In meinem Homelab bemerkte ich nach Inbetriebnahme des Bare Metal Domaincontrollers, dass die Synchronisation der SYSVOL bzw. NETLOGON Shares über DFS-R wohl noch nie funktioniert hat.
Da natürlich nichts im Ereignisprotokoll geloggt wurde, recherchierte ich bestimmt vier Stunden, bis ich diesen Blogpost von iSiek fand, der eine autoritative Wiederherstellung der über DFS-R synchronisierten SYSVOL bzw. NETLOGON Freigaben beschreibt. Eine Wiederherstellung über Burflags, wie noch bei Server 2003, ist ab Server 2008 dank DFS-R nicht mehr möglich.
Hier noch einmal kurz die Vorgehensweise. Ich empfehle jedoch sehr sehr genau den Blogpost von iSiek zu lesen, da es auch bei mir erst nach dem dritten mal funktionierte.
1. Auf dem PDC-Emulator, der mit „net dom query fsmo“ ermittelt werden kann, wird zunächst der DFS-R-Dienst angehalten.
2. Auf dem PDC-Emulator werden per ADSI-Edit die Einträge des PDC-Emulators „msDFSR-Enabled = FALSE“ und „msDFSR-Options = 1“ gesetzt.
3. Auf allen anderen DCs wird jetzt per ADSI-Edit nur der Eintrag „msDFSR-Enabled = FALSE“ des jeweiligen DCs geändert und erst anschließend der DFS-R-Dienst beendet.
4. Auf dem PDC-Emulator kann nun der DFS-R-Dienst erneut gestartet werden. Event-ID 4114 der DFS-Replikation sollte protokolliert werden, die aussagt, dass die Synchronisation von C:\Windows\Sysvol\domain durch das zuvor gesetzte msDFSR-Enabled = FALSE deaktiviert wurde.
5. Durch ein erneutes Umstellen von „msDFSR-Enabled = TRUE“ auf dem PDC wird nun das Verzeichnnis wieder durch DFS-R synchronisiert.
6. Diese Änderung muss nun als erstes auf dem PDC und anschließend auf allen anderen DCs mit dem Befehl „repadmin /syncall /AdP“ ins AD synchronisiert werden.
7. Durch Eingabe von „dfsrdiag PollAD“ auf dem PDC zwingt man nun das DFS-R die zuvor im AD replizierten Änderungen zu akzeptieren. Unter Umständen müssen die DFS Management Tools noch als Feature der Dateidienste hinzugefügt werden. In der Ereignisanzeige vom DFS-R sollte Event-ID 4602 protokolliert werden, die besagt, dass die autoritative SYSVOL Wiederherstellung initiiert wurde.
8. Bevor nun weitere Arbeiten auf den übrigens DCs gemacht werden, sollte dort zunächst das SYSVOL gesichert und anschließend geleert werden, um eventuelle Konflikte mit unterschiedlichen Dateiversionen zu vermeiden. Anschließend kann DFS-R auf den übrigen DCs wieder gestartet werden. Event-ID 4114 sollte erneut protokolliert werden, die wie zuvor nun meldet, dass die Replikation von C:\Windows\Sysvol\domain deaktiviert wurde.
9. Auf allen übrigen DCs kann nun bei gestartetem DFS-R-Dienst per ADSI-Edit „msDFSR-Enabled = TRUE“ erneut gesetzt werden. Durch „dfsrdiag PollAD“ wird nun erneut DFS-R gezwungen, die unter Punkt 6 ins AD replizierten Änderungen zu akzeptieren.
Nach kurzer Zeit sollte nun in allen SYSVOL Freigaben nun wieder der gleiche Inhalt vorhanden sein. Mir hat es jedenfalls geholfen.
Als nächstes berichte ich darüber, wie ich auf dem Bare Metal Domaincontroller das SYSVOL und NETLOGON Verzeichnis manuell freigab, da dieses nicht automatisch bei Hochstufen als DC funktionierte. Ja, ich hatte ein sehr arbeitsreiches Wochenende.