Принудительное и неавтизированное синхронизация для репликации sysvol, реплицируемых с DFSR
Принудительное и неавтизированное синхронизация для репликации sysvol, реплицируемых с DFSR
В этой статье повествуют о принудительной и неавтизированной синхронизации для репликации sysvol, реплицируемых с DFSR.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2218556
Сводка
Рассмотрим следующий сценарий.
Необходимо принудительно принудительное синхронизацию репликации sysvol на контроллере домена (DC). В службе репликации файлов (FRS) она контролировалась через значения данных D2 и D4 для значений реестра, но эти значения не существуют для службы репликации распределенной файловой системы Bur Flags (DFSR). Для этого нельзя использовать оснастку DFS Management (Dfsmgmt.msc) или средство Dfsradmin.exe командной строки. В отличие от настраиваемой реплицируемой папки DFSR репликация sysvol намеренно защищена от редактирования с помощью интерфейсов управления для предотвращения несчастных случаев.
Выполнение неавтитарной синхронизации репликации sysvol с репликацией DFSR с репликацией DFSR (например, D2 для FRS)
В ADSIEDIT. Средство MSC измените следующее значение и атрибут имени (DN) на каждом из контроллеров домена (DCs), которые необходимо сделать неавтиционными:
Репликация Force Active Directory во всем домене.
Запустите следующую команду из повышенной командной подсказки на тех же серверах, что и неавтлитарные:
В журнале событий DFSR вы увидите ИД события 4114, указывающий, что репликация sysvol больше не реплицируется.
На том же DN из шага 1 установите msDFSR-Enabled=TRUE.
Репликация Force Active Directory во всем домене.
Запустите следующую команду из повышенной командной подсказки на тех же серверах, что и неавтлитарные:
В журнале событий DFSR, указывающее на инициализированную репликацию sysvol, вы увидите event ID 4614 и 4604. Этот контроллер домена теперь сделал D2 репликации sysvol.
Как выполнить авторитарную синхронизацию репликации sysvol с репликацией DFSR(например, D4 для FRS)
Установите тип запуска службы репликации DFS в ручном режиме и остановите службу на всех контроллерах домена в домене.
В ADSIEDIT. Средство MSC измените следующие DN и два атрибута на контроллере домена, который необходимо сделать авторитетным (желательно PDC Emulator, который обычно является самыми последние для содержимого репликации sysvol):
Измените следующий DN и один атрибут на всех остальных контроллерах домена в этом домене:
Принудительное копирование Active Directory по всему домену и проверка его успешности на всех DCs.
Запустите службу DFSR на контроллере домена, который был назначен как авторитетный в шаге 2.
В журнале событий DFSR вы увидите ИД события 4114, указывающий, что репликация sysvol больше не реплицируется.
На том же DN из шага 1 установите msDFSR-Enabled=TRUE.
Принудительное копирование Active Directory по всему домену и проверка его успешности на всех DCs.
Запустите следующую команду с повышенной командной подсказки на том же сервере, который вы установите как авторитетный:
В журнале событий DFSR вы увидите ИД события 4602, указывающее, что репликация sysvol инициализирована. Этот контроллер домена теперь сделал D4 репликации sysvol.
Запустите службу DFSR на других неавтетных DCs. В журнале событий DFSR вы увидите ИД события 4114, указывающий, что репликация sysvol больше не реплицируется на каждом из них.
Измените следующий DN и один атрибут на всех остальных контроллерах домена в этом домене:
Запустите следующую команду из повышенной командной подсказки на всех неавтитарных DCs (то есть все, кроме ранее авторитетного):
Возврат службы DFSR к исходному типу запуска (Автоматический) на всех DCs.
Дополнительная информация
При установке авторитетного флага на одном dc необходимо неавтлитарно синхронизировать все остальные DCs в домене. В противном случае вы увидите конфликты в DCs, возникающие из любых DCs, где вы не задали auth/non-auth и перезапустили службу DFSR. Например, если все скрипты с логотипами были случайно удалены и вручную они были помещены обратно в держатель ролей PDC Emulator, то этот сервер стал бы авторитетным, а все остальные серверы неавтолицентными гарантировали бы успех и предотвратили конфликты.
Если какой-либо dc авторитетный, PDC Emulator как авторитетный предпочтительнее, так как его содержимое репликации sysvol наиболее в курсе.
Использование авторитетного флага необходимо только при необходимости принудительной синхронизации всех компьютеров. Если только отремонтирует один dc, сделайте его неавтным и не касайтесь других серверов.
Эта статья разработана с учетом среды 2-DC для простоты описания. Если у вас было несколько затронутых DC, раздвяйте действия, чтобы включить все из них. Кроме того, предполагается, что у вас есть возможность восстановить удаленные, перезаписанные, поврежденные данные и так далее. ранее, если это сценарий аварийного восстановления для всех компьютеров в домене.
Нет флагов в реестре
У меня проблема с тем, что мои общие ресурсы контроллера домена Windows 2012 SYSVOL и NETLOGON не были созданы на моем дополнительном контроллере домена. Когда я запускаю dcdiag / q, он сообщает, что не прошел тест на рекламу и не может получить доступ к общему ресурсу netlogon.
Все, что я прочитал об этой проблеме, говорит мне о том, что я должен выполнить неавторизованное восстановление, изменив значение реестра в:
HKEY_LOCAL_MACHINE System CurrentControlSet Services NtFrs Parameters Backup / Restore Process при запуске
Однако у меня нет этого ключа в реестре. Это причина моей проблемы? Или я должен создать этот ключ?
1 ответ
«burflags» был для ФРС. Windows Server 2012 не имеет FRS, поэтому схожая процедура описана в этой большой статье:
Как вызвать принудительную / неавторизованную синхронизацию для реплицированного DFSR SYSVOL (например, «D4 / D2» для FRS)
Ссылка
Обратите внимание, что есть две отдельные процедуры: одна для доверенных, другая для неавторизованных.
«Вы хотите принудительно принудительно синхронизировать SYSVOL на контроллере домена. В службе репликации файлов (FRS) это контролировалось через значения данных D2 и D4 для значений реестра Burflags, но эти значения не существует для службы репликации распределенной файловой системы (DFSR). Для этого нельзя использовать оснастку «Управление DFS» (Dfsmgmt.msc) или средство командной строки Dfsradmin.exe. В отличие от пользовательских реплицируемых папок DFSR, SYSVOL намеренно защищен от любое редактирование через свои интерфейсы управления для предотвращения несчастных случаев. «
[. ] две процедуры, например D2 (без аутентификации) или D4 (аутентификация) .
«Если установить авторитетный флаг на одном контроллере домена, вы должны выполнять неавторизованную синхронизацию всех других контроллеров домена в домене. В противном случае вы увидите конфликты на контроллерах домена, происходящие из любых контроллеров домена, для которых вы не установили auth / non-auth и перезапустили служба DFSR. Например, если все сценарии входа были случайно удалены и их копия вручную была помещена обратно в держатель роли эмулятора PDC, что делает этот сервер авторитетным, а все остальные серверы — не авторизованными, что гарантирует успех и предотвращает конфликты.
При создании какого-либо авторитетного DC предпочтительным является эмулятор PDC, поскольку его содержимое SYSVOL обычно наиболее актуально.
Использование авторитетного флага необходимо только в том случае, если вам нужно принудительно синхронизировать все контроллеры домена. Если вы восстанавливаете только один DC, просто сделайте его неавторизованным и не трогайте другие серверы.
Эта статья разработана с учетом среды 2-DC, для простоты описания. Если у вас было более одного затронутого DC, расширьте шаги, чтобы включить ВСЕ из них. Также предполагается, что у вас есть возможность восстановить данные, которые были удалены, перезаписаны, повреждены и т. Д. Ранее, если это сценарий аварийного восстановления на всех контроллерах домена в домене. «
Как посмотреть текущих хозяев операций в Active Directory (роли контроллеров домена)
Заходим на контроллер домена (например, через RDP) и выполняем через CMD:
C:> ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server <servername>
Привязка к <servername> .
Подключен к <servername> с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server
Серверу «<servername>» известно о 5 ролях
Схема — CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=CENTER,CN=Sites,CN=Configurati
on,DC=hotels
Хозяин именования — CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=CENTER,CN=Sites,CN
=Configuration,DC=hotels
PDC — CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=CENTER,CN=Sites,CN=Configuration,D
C=hotels
RID — CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=CENTER,CN=Sites,CN=Configuration,D
C=hotels
Инфраструктура — CN=NTDS Settings,CN=SERVER3,CN=Servers,CN=CENTER,CN=Sites,CN
=Configuration,DC=hotels
select operation target: quit
fsmo maintenance: quit
ntdsutil: quit
Здесь вместо <servername> укажите имя сервера — контроллера домена. Например того, с которого Вы и выполняете эту команду.
Как видно в выводе команды — указанному серверу известно — кто является хозяином операции по каждой роли. Имена серверов видны после записей «CN=» (вторых по счету — первая запись — это «NTDS Settings»). В нашем примере мы видим, что хозяинами соответствующих операций являются: SERVER1, SERVER2 и SERVER3.
Путь 2. Через GUI
Определяем основной контроллер, хозяина RID и хозяина инфраструктуры
- Основной контроллер домена
- Хозяина RID
- Хозяина инфраструктуры
1) Открываем:
Пуск -> Администрирование -> Active Directory — Пользователи и компьютеры
2) Щелкаем правой кнопкой мыши на названии нужного домена в левой части окна и выбираем пункт меню «Хозяева операций».
3) В открывшемся окне будет три вкладки: «RID», «PDC» (основной контроллеро домена) и «Инфраструктура». Соответственно, заходя в ту или иную вкладку Вы можете наблюдать текущего хозяина роли в верхней строке.
Определяем сервер с ролью хозяина схемы
1) Для того, чтобы увидеть оснастку «Схема Active Directory», из которой мы сможем увидеть хозяина схема, выполним (с правами локального админа):
Пуск -> Выполнить -> «mmc» -> Enter
3) В открывшемся пустом окне MMC давим:
Файл -> Добавить или удалить оснастку
4) Выбираем оснастку «Схема Active Directory»
6) Правой кнопкой по «Схема Active Directory» в MMC и выбираем «Хозяин операций»
В открывшемся окне мы можем видеть текущего хозяина роли «Хозяин схемы» в верхней строчке.
Определяем сервер с ролью хозяина именования
Пуск -> Администрирование -> Active Directory — Домены и доверия
В открывшемся окне в левой части кликаем правой кнопкой мыши на «Домены и доверия» и выбираем пункт «Хозяин операций».
В открывшемся окне, в верхней строчке мы можем видеть текущего хозяина именования.
Передача ролей FSMO в Windows Server 2012 R2
Роли контроллера домена формируются при создании нового домена, по умолчанию все роли назначаются первому контроллеру домена в лесу. Передача ролей FSMO требуются в исключительных случаях. Microsoft рекомендует осуществлять передачу ролей в перечисленных ниже случаях:
1. Понижение роли контроллера домена с целью вывода сервера из эксплуатации;
2. Временное отключение контроллера домена.
Захват ролей FSMO осуществляется, если:
1. Роль была принудительно понижена с помощью команды dcpromo /forceremoval.
2. На контролере домена, являвшемся хозяином роли FSMO, не функционирует ОС;
3. В работе текущего хозяина FSMO возникли проблемы, влияющие на работоспособность, присущих данной роли, и не дающие выполнить передачу роли;
Кратко вспомним основные роли мастеров операций (FSMO роли) и рассмотрим что будет, если у нас недоступна какая-то из ролей.
Хозяин схемы (Schema master) – не сможем произвести модификацию схемы. Схему модифицируют единичными случаями раз в несколько лет: установка новой версии ОС для доменов, установка Exchange, иногда других приложений.
Хозяин именования домена(Domain naming master) – не сможем добавить или удалить новый домен.
Хозяин RID (RID Master) – через некоторый, и что важно для реальной жизни, довольно длительный промежуток времени не сможем заводить новых пользователей и группы. Лимит жизни до 500 пользователей или групп. Есть организации, где людей работает всего 100 человек.
Эмулятор PDC(PDC emulator) – клиенты до 2000 windows не смогут попадать в домен плюс некоторые послабления при вводе неправильного пароля пользователем. синхронизация времени не остановится, но ошибки в event log обеспечены.
Хозяин инфраструктуры (Infrastructure Master) – если у нас много доменов, на контроллерах домена, которые не глобальные каталоги может нарушаться членство в локальных группах домена.
Передачу ролей FSMO в Windows Server 2012 R2, начинать стоит с команды netdom query fsmo, которая покажет кто является текущим хозяином ролей FSMO в домене.
Имеется два вида передачи ролей FSMO в Windows Server 2012 R2. Первый, это передача ролей FSMO при помощи оснасток управления Active Directory.
Для того чтобы передать роли уровня домена, такие как (PDC Emulator, RID Master и Infrastructure Master) необходимо использовать оснастку Active Directory «Пользователи и компьютеры». Заходим на контроллер домена, которому хотим передать роли и запускаем оснастку и нажав правой клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».
Далее выбираем нужную роль (в примере это RID Master) и нажимаем кнопку «Изменить».
Далее, обязательно подтверждаем перенос роли.
Все роль передана. Аналогично передаем остальные две роли доступные в оснастке управления Active Directory (PDC Emulator, Infrastructure Master)
Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust).
Чуть сложнее с передачей роли Schema Master. Для её передачи необходимо сначала зарегистрировать в системе библиотеку управления схемой Active Directory. для этого необходимо ввести команду regsvr32 schmmgmt.dll в командной строке. Далее открываем консоль MMC и добавляем в нее оснастку Схема Active Directory и действуем аналогично предыдущем примере.
Второй способ передачи ролей FSMO осуществляется при помощи утилиты Ntdsutil.
ntdsutil это утилита командной строки, предназначенная для обслуживания Active Directory, также в число ее возможностей входит захват и передача ролей FSMO.
Для передачи необходимо зайти на контроллер домена, которому назначаются роли FSMO. Запускаем командную строку и вводим команды в такой последовательности:
ntdsutil
roles
connections
connect to server <имя сервера>
q
После успешного подключения к серверу, получаем приглашение к управлению ролями (fsmo maintenance):
transfer domain naming master — передача роли хозяина доменных имен.
transfer infrastructure master — передача роли хозяина инфраструктуры;
transfer rid master — передача роли хозяина RID;
transfer schema master — передача роли хозяина схемы;
transfer pdc — передача роли эмулятора PDC.
Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.
Примечание. Начиная с Windows Server 2008R2 команда для передачи роли хозяина доменных имен transfer naming master.
В качестве примера передадим роль Infrastructure Master серверу SRV2 и проверим результат.
Принудительное назначение ролей FSMO при помощи Ntdsutil:
Принудительное захват или назначение ролей FSMO осуществляется в случае выхода из строя сервера и невозможностью его восстановления. Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена, которому хотим передать роли и последовательно вводим в командной строке:
ntdsutil
roles
connections
connect to server <имя сервера>
q
Для захвата ролей FSMO используется команда seize
seize domain naming master — захват роли хозяина доменных имен;
seize infrastructure master — захват роли хозяина инфраструктуры;
seize rid master — захват роли хозяина RID;
seize schema master — захват роли хозяина схемы;
seize pdc — захват роли эмулятора PDC.
Примечание. Начиная с Windows Server 2008 R2 команда для захвата роли хозяина доменных имен seize naming master.
Моменты, которые необходимо учесть при передаче или захвате ролей:
• Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) учетная запись должна быть членом группы Администраторы домена (Domain admins), а для передачи ролей уровня леса (Domain Naming Master и Schema Master) — Администраторы предприятия (Enterprise Admins).
• Не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
• В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем случае нельзя возвращать обратно, потому, что при его появлении в сети возникнет конфликт, что может вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active Directory. В Windows Server 2008 и 2008 R2 это можно сделать, просто удалив объект сервера в оснастке Active Directory Пользователи и компьютеры, а в Windows Server 2003 с помощью программы Ntdsutil, используя команду ntdsutil — metadata cleanup. Подробнее об этом можно почитать в техподдержке Microsoft.
Синхронизация времени Hyper-V для контроллера домена VM
Я получаю VM IC Time Synchronization Provider на обоих DC-серверах VM, я знаю, что это означает синхронизацию с хостом.
Когда я запускаю w32tm /resync /rediscover
Я получил «не пересинхронизировал, потому что не было данных времени», и идентификатор события 134 в журналах имеет какие-либо идеи по этому поводу?
Я также просмотрел журналы и получил событие 144 & 12
Я следил за подробностями MS KB по настройке внешнего источника времени и сделал все изменения реестра, но я думаю, что DNS меня достает?
Но когда я изменяю время на одной из физических машин, это время, из которого устанавливается время. Может быть, если я отменил регистрацию их всех и зарегистрируюсь, обновляю и синхронизирую, но я боюсь, что создаст большую проблему!
Я пытаюсь оставить синхронизацию времени между VM и Hyper-V Host включенными, поскольку я считаю, что это лучшая практика из того, что я прочитал.
Спасибо за помощь
Я, наконец, получил его работу! Цель состоит в том, чтобы помочь людям, начинающим с самого начала устанавливать время Домены.
В этом примере все серверы, первичный контроллер домена (PDC), другие контроллеры домена (DC) и другие серверы работают под управлением Windows 2008 R2 и виртуализируются с помощью Hyper-V.
Сначала вы сначала прочитаете, чтобы отключить «службу синхронизации синхронизации» на любой виртуальной машине в Hyper-V, но вместо этого вы должны управлять службой времени Windows (услуга w32tm) из виртуального DC, вы не должны отключать эту потому что, когда перезагрузка VM это вызовет проблемы, это должно быть сделано с помощью w32tm. http: //blogs .msdn.com /б /virtual_pc_guy /архив /2010/11/19 /временной синхронизации-в-гипер-v.aspx
Вам нужно будет узнать, какой сервер является PDC и запускает роли FSMO. Запустите это: netdom query fsmo Результатом должен быть ваш PDC, и именно здесь вы делаете большую часть своих изменений.
Убедитесь, что в брандмауэре есть правило «Исходящее» на UDP123, а программа% SystemRoot% System32 w32tm.exe просто просматривает каталог Windows и находит exe для времени
Здесь происходят изменения реестра! HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time
Убедитесь, что PDC в config в указанном выше реестре установлен в NTP для «type», а все остальные серверы NT5DS, это означает, что NTP — это папа! Лучшая практика заключается в том, чтобы PDC выглядел внешне за время, и все синхронизировалось с ним.
Запустите это на всех контроллерах домена (включая PDC), он частично отключит время Windows, чтобы он не смотрел на хост-машину на время, что важно, потому что мы виртуализированы. reg add HKLM SYSTEM CurrentControlSet Services W32Time TimeProviders VMICTimeProvider /v Включено /t reg_dword /d 0
Вы можете перейти на ntp.org http://support.ntp.org/бен /вид /Серверы /WebHome чтобы найти ближайший к вам сервер, чтобы синхронизировать ваше внешнее время. Я рекомендую не использовать Microsoft, поскольку они сильно используются и могут выскользнуть из-за этого.
Ниже команды PDC будет выглядеть внешне, а также проверить настройки реестра, как это определено здесь, для синхронизации снаружи (вам нужно сделать оба) http://support.microsoft.com/kb/816042
Запустите это на PDC w32tm /config /manualpeerlist:»0.pool.ntp.org,0x1 «/syncfromflags: MANUAL /надежный: есть w32tm /config /update w32tm /resync w32tm /resync /rediscover
Запустите эти 2 команды в любой момент на любом сервере, чтобы увидеть их источник, и когда они будут обновлены в последний раз, они будут использоваться во время этого упражнения, чтобы убедиться, что ваш PDC и другие серверы получают время из нужного места w32tm /query /status w32tm /query /source
Затем запустите это на всех DC, кроме PDC, это заставит их посмотреть PDC на время и повторить синхронизацию с ним w32tm /config /syncfromflags: DOMHIER /обновление net stop w32time net start w32time w32tm /resync /force
Вопросы: Когда вы запускаете запрос Status или Source, дайте им минуту или 2 после изменений, вы не должны смотреть на Local CMOS Clock, и вы не должны использовать vm ic поставщик синхронизации времени в качестве источника.
В случае успеха PDC должен прочитать внешний сайт, который вы установили, а другие серверы должны указать PDC как источник