none
SYSVOL unvollständig (NETLOGON-Share und Staging-Ordner fehlen) - GPM Fehler Sysvol Inaccessible RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich hab ein Problem wo ich nicht wirklich weiterkomme bzw. einige Fragen dazu habe und hoffe, dass mir jemand helfen kann.

    Wir haben einen PDC (Server 2012) und einen DC (Server 2012) in der Zentrale und drei DCs (2x Server 2012R2, 2x Server 2008R2) in Aussenstellen.

    Domain functional level ist auf Windows Server 2008 R2.

    Die SYSVOL-Replikation läuft über DFSR. Hab das vor ca. einem Jahr umgestellt.

    Die Replikation der GPOs scheint zu laufen. Zumindest ist mir bisher nichts gegenteiliges aufgefallen und auch in den Ereignisprotokollen hab ich nichts bemerkt was darauf hindeuten könnte. In letzter Zeit gab es jedoch immer wieder einige seltsame Phänomene im Zusammenhang mit den GPOs, wo GPOs nicht gezogen haben und dergleichen.

    Bei den gründlichen Tests ist mir aufgefallen, dass der SYSVOL-Ordner des PDCs wie auch der DCs unvollständig ist. Woran das liegt oder wie das entstanden ist kann ich leider nicht sagen. Es fehlt der Scripts-Ordner (der jedoch bei uns eh leer ist) und auch die Staging-Ordner.

    Die Auswertungen sagen folgendes.

    Grouppolicy-Manangement-Status:
    Baseline-Domain-Controller auf dem PCD:
    3 Server bei SYSVOL auf Inaccessible (alle Server per Namensauflösung jedoch erreichbar)
    1 Server bei SYSVOL auf GPO-Version (scheinbar unterschiedliche GPO-Versionen)
    Baseline-Domain-Controller auf dem DC in der Zenrale:
    4 Server bei SYSVOL auf GPO-Version
    Die Änderungen an GPOs werden aber definitiv vom PDC an alle DCs übertagen.

    DCDIAG:
    1) Netlogon-Share nicht vorhanden (auf allen DCs)
    2) DFSREVENTS: Warnungen oder Fehler in den letzten 24 Stunden

    REPADMIN: keine Fehler, alles funktionsfähig.

    DFS-Replication-Health-Report: keine Fehler

    Eventlogs DFSR:
    PDC: 5014-Fehler, ("stopping communication" mit DC in der Zentrale) und innerhalb von 20 Sekunden gefolgt von 5004 ("successfully established").
    DC in Zentrale: 2213 (stopped replication-Lösung: ResumeReplicationWMI-Method
    DC Aussenstelle: 014-Fehler, ("stopping communication" mit DC in der Zentrale) und innerhalb von 20 Sekunden gefolgt von 5004 ("successfully established"). Ab und zu 5002-Fehler (error communication mit PDC)

    Explorer-Dateidatum von den SYSVOL-Ordnern:
    PDC und zwei Aussenstellen-DCs gleiches Datum (aktuell)
    DC in Zentrale und ein Aussenstellen-DC gleiches Datum (nicht aktuell)

    Bisher habe ich nur den Scripts-Ordner auf dem PDC angelegt, damit das NETLOGON-Share wieder eingerichtet wird. Die Änderung wurde an zwei DCs übertragen. Bei zwei anderen musste ich sie manuell anlegen.

    1) Die Lösung scheint ein Authoritative auf dem PDC und ein Non-Authoritative-Restore des DFSR Sysvols zu sein. ((https://support.microsoft.com/en-us/kb/2218556) Ist das richtig? Wenn ja, wie gehe ich da am besten vor, wenn der SYSVOL-Ordner am PDC schon unvollständig ist? Ich brauch ja irgendwie die fehlenden Ordner zurück.
    2) Von den GPOs habe ich mal ein Backup erstellt. Werden die GPOs beim Authoritative-Restore gelöscht und wieder automatisch angelegt? Oder muss ich den Inhalt des Policies-Ordner manuell zurückkopieren?
    3) Stellt der Authoritative-Restore die fehlenden Ordner im SYSVOL wieder her oder muss man die manuell anlegen? Wenn ja, was ist da zu beachten?
    4) Wozu werden die staging-Ordner benötigt? Hab leider keine Info dazu gefunden?

    Würde mich freuen, wenn mir jemand diese Fragen beantworten könnte.

    Mittwoch, 20. Januar 2016 09:56
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 20.01.2016 um 10:56 schrieb IT_Services:
    > Bei den gründlichen Tests ist mir aufgefallen, dass der SYSVOL-Ordner
    > des PDCs wie auch der DCs unvollständig ist.
     
    Repariere deine Replikation.
    Entweder kennst du einen DC der verlässlich alle GP Objekte kennt oder
    du musst sie aus dem Backup holen.
     
    Meist reicht ein non-authoritative bei dem Defekten, wenn ein DC noch
    stimmt. Wenn das nicht reicht gibt es die Hammer-Methode mit dem
    autoritative.
     
    Wenn nur einer spinnt -> dieser = non-auth
    wenn viel spinnen -> einer = auth., viele=non-auth
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 20. Januar 2016 10:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Zuerstmal danke für die Antwort.

    Das ein Authoritative Restore notwendig ist, ist mir bewusst. Ich verstehe auch wie das durchgeführt wird. Deinen Link hatte ich in meinem Post ja bereits.

    Unser PDC scheint auch alle aktuellen GPOs zu haben. Ich sehe alle GPOs auch auf allen DCs richtig. Aber eben nicht die fehlenden Ordner (scripts und staging). Die hab ich auch nicht im Backup. Die scheinen schon länger zu fehlen.

    Deswegen ist meine Frage ja auch wie ich bei den fehlenden Ordnern vorgehen soll. Oder werden die beim Authoritative Restore automatisch erstellt? Soweit ich das verstehe, geb ich ja den PDC dann als Referenz an. Wenn dort aber schon Ordner fehlen muss ich da ja vorher noch manuell erstellen. Gibt es irgendwo eine Übersicht wie diese anzulegen sind?

    Die GPOs hab ich ja über den Ordner Policies eh. Aber die restlichen Ordner sind die Frage.

    Mittwoch, 20. Januar 2016 10:24
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 20.01.2016 um 11:24 schrieb IT_Services:
    > (scripts und staging)
     
    das ist eine andere Baustelle, sorry das habe ic hnicht vollständig gelesen.
     
    How to rebuild the SYSVOL tree and its content in a domain
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert BambuPH Montag, 25. Januar 2016 08:04
    Mittwoch, 20. Januar 2016 10:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Kein Problem. Kann ja passieren. ;-)

    Den Link hab ich auch gefunden, da geht es aber um SYSVOL unter NTFRS und nicht DFSR. Dazu hab ich nämlich leider nichts gefunden.

    Mittwoch, 20. Januar 2016 10:45
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 20.01.2016 um 11:45 schrieb IT_Services:
    > Den Link hab ich auch gefunden, da geht es aber um SYSVOL unter NTFRS
    > und nicht DFSR. Dazu hab ich nämlich leider nichts gefunden.
     
    Die Lokale Dateistruktur eines DCs ändert sich ja deswegen nicht, bzw.
    bei einem migrierten DC ist es SYSVOL_DFSR anstelle von SYSVOL.
     
    Wäre der DC niegelnagelneu mit DFSR installiert, wäre das SYSVOL im
    C:\windows\sysvol (wenn man es bei Install nicht verlegt hat)
     
    Den Freigaben wie das NETLOGON ist NTFRS oder DFSR total egal.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 20. Januar 2016 11:04
    |
  • Question
    Anmelden
    1
    Anmelden
     
    Falscher Artikel...
     
     
    Authoritativ bei GPOs immer auf dem PDC-Emulator, alle anderen D2 :)
     
    mfg Martin
     
    Mittwoch, 20. Januar 2016 11:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Naja, so falsch ist der Artikel ja auch nicht. Ist zwar Windows 2003, aber da sieht man wie die SYSVOL-Struktur aussieht. Und die muss ich ja scheinbar manuell wieder erstellen und dann einen Authorativen Restore (D4) auf dem PDC und D2 auf den anderen DCs durchführen.

    Ich werde das mal abends durchführen und melde mich dann wieder.

    Danke fürs erste!

    Mittwoch, 20. Januar 2016 11:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Ein paar Fragen noch bevor ich das durchführe.

    Beim Authoritative Restore wird ja der SYSVOL-Ordner "wiederhergestellt". Werden dabei die GPOs gelöscht und wieder automatisch angelegt?
    Oder muss ich den Inhalt des Policies-Ordner manuell zurückkopieren? Oder verändert sich da eh nichts an den GPOs?
    Ich werde den SYSVOL-Ordner wie er jetzt ist eh nicht verändern, ich werde nur die fehlenden Ordner manuell anlegen. Aber ich möchte nicht plötzlich vor leeren Ordnern stehen wenn ich den Authoritative Restore durchführe und dann alle GPOs wiederherstellen müssen.


    • Bearbeitet BambuPH Donnerstag, 21. Januar 2016 15:15
    Donnerstag, 21. Januar 2016 14:48
    |
  • Question
    Anmelden
    1
    Anmelden
    > Beim Authoritative Restore wird ja der SYSVOL-Ordner
    > "wiederhergestellt".
     
    Nein. Dabei wird das, was dort gerade vorhanden ist, als "gültig"
    übernommen. Und deshalb muß danach auf allen anderen DCs auch ein non
    authoritative Restore gemacht werden - DABEI wird dann allerdings der
    vorhandene Ordner verschoben/umbenannt und von einem Replikationspartner
    neu geholt.
     
    > Ich werde den SYSVOL-Ordner wie er jetzt ist eh nicht verändern, ich
    > werde nur die fehlenden Ordner manuell anlegen. Aber ich möchte nicht
    > plötzlich vor leeren Ordnern stehen wenn ich den Authoritative Restore
    > durchführe und dann alle GPOs wiederherstellen müssen. Oder hat das auf
    > das bestehende Active Directory eh keinen Einfluss?
     
    Strg-C Strg-V ist ja schnell gemacht :)
     
    Donnerstag, 21. Januar 2016 15:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Authoritative Restore und Unauthoritative Restore haben funktioniert. Es geht wieder alles einwandfrei.

    Aber erst nachdem ich die fehlenden Staging und Staging Areas-Ordner (inkl. Junction Points) manuell auf allen DCs erstellt habe.

    Danke für die Hilfe!

    Montag, 25. Januar 2016 08:04
    |