостатка ресурсов.
  • Непредвиденное отключение компьютера может произойти при сбое в работе компьютера или нарушении его энергоснабжения во время выполнения репликации DFS.
  • Непредвиденное отключение тома может произойти при нарушении энергоснабжения тома с содержимым репликации DFS, при его отключении или отсоединении.

Непредвиденное отключение компьютера или тома может привести к потере изменений файловой системы NTFS, которые не были скопированы на диск. В результате может нарушиться согласование базы данных репликации DFS с файловой системой на диске.
В системе Windows Server 2003 R2 непредвиденное отключение может вынудить механизм репликации DFS полностью воссоздать базу данных, на что может потребоваться длительное время. В Windows Server 2008 воссоздавать базу данных после непредвиденных отключений обычно не требуется, благодаря чему работоспособность восстанавливается гораздо быстрее.

Рекомендуемое максимальное количество контроллеров домена в домене

Чтобы обеспечить надежное восстановление SYSVOL, мы рекомендуем ограничить 1200 контроллеров домена на домен. Если ожидается, что какой-либо домен Active Directory в вашей сети превысит 800 контроллеров домена, и на этих контроллерах доменов размещены зоны, интегрированные в Active Directory (DNS), то нужно будет вносить некоторые изменения в DNS. В зоне DNS, интегрированной в Active Directory, имена DNS представлены объектами dnsNode, а записи DNS хранятся в виде значений в многозначном атрибуте dnsRecord объектов dnsNode, что приводит к появлению сообщений об ошибках.

Полезно будет посмотреть статью https://support.microsoft.com/en-us/help/267855/problems-with-many-domain-controllers-with-active-directory-integrated

Дополнительная информация

Для компьютеров нормально оставаться состоянием Подготовка в течение длительного периода времени во время миграции, особенно в более крупных средах, где репликация AD может занять несколько часов или дней. Для них не является нормальным оставаться в этом состоянии даже после того, как репликация AD достигла этих DCs и прошло 15 минут для опроса AD DFSR.

Не делитесь данными и NETLOGON вручную для работы над этой проблемой. Не устанавливайте для работы над этой проблемой. Это приведет к тому, что dc свядется с самим собой для групповой политики. Так как он не может заполнить его, любые изменения, чтобы исправить права пользователей, не будут применены.

Дополнительные сведения о снижении времени конвергенции репликации AD с помощью уведомления об изменении на межсайтовом сайте см. в приложении B — Справка о процедурах.

Дополнительные сведения о миграции из FRS в DFSR см. в дополнительных сведениях о миграции репликации SYSVOL в репликацию DFS.

Описание

Для этого на контроллере домена необходимо проверить в  редакторе реестра наличие ключа HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalState . Если ключ имеет значение отличное от 3 (ELIMINATED) используется FRS

Состояния миграции отображены в таблице ниже

State

Transition Process for Job Responsibilities

Migration Process for SYSVOL Replication

Start (State 0)

Before deciding to retire or leave, the employee handles all of the responsibilities of the job.

Before SYSVOL migration begins, FRS replicates the SYSVOL shared folder.

Prepared (State 1)

The first employee continues working while the new employee shadows the first employee, learning how to perform the work. The new employee may become responsible for some minor tasks, but the first employee remains accountable for the primary responsibilities of the job.

FRS continues to replicate the SYSVOL shared folder that the domain uses, while DFS Replication replicates a copy of the SYSVOL folder. This copy of the SYSVOL folder is not used to service requests from other domain controllers.

Redirected (State 2)

The new employee takes over most of the responsibilities of the job, but the first employee remains to assist the new employee if needed.

The DFS Replication copy of the SYSVOL folder becomes responsible for servicing SYSVOL requests from other domain controllers. FRS continues to replicate the original SYSVOL folder, but DFS Replication now replicates the production SYSVOL folder that domain controllers in the Redirected state use.

Eliminated (State 3)

The first employee retires or leaves, and the new employee handles all of the responsibilities of the job.

DFS Replication continues to handle all the SYSVOL replication. Windows deletes the original SYSVOL folder, and FRS no longer replicates SYSVOL data.

Примеры

Чтобы задать для глобального состояния миграции значение подготовлено (1) и начать миграцию или выполнить откат из подготовленного состояния, введите:

Чтобы задать для глобального состояния миграции значение запуск () и начать откат до начального состояния, введите:

Чтобы отобразить состояние глобальной миграции, введите:

Выходные данные команды:

Чтобы отобразить сведения о том, совпадают ли локальные состояния миграции на всех контроллерах домена с глобальным состоянием миграции и существуют ли локальные состояния миграции, в которых локальное состояние не соответствует глобальному, введите:

Выходные данные команды, когда состояние локальной миграции на всех контроллерах домена соответствует глобальному состоянию миграции:

Выходные данные команды, если локальные состояния миграции на некоторых контроллерах домена не соответствуют глобальному состоянию миграции.

Чтобы создать глобальные объекты и параметры, которые репликация DFS используют в AD DS на контроллерах домена, где эти параметры не были автоматически созданы во время миграции, или если эти параметры отсутствуют, введите:

Чтобы удалить глобальные параметры AD DS репликации FRS для контроллера домена только для чтения с именем Contoso-DC2, если эти параметры не были автоматически удалены процессом миграции, введите:

Чтобы удалить глобальные параметры AD DS для репликации FRS для всех контроллеров домена только для чтения, если эти параметры не были автоматически удалены процессом миграции, введите:

Чтобы удалить глобальные параметры AD DS для репликация DFS контроллера домена только для чтения с именем Contoso-DC2, если эти параметры не были автоматически удалены процессом миграции, введите:

Чтобы удалить глобальные параметры AD DS для репликация DFS для всех контроллеров домена только для чтения, если эти параметры не были автоматически удалены процессом миграции, введите:

Чтобы отобразить справку в командной строке, выполните следующую команду:

Репликация Active Directory средствами Windows PowerShell

В Windows Server 2012 добавлены дополнительные командлеты для репликации Active Directory в модуль Active Directory для Windows PowerShell. Они позволяют настраивать новые и существующие сайты, подсети, подключения, связи сайтов и мосты. Они также возвращают метаданные репликации Active Directory, состояние репликации, а также актуальные данные об очередях и векторе синхронизации версий. Командлеты репликации в сочетании с другими командлетами модуля Active Directory позволяют администрировать весь лес, используя только Windows PowerShell. Все это дает новые возможности администраторам, желающим предоставлять ресурсы и управлять системой Windows Server 2012 без использования графического интерфейса, что сокращает уязвимость операционной системы к атакам и требования к обслуживанию. Это приобретает особое значение, если серверы необходимо развернуть в сетях с высоким уровнем защиты, таких как сети SIPR и корпоративные сети периметра.

Подробнее о топологии сайтов и репликации доменных служб Active Directory см. в разделе Технический справочник по Windows Server.

Репликация в Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Рейтинг
( Пока оценок нет )
0
Понравилась статья? Поделиться с друзьями:
Ваша ОС
Вам также может быть интересно
.
Руководство по Windows 0
Устранение неполадок, отсутствующих в акциях sysvol и netlogon windows контроллерах домена
Описывает действия по устранению неполадок, которые необходимо использовать Windows 2000 контроллеров домена, отсутствующих в
Ваша ОС
Настройка доверительных отношений между доменами active directory
Руководство по Windows 0
Устранение неполадок репликации active directory
Дополнительные сведения см. в статье Устранение неполадок, связанных с репликацией Active Directory
Ваша ОС
Как перенести групповые политики на новый контроллер домена
Руководство по Windows 0
Устранение неполадок с ошибкой репликации ad 8477: был размещен запрос на репликацию; ожидание ответа
Описывает проблему, из-за которой операции AD сбой с ошибкой 8477 (запрос репликации был размещен,
Ваша ОС
Инструкция по групповым политикам active drirectory
Руководство по Windows 0
Устранение неполадок средства расширенного управления групповыми политиками
Устранение неполадок средства расширенного управления групповыми политиками
Ваша ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: