Wie bereits hier angekündigt, wollte ich noch erläutern, wie ich auf meinem Bare Metal DC das Problem mit der fehlenden SYSVOL bzw. NETLOGON Freigabe löste.

In diesem KB-Eintrag erläutert Microsoft, was zu tun ist, damit wenigstens das SYSVOL freigeben wird:

1. Regedit nach HKLM\System\CurrentControlSet\Services\Netlogon\Parameters

2. Den Parameter SysvolReady einmal auf 0 und kurze Zeit später wieder auf 1 setzen.

3. Freuen, dass das SYSVOL wieder da ist.

Leider war das SYSVOL zwar nun da, jedoch fluchte das Ereignisprotokoll über Event-ID 5706 vom Netlogon:

Nachdem ich manuell die Ordner „Scripts“ und „Policies“ unterhalb von „C:\Windows\Sysvol\domänen-fqdn“ freigegeben und den Netlogon-Dienst neustartete, melde nun auch Dcdiag keine Probleme mehr.

Yay.

Versucht man auf eine VHD(X), welche auf einem ReFS-Volume liegt (auf einem solchen aber nicht erstellt wurde), mit Hyper-V schreibend zuzugreifen, so bekommt man folgende Fehlermeldung:

Im Ereignisprotokoll wird Event-ID 12140 des Hyper-V SynthStor protokolliert, die besagt, dass auf ReFS das Integritätsbit für virtuelle Festplatten nicht gesetzt sein darf.

Die Meldung erscheint, da ReFS endlich Mechanismen gegen Bit Rot (Silent Data Corruption oder Bitfäule) mitbringt, sodass nun auch große RAID-Volumes sicherer genutzt werden können. Alternative Dateisysteme wären hier ZFS bzw. BtrFS unter Linux. Zum Hintergrund zu Bit Rot sei der Wikipedia-Artikel empfohlen, der die ganze Thematik und die Herkunft des Bit Rots erläutert.

Leider kann Hyper-V mit so gekennzeichneten Dateien nichts anfangen, sodass kein Zugriff auf die Datei möglich ist.

Das Integritätsbit einer Datei kann jedoch folgendermaßen deaktiviert werden:

Get-Item ‚Pfad-zur-Datei\Datei.Endung‘ | Set-FileIntegrity -Enable $False

In meinem Homelab bemerkte ich nach Inbetriebnahme des Bare Metal Domaincontrollers, dass die Synchronisation der SYSVOL bzw. NETLOGON Shares über DFS-R wohl noch nie funktioniert hat.

Da natürlich nichts im Ereignisprotokoll geloggt wurde, recherchierte ich bestimmt vier Stunden, bis ich diesen Blogpost von iSiek fand, der eine au­to­ri­ta­tive Wiederherstellung der über DFS-R synchronisierten SYSVOL bzw. NETLOGON Freigaben beschreibt. Eine Wiederherstellung über Burflags, wie noch bei Server 2003, ist ab Server 2008 dank DFS-R nicht mehr möglich.

Hier noch einmal kurz die Vorgehensweise. Ich empfehle jedoch sehr sehr genau den Blogpost von iSiek zu lesen, da es auch bei mir erst nach dem dritten mal funktionierte.

1. Auf dem PDC-Emulator, der mit „net dom query fsmo“ ermittelt werden kann, wird zunächst der DFS-R-Dienst angehalten.

2. Auf dem PDC-Emulator werden per ADSI-Edit die Einträge des PDC-Emulators „msDFSR-Enabled = FALSE“ und „msDFSR-Options = 1“ gesetzt.

3. Auf allen anderen DCs wird jetzt per ADSI-Edit nur der Eintrag „msDFSR-Enabled = FALSE“ des jeweiligen DCs geändert und erst anschließend der DFS-R-Dienst beendet.

4. Auf dem PDC-Emulator kann nun der DFS-R-Dienst erneut gestartet werden. Event-ID 4114 der DFS-Replikation sollte protokolliert werden, die aussagt, dass die Synchronisation von C:\Windows\Sysvol\domain durch das zuvor gesetzte msDFSR-Enabled = FALSE deaktiviert wurde.

5. Durch ein erneutes Umstellen von „msDFSR-Enabled = TRUE“ auf dem PDC wird nun das Verzeichnnis wieder durch DFS-R synchronisiert.

6. Diese Änderung muss nun als erstes auf dem PDC und anschließend auf allen anderen DCs mit dem Befehl „repadmin /syncall /AdP“ ins AD synchronisiert werden.

7. Durch Eingabe von „dfsrdiag PollAD“ auf dem PDC zwingt man nun das DFS-R die zuvor im AD replizierten Änderungen zu akzeptieren. Unter Umständen müssen die DFS Management Tools noch als Feature der Dateidienste hinzugefügt werden. In der Ereignisanzeige vom DFS-R sollte Event-ID 4602 protokolliert werden, die besagt, dass die au­to­ri­ta­tive SYSVOL Wiederherstellung initiiert wurde.

8. Bevor nun weitere Arbeiten auf den übrigens DCs gemacht werden, sollte dort zunächst das SYSVOL gesichert und anschließend geleert werden, um eventuelle Konflikte mit unterschiedlichen Dateiversionen zu vermeiden. Anschließend kann DFS-R auf den übrigen DCs wieder gestartet werden. Event-ID 4114 sollte erneut protokolliert werden, die wie zuvor nun meldet, dass die Replikation von C:\Windows\Sysvol\domain deaktiviert wurde.

9. Auf allen übrigen DCs kann nun bei gestartetem DFS-R-Dienst per ADSI-Edit „msDFSR-Enabled = TRUE“ erneut gesetzt werden. Durch „dfsrdiag PollAD“ wird nun erneut DFS-R gezwungen, die unter Punkt 6 ins AD replizierten Änderungen zu akzeptieren.

Nach kurzer Zeit sollte nun in allen SYSVOL Freigaben nun wieder der gleiche Inhalt vorhanden sein. Mir hat es jedenfalls geholfen.

Als nächstes berichte ich darüber, wie ich auf dem Bare Metal Domaincontroller das SYSVOL und NETLOGON Verzeichnis manuell freigab, da dieses nicht automatisch bei Hochstufen als DC funktionierte. Ja, ich hatte ein sehr arbeitsreiches Wochenende.