0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Принудительное и неавтизированное синхронизация для репликации sysvol, реплицируемых с DFSR

Принудительное и неавтизированное синхронизация для репликации sysvol, реплицируемых с DFSR

В этой статье повествуют о принудительной и неавтизированной синхронизации для репликации sysvol, реплицируемых с DFSR.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2218556

Сводка

Рассмотрим следующий сценарий.

Необходимо принудительно принудительное синхронизацию репликации sysvol на контроллере домена (DC). В службе репликации файлов (FRS) она контролировалась через значения данных D2 и D4 для значений реестра, но эти значения не существуют для службы репликации распределенной файловой системы Bur Flags (DFSR). Для этого нельзя использовать оснастку DFS Management (Dfsmgmt.msc) или средство Dfsradmin.exe командной строки. В отличие от настраиваемой реплицируемой папки DFSR репликация sysvol намеренно защищена от редактирования с помощью интерфейсов управления для предотвращения несчастных случаев.

Выполнение неавтитарной синхронизации репликации sysvol с репликацией DFSR с репликацией DFSR (например, D2 для FRS)

В ADSIEDIT. Средство MSC измените следующее значение и атрибут имени (DN) на каждом из контроллеров домена (DCs), которые необходимо сделать неавтиционными:

Репликация Force Active Directory во всем домене.

Запустите следующую команду из повышенной командной подсказки на тех же серверах, что и неавтлитарные:

В журнале событий DFSR вы увидите ИД события 4114, указывающий, что репликация sysvol больше не реплицируется.

На том же DN из шага 1 установите msDFSR-Enabled=TRUE.

Репликация Force Active Directory во всем домене.

Запустите следующую команду из повышенной командной подсказки на тех же серверах, что и неавтлитарные:

В журнале событий DFSR, указывающее на инициализированную репликацию sysvol, вы увидите event ID 4614 и 4604. Этот контроллер домена теперь сделал D2 репликации sysvol.

Как выполнить авторитарную синхронизацию репликации sysvol с репликацией DFSR(например, D4 для FRS)

Установите тип запуска службы репликации DFS в ручном режиме и остановите службу на всех контроллерах домена в домене.

В ADSIEDIT. Средство MSC измените следующие DN и два атрибута на контроллере домена, который необходимо сделать авторитетным (желательно PDC Emulator, который обычно является самыми последние для содержимого репликации sysvol):

Измените следующий DN и один атрибут на всех остальных контроллерах домена в этом домене:

Принудительное копирование Active Directory по всему домену и проверка его успешности на всех DCs.

Запустите службу DFSR на контроллере домена, который был назначен как авторитетный в шаге 2.

В журнале событий DFSR вы увидите ИД события 4114, указывающий, что репликация sysvol больше не реплицируется.

На том же DN из шага 1 установите msDFSR-Enabled=TRUE.

Принудительное копирование Active Directory по всему домену и проверка его успешности на всех DCs.

Запустите следующую команду с повышенной командной подсказки на том же сервере, который вы установите как авторитетный:

В журнале событий DFSR вы увидите ИД события 4602, указывающее, что репликация sysvol инициализирована. Этот контроллер домена теперь сделал D4 репликации sysvol.

Запустите службу DFSR на других неавтетных DCs. В журнале событий DFSR вы увидите ИД события 4114, указывающий, что репликация sysvol больше не реплицируется на каждом из них.

Измените следующий DN и один атрибут на всех остальных контроллерах домена в этом домене:

Запустите следующую команду из повышенной командной подсказки на всех неавтитарных DCs (то есть все, кроме ранее авторитетного):

Возврат службы DFSR к исходному типу запуска (Автоматический) на всех DCs.

Читайте так же:
Лабораторный блок питания с плавной регулировкой напряжения

Дополнительная информация

При установке авторитетного флага на одном dc необходимо неавтлитарно синхронизировать все остальные DCs в домене. В противном случае вы увидите конфликты в DCs, возникающие из любых DCs, где вы не задали auth/non-auth и перезапустили службу DFSR. Например, если все скрипты с логотипами были случайно удалены и вручную они были помещены обратно в держатель ролей PDC Emulator, то этот сервер стал бы авторитетным, а все остальные серверы неавтолицентными гарантировали бы успех и предотвратили конфликты.

Если какой-либо dc авторитетный, PDC Emulator как авторитетный предпочтительнее, так как его содержимое репликации sysvol наиболее в курсе.

Использование авторитетного флага необходимо только при необходимости принудительной синхронизации всех компьютеров. Если только отремонтирует один dc, сделайте его неавтным и не касайтесь других серверов.

Эта статья разработана с учетом среды 2-DC для простоты описания. Если у вас было несколько затронутых DC, раздвяйте действия, чтобы включить все из них. Кроме того, предполагается, что у вас есть возможность восстановить удаленные, перезаписанные, поврежденные данные и так далее. ранее, если это сценарий аварийного восстановления для всех компьютеров в домене.

Нет флагов в реестре

У меня проблема с тем, что мои общие ресурсы контроллера домена Windows 2012 SYSVOL и NETLOGON не были созданы на моем дополнительном контроллере домена. Когда я запускаю dcdiag / q, он сообщает, что не прошел тест на рекламу и не может получить доступ к общему ресурсу netlogon.

Все, что я прочитал об этой проблеме, говорит мне о том, что я должен выполнить неавторизованное восстановление, изменив значение реестра в:

HKEY_LOCAL_MACHINE System CurrentControlSet Services NtFrs Parameters Backup / Restore Process при запуске

Однако у меня нет этого ключа в реестре. Это причина моей проблемы? Или я должен создать этот ключ?

1 ответ

«burflags» был для ФРС. Windows Server 2012 не имеет FRS, поэтому схожая процедура описана в этой большой статье:

Как вызвать принудительную / неавторизованную синхронизацию для реплицированного DFSR SYSVOL (например, «D4 / D2» для FRS)
Ссылка

Обратите внимание, что есть две отдельные процедуры: одна для доверенных, другая для неавторизованных.

«Вы хотите принудительно принудительно синхронизировать SYSVOL на контроллере домена. В службе репликации файлов (FRS) это контролировалось через значения данных D2 и D4 для значений реестра Burflags, но эти значения не существует для службы репликации распределенной файловой системы (DFSR). Для этого нельзя использовать оснастку «Управление DFS» (Dfsmgmt.msc) или средство командной строки Dfsradmin.exe. В отличие от пользовательских реплицируемых папок DFSR, SYSVOL намеренно защищен от любое редактирование через свои интерфейсы управления для предотвращения несчастных случаев. «

[. ] две процедуры, например D2 (без аутентификации) или D4 (аутентификация) .

«Если установить авторитетный флаг на одном контроллере домена, вы должны выполнять неавторизованную синхронизацию всех других контроллеров домена в домене. В противном случае вы увидите конфликты на контроллерах домена, происходящие из любых контроллеров домена, для которых вы не установили auth / non-auth и перезапустили служба DFSR. Например, если все сценарии входа были случайно удалены и их копия вручную была помещена обратно в держатель роли эмулятора PDC, что делает этот сервер авторитетным, а все остальные серверы — не авторизованными, что гарантирует успех и предотвращает конфликты.

При создании какого-либо авторитетного DC предпочтительным является эмулятор PDC, поскольку его содержимое SYSVOL обычно наиболее актуально.

Читайте так же:
Как отрегулировать термостат на радиаторе отопления

Использование авторитетного флага необходимо только в том случае, если вам нужно принудительно синхронизировать все контроллеры домена. Если вы восстанавливаете только один DC, просто сделайте его неавторизованным и не трогайте другие серверы.

Эта статья разработана с учетом среды 2-DC, для простоты описания. Если у вас было более одного затронутого DC, расширьте шаги, чтобы включить ВСЕ из них. Также предполагается, что у вас есть возможность восстановить данные, которые были удалены, перезаписаны, повреждены и т. Д. Ранее, если это сценарий аварийного восстановления на всех контроллерах домена в домене. «

Как посмотреть текущих хозяев операций в Active Directory (роли контроллеров домена)

Заходим на контроллер домена (например, через RDP) и выполняем через CMD:

C:> ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server <servername>

Привязка к <servername> .
Подключен к <servername> с помощью учетных данных локального пользователя.

server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server

Серверу «<servername>» известно о 5 ролях
Схема — CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=CENTER,CN=Sites,CN=Configurati
on,DC=hotels
Хозяин именования — CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=CENTER,CN=Sites,CN
=Configuration,DC=hotels
PDC — CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=CENTER,CN=Sites,CN=Configuration,D
C=hotels
RID — CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=CENTER,CN=Sites,CN=Configuration,D
C=hotels
Инфраструктура — CN=NTDS Settings,CN=SERVER3,CN=Servers,CN=CENTER,CN=Sites,CN
=Configuration,DC=hotels

select operation target: quit
fsmo maintenance: quit
ntdsutil: quit

Здесь вместо <servername> укажите имя сервера — контроллера домена. Например того, с которого Вы и выполняете эту команду.

Как видно в выводе команды — указанному серверу известно — кто является хозяином операции по каждой роли. Имена серверов видны после записей «CN=» (вторых по счету — первая запись — это «NTDS Settings»). В нашем примере мы видим, что хозяинами соответствующих операций являются: SERVER1, SERVER2 и SERVER3.

Путь 2. Через GUI

Определяем основной контроллер, хозяина RID и хозяина инфраструктуры

  • Основной контроллер домена
  • Хозяина RID
  • Хозяина инфраструктуры

1) Открываем:
Пуск -> Администрирование -> Active Directory — Пользователи и компьютеры

2) Щелкаем правой кнопкой мыши на названии нужного домена в левой части окна и выбираем пункт меню «Хозяева операций».

3) В открывшемся окне будет три вкладки: «RID», «PDC» (основной контроллеро домена) и «Инфраструктура». Соответственно, заходя в ту или иную вкладку Вы можете наблюдать текущего хозяина роли в верхней строке.

Определяем сервер с ролью хозяина схемы

1) Для того, чтобы увидеть оснастку «Схема Active Directory», из которой мы сможем увидеть хозяина схема, выполним (с правами локального админа):

Пуск -> Выполнить -> «mmc» -> Enter

3) В открывшемся пустом окне MMC давим:

Файл -> Добавить или удалить оснастку

4) Выбираем оснастку «Схема Active Directory»

6) Правой кнопкой по «Схема Active Directory» в MMC и выбираем «Хозяин операций»

В открывшемся окне мы можем видеть текущего хозяина роли «Хозяин схемы» в верхней строчке.

Определяем сервер с ролью хозяина именования

Пуск -> Администрирование -> Active Directory — Домены и доверия

В открывшемся окне в левой части кликаем правой кнопкой мыши на «Домены и доверия» и выбираем пункт «Хозяин операций».

В открывшемся окне, в верхней строчке мы можем видеть текущего хозяина именования.

Передача ролей FSMO в Windows Server 2012 R2

Роли контроллера домена формируются при создании нового домена, по умолчанию все роли назначаются первому контроллеру домена в лесу. Передача ролей FSMO требуются в исключительных случаях. Microsoft рекомендует осуществлять передачу ролей в перечисленных ниже случаях:

Читайте так же:
Регулировка алюминиевых окон для лоджии

1. Понижение роли контроллера домена с целью вывода сервера из эксплуатации;
2. Временное отключение контроллера домена.

Захват ролей FSMO осуществляется, если:
1. Роль была принудительно понижена с помощью команды dcpromo /forceremoval.
2. На контролере домена, являвшемся хозяином роли FSMO, не функционирует ОС;
3. В работе текущего хозяина FSMO возникли проблемы, влияющие на работоспособность, присущих данной роли, и не дающие выполнить передачу роли;

Кратко вспомним основные роли мастеров операций (FSMO роли) и рассмотрим что будет, если у нас недоступна какая-то из ролей.

Хозяин схемы (Schema master) – не сможем произвести модификацию схемы. Схему модифицируют единичными случаями раз в несколько лет: установка новой версии ОС для доменов, установка Exchange, иногда других приложений.
Хозяин именования домена(Domain naming master) – не сможем добавить или удалить новый домен.
Хозяин RID (RID Master) – через некоторый, и что важно для реальной жизни, довольно длительный промежуток времени не сможем заводить новых пользователей и группы. Лимит жизни до 500 пользователей или групп. Есть организации, где людей работает всего 100 человек.
Эмулятор PDC(PDC emulator) – клиенты до 2000 windows не смогут попадать в домен плюс некоторые послабления при вводе неправильного пароля пользователем. синхронизация времени не остановится, но ошибки в event log обеспечены.
Хозяин инфраструктуры (Infrastructure Master) – если у нас много доменов, на контроллерах домена, которые не глобальные каталоги может нарушаться членство в локальных группах домена.

netdom-query-fsmo

Передачу ролей FSMO в Windows Server 2012 R2, начинать стоит с команды netdom query fsmo, которая покажет кто является текущим хозяином ролей FSMO в домене.

Имеется два вида передачи ролей FSMO в Windows Server 2012 R2. Первый, это передача ролей FSMO при помощи оснасток управления Active Directory.
Для того чтобы передать роли уровня домена, такие как (PDC Emulator, RID Master и Infrastructure Master) необходимо использовать оснастку Active Directory «Пользователи и компьютеры». Заходим на контроллер домена, которому хотим передать роли и запускаем оснастку и нажав правой клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».передать роли уровня домена
Далее выбираем нужную роль (в примере это RID Master) и нажимаем кнопку «Изменить».
передать роли уровня домена
Далее, обязательно подтверждаем перенос роли.передать роли уровня домена
Все роль передана. Аналогично передаем остальные две роли доступные в оснастке управления Active Directory (PDC Emulator, Infrastructure Master)
Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust).
Чуть сложнее с передачей роли Schema Master. Для её передачи необходимо сначала зарегистрировать в системе библиотеку управления схемой Active Directory. для этого необходимо ввести команду regsvr32 schmmgmt.dll в командной строке. Далее открываем консоль MMC и добавляем в нее оснастку Схема Active Directory и действуем аналогично предыдущем примере.

regsvr-schmmgmt

Второй способ передачи ролей FSMO осуществляется при помощи утилиты Ntdsutil.
ntdsutil это утилита командной строки, предназначенная для обслуживания Active Directory, также в число ее возможностей входит захват и передача ролей FSMO.

transfer-schema-master

Для передачи необходимо зайти на контроллер домена, которому назначаются роли FSMO. Запускаем командную строку и вводим команды в такой последовательности:
ntdsutil
roles
connections
connect to server <имя сервера>
q
После успешного подключения к серверу, получаем приглашение к управлению ролями (fsmo maintenance):
transfer domain naming master — передача роли хозяина доменных имен.
transfer infrastructure master — передача роли хозяина инфраструктуры;
transfer rid master — передача роли хозяина RID;
transfer schema master — передача роли хозяина схемы;
transfer pdc — передача роли эмулятора PDC.
Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.
Примечание. Начиная с Windows Server 2008R2 команда для передачи роли хозяина доменных имен transfer naming master.
В качестве примера передадим роль Infrastructure Master серверу SRV2 и проверим результат.

Читайте так же:
Как правильно отрегулировать фурнитуру на пластиковых окнах

Принудительное назначение ролей FSMO при помощи Ntdsutil:

Принудительное захват или назначение ролей FSMO осуществляется в случае выхода из строя сервера и невозможностью его восстановления. Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена, которому хотим передать роли и последовательно вводим в командной строке:
ntdsutil
roles
connections
connect to server <имя сервера>
q

Для захвата ролей FSMO используется команда seize
seize domain naming master — захват роли хозяина доменных имен;
seize infrastructure master — захват роли хозяина инфраструктуры;
seize rid master — захват роли хозяина RID;
seize schema master — захват роли хозяина схемы;
seize pdc — захват роли эмулятора PDC.

Примечание. Начиная с Windows Server 2008 R2 команда для захвата роли хозяина доменных имен seize naming master.

Моменты, которые необходимо учесть при передаче или захвате ролей:
• Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) учетная запись должна быть членом группы Администраторы домена (Domain admins), а для передачи ролей уровня леса (Domain Naming Master и Schema Master) — Администраторы предприятия (Enterprise Admins).
• Не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
• В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем случае нельзя возвращать обратно, потому, что при его появлении в сети возникнет конфликт, что может вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active Directory. В Windows Server 2008 и 2008 R2 это можно сделать, просто удалив объект сервера в оснастке Active Directory Пользователи и компьютеры, а в Windows Server 2003 с помощью программы Ntdsutil, используя команду ntdsutil — metadata cleanup. Подробнее об этом можно почитать в техподдержке Microsoft.

Синхронизация времени Hyper-V для контроллера домена VM

Я получаю VM IC Time Synchronization Provider на обоих DC-серверах VM, я знаю, что это означает синхронизацию с хостом.

Когда я запускаю w32tm /resync /rediscover

Я получил «не пересинхронизировал, потому что не было данных времени», и идентификатор события 134 в журналах имеет какие-либо идеи по этому поводу?

Я также просмотрел журналы и получил событие 144 & 12

Я следил за подробностями MS KB по настройке внешнего источника времени и сделал все изменения реестра, но я думаю, что DNS меня достает?

Но когда я изменяю время на одной из физических машин, это время, из которого устанавливается время. Может быть, если я отменил регистрацию их всех и зарегистрируюсь, обновляю и синхронизирую, но я боюсь, что создаст большую проблему!

Я пытаюсь оставить синхронизацию времени между VM и Hyper-V Host включенными, поскольку я считаю, что это лучшая практика из того, что я прочитал.

Читайте так же:
Адаптивная регулировка яркости отключение

Спасибо за помощь

Я, наконец, получил его работу! Цель состоит в том, чтобы помочь людям, начинающим с самого начала устанавливать время Домены.

В этом примере все серверы, первичный контроллер домена (PDC), другие контроллеры домена (DC) и другие серверы работают под управлением Windows 2008 R2 и виртуализируются с помощью Hyper-V.

Сначала вы сначала прочитаете, чтобы отключить «службу синхронизации синхронизации» на любой виртуальной машине в Hyper-V, но вместо этого вы должны управлять службой времени Windows (услуга w32tm) из виртуального DC, вы не должны отключать эту потому что, когда перезагрузка VM это вызовет проблемы, это должно быть сделано с помощью w32tm. http: //blogs .msdn.com /б /virtual_pc_guy /архив /2010/11/19 /временной синхронизации-в-гипер-v.aspx

Вам нужно будет узнать, какой сервер является PDC и запускает роли FSMO. Запустите это: netdom query fsmo Результатом должен быть ваш PDC, и именно здесь вы делаете большую часть своих изменений.

Убедитесь, что в брандмауэре есть правило «Исходящее» на UDP123, а программа% SystemRoot% System32 w32tm.exe просто просматривает каталог Windows и находит exe для времени

Здесь происходят изменения реестра! HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time

Убедитесь, что PDC в config в указанном выше реестре установлен в NTP для «type», а все остальные серверы NT5DS, это означает, что NTP — это папа! Лучшая практика заключается в том, чтобы PDC выглядел внешне за время, и все синхронизировалось с ним.

Запустите это на всех контроллерах домена (включая PDC), он частично отключит время Windows, чтобы он не смотрел на хост-машину на время, что важно, потому что мы виртуализированы. reg add HKLM SYSTEM CurrentControlSet Services W32Time TimeProviders VMICTimeProvider /v Включено /t reg_dword /d 0

Вы можете перейти на ntp.org http://support.ntp.org/бен /вид /Серверы /WebHome чтобы найти ближайший к вам сервер, чтобы синхронизировать ваше внешнее время. Я рекомендую не использовать Microsoft, поскольку они сильно используются и могут выскользнуть из-за этого.

Ниже команды PDC будет выглядеть внешне, а также проверить настройки реестра, как это определено здесь, для синхронизации снаружи (вам нужно сделать оба) http://support.microsoft.com/kb/816042

Запустите это на PDC w32tm /config /manualpeerlist:»0.pool.ntp.org,0x1 «/syncfromflags: MANUAL /надежный: есть w32tm /config /update w32tm /resync w32tm /resync /rediscover

Запустите эти 2 команды в любой момент на любом сервере, чтобы увидеть их источник, и когда они будут обновлены в последний раз, они будут использоваться во время этого упражнения, чтобы убедиться, что ваш PDC и другие серверы получают время из нужного места w32tm /query /status w32tm /query /source

Затем запустите это на всех DC, кроме PDC, это заставит их посмотреть PDC на время и повторить синхронизацию с ним w32tm /config /syncfromflags: DOMHIER /обновление net stop w32time net start w32time w32tm /resync /force

Вопросы: Когда вы запускаете запрос Status или Source, дайте им минуту или 2 после изменений, вы не должны смотреть на Local CMOS Clock, и вы не должны использовать vm ic поставщик синхронизации времени в качестве источника.

В случае успеха PDC должен прочитать внешний сайт, который вы установили, а другие серверы должны указать PDC как источник

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector