none
Windows 2012 Datacenter Controlador de Dominio Adicional no comparte Sysvol ni lo replica recién instalado y promocionado RRS feed

  • Pregunta

  • Hola buenas.

    LLevo semanas con este problema y probando en laboratorio fue bien una vez sí y otra no, pero en producción no funciona.

    He probado y testeado todo lo que he encontrado.

    Tengo un controlador de Domino Windows Server 2012 datacenter en una máquina virtual de hyper-v y con nivel funcional 2012. Funciona perfectamente.

    El problema es cada vez que intento añadir un DC adicional. Es una máquina idéntica y mismo sistema operativo y todo, limpio recién instalado. Promociona perfecto a controlador de dominio, replica el Directorio Activo y Servidor DNS, pero recién promocionado ya no comparte la carpeta Sysvol, y por supuesto se crea en c:\windows\sysvol pero está vacía.

    Usan DFS-R para replicar pero nunca llega a inicializar esa primera réplica de Sysvol. Sysvol puedo forzar a que se comparta en el registro modificando la clave SysvolReady=0 por =1 pero la replicación sigue sin funcionar. Si fuerzo yo a q se comparta a mano entonces sí se comparte y el servidor ya se puede usar como DC de consulta por los PCs, pues mientras no comparta Sysvol, pese a ser Catálogo Global, no puede ser usado como validador de pcs ni usuarios del dominio ni Dns siquiera.

    Pero la replicación sigue sin fucionar. He probado muchas cosas y trucos similares al D1-D4 de FRS pero estoy abierto a opciones porque no sé que más probar en 2 máquinas, una nueva y otra muy reciente.

    Gracias. 

    lunes, 19 de octubre de 2015 0:18

Respuestas

  • Hola "Marc Os" como estas,

    1 - Que tipo de instalación es cuando dices "maquina identica" es un sysprep o instalación desde iso ?

    Acciones:

    1 - Coloca la IP del 1er DC asi mismo como DNS y la IP del 2do DC asi mismo como DNS.
    2 - Verifica la hora tanto del DC actual y el DC nuevo.
    3 - Verifica el puerto de replicación (firewall)
    4 - Desde el 2do DC event viewer busca solo los errores y postea el # y el source.
    5 - Verifica no tener ninguna política aplicada de la que vienen por default.
    6 - Desde el 1er DC ejecuta y postea "repadmin /replsummary".
    7 - Desde el 2do DC ejecuta y postea "dcdiag".

    Dato tecnico:

    DFS Replication: Frequently Asked Questions (FAQ)
    https://technet.microsoft.com/en-us/library/cc773238(WS.10).aspx

    DFS Replication: How to troubleshoot missing SYSVOL and Netlogon shares
    https://support.microsoft.com/en-us/kb/2958414

    Espero sirva de ayuda. Saludos.

    • Propuesto como respuesta Moderador M lunes, 19 de octubre de 2015 16:58
    • Marcado como respuesta Moderador M viernes, 23 de octubre de 2015 15:53
    lunes, 19 de octubre de 2015 1:55
  • Hola Marc Os, hay que tener en cuenta algo primero que nada, cuando se instala un Controlador de Dominio adicional, no hay que ser ansioso :)

    La primera replicación suele demorar hasta 20 o 30 minutos, así que te pregunto ¿haz dejado pasar ese tiempo antes?

    Lo que es muy raro es que a veces funciona y a veces no, como comentas. Y por eso me inclino a pensar que el problema es que no haz dejado en algún caso el tiempo necesario para que se cree la topología de replicación, y comience a funcionar

    Debes tener en cuenta que el protocolo de replicación de la base de AD, y la carpeta Sysvol son diferentes, y cada uno tiene su propia topología de replicación

    Revisa la siguiente nota: Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2014/12/02/windows-server-2012-r2-crear-un-dominio-instalacin-y-configuracin-del-segundo-controlador-de-dominio/ 


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 19 de octubre de 2015 16:58
    • Marcado como respuesta Moderador M viernes, 23 de octubre de 2015 15:53
    lunes, 19 de octubre de 2015 10:51
    Moderador
  • Hola a todos.

    Ante todo muchas gracias por las molestias y por vuestras respuestas.

    Probé todo lo q pude durante 2 meses y no tuve éxito, tuve q dejar 1 DC sólo.

    Esta semana me volvió a pasar lo mismo en otra infraestructura nueva de todo, de recién implementación basada en Windows2012r2 totalmente.

    Cuando decía idéntico en mi pregunta me refería es que era un Windows2012 configurado con lo mismo, con los mismos recursos y roles y hasta tamaño de disco. En los 2 casos, este nuevo y en el anterior, son todos máquinas virtuales Hyper-v de Windows2012.

    En este caso nuevo, hice el proceso equivalente a D1/D4 de FRS antiguo pero para del DFSr nuevo.

    El problema siempre es con este protocolo, el resto de sincronización del dominio funciona perfecto, sólo no hace la replicación inicial de sysvol, por lo q los nuevos dcs recién agregados no comparten sysvol esperando a ésta primera replicación.  El motivo no lo sé. Las consecuencias q sin Sysvol no puede validar a nadie en el dominio aún teniendo el catálogo global. Se puede forzar a q comparta sysvol buscando la clave del registro SysvolReady y poner el valor a 1, y al reiniciar el servicio de netlogon éste ya encuentra la carpeta compartida y también compartes netlogon y el DC ya validad usuarios contra el dominio. Pero las GPOs q se guardan en la carpeta sysvol no se sincroniza, por lo q según a qué DC consulten los clientes aplicarán unas GPOs u otras o les faltarán GPOs si se esperaban alguna q está en uno y no en otro.

    El proceso limpio es hacer q arranque por primera vez el DFSr, poniendo como autoritativo el DC ppal y luego los demás como no autoritativos, fuerzas replicación y ya sincronizan ok y la carpeta Sysvol se debería compartir, si no lo hace tiras de la Clave de Registro que dije antes y ya se comparte, pero lo importante es q sincroniza y al momento.

    Os  voy a pegar lo que seguí en esta segunda implementación y ya os dirá qué tal la primera cuando la ponga a prueba (q la primera sí q venía de un DC real virtualizado q estaba defectuoso de inicio y tuve q arreglar el AD q en ADSIedit faltaban claves de DFSr). Es este:

    Estas son las soluciones y hay q seguirlas a rajatabla q es fácil despistarse en el orden:
    https://support.microsoft.com/en-us/kb/2958414
    y dentro de esta sigues esta:
    https://support.microsoft.com/en-us/kb/2218556
    ¡¡¡¡¡¡Y FUNCIONÓ Q AHORA SINCRONIZA EN LOS 2 DCS.

    NTP en el DC ppal estaba sincronizando desde la máquina Hospedadora de Hyper-V y mejor configurado NTP contra NTP de internet, por ejemplo hora.roa.es. Luego el DC adicional ya veo q sincroniza por ntds contra su PDC q es DCppal q en mi caso tiene todos los roles fsmo.

    Forzando en Registro SysvolReady=1 entonces ya comparte sysvol en el DC adicional.

    Hay varios eventos de error en replicación DFS q encontré y que me dieron pistas:
    -ESTE EVENTO ESTÁ EN LOS 2 DCs: Replicación DFS ID 4012 
    El servicio de replicación DFS dejó de replicar en la carpeta en la ruta local siguiente: C:\Windows\SYSVOL\domain. Este servidor ha estado desconectado durante 257 días de los demás asociados, lo que supera el valor del parámetro MaxOfflineTimeInDays (60). La replicación DFS considera que los datos de esta carpeta son obsoletos y el servidor no replicará la carpeta hasta que se corrija el error. 

    Para reanudar la replicación de esta carpeta, use el complemento Administración de DFS para quitar este servidor del grupo de replicación y, a continuación, vuélvalo a agregar al grupo. Esto hace que el servidor realice una tarea de sincronización inicial que reemplaza los datos obsoletos con los datos nuevos de los otros miembros del grupo de replicación. 

    Información adicional: 
    Error: 9061 (La carpeta replicada estuvo sin conexión demasiado tiempo.) 
    Nombre de la carpeta replicada: SYSVOL Share 
    Id. de la carpeta replicada: 3398B733-A1B7-4187-ADAF-3787523129A5 
    Nombre del grupo de replicación: Domain System Volume 
    Id. del grupo de replicación: 251CCD7C-4B68-43F2-BF3E-92AB64968C14 
    Id. de miembro: F7AA67F2-77E6-4EC3-87E2-F2C711852C74

    -El servicio de Net Logon no pudo crear el servidor compartido C:\Windows\SYSVOL\sysvol\dominio.es\SCRIPTS. Ocurrió el siguiente error: 
    El sistema no puede encontrar el archivo especificado.. ID 5706

    -Da error pq dominio.es lo coge de sí mismo q no tiene nada y ni lo encuentra en vez del otro DC, y no coge la directiva de DomainControllers q es este error:
    Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\dominio.es\sysvol\dominio.es\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini desde un controlador de dominio. La configuración de la directiva de grupo no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un error temporal y puede deberse a alguna de la causas siguientes:
    a) Un problema con la resolución de nombres o con la conectividad de red al controlador de dominio actual.
    b) Latencia del servicio de replicación de archivos (una cuenta creada en otro controlador de dominio no se replicó en el controlador de dominio actual). 
    c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.


    -Para forzar replicación según pueda el linkador se puede hacer en Sitios y Servicios de Active directory o mejor, con este comando poniendo el nombre del servidor q quieres q sincronice:
    repadmin /syncall NombreServidorSincronizará /e /d /A /P

    -DFSRDiag executable is no longer installed by default and must be installed from the DC's Features menu. Se agrega así en 2012:
    Steps:
    1.) Open Server Manager. 
    2.) Click Manage.
    3.) Click Add Roles & Features.
    4.) Click Next until you reach the Features Menu.
    5.) Scroll down to Remote Server Administration Tools & Expand.
    6.) Expand Role Administration Tools 
    7.) Expand File Services Tools and select DFS Management Tools 
    8.) Click Next and Install.
    9.) Close the Wizard when the installation completes.
    10.) Go to an elevated command prompt and type 'dfsrdiag /?' to verify it is now present.
    Additional Information:
    Dfsrdiag is a troubleshooting tool for not only DFS replication but troubleshooting and performing restores of DFSR SYSVOL. The executable is no longer installed by default as of Windows 2012 R2 RTM. 

    DFSRDIAG POLLAD fuerza a que se ejecute la sincronización DFSR contra ese servidor.

    Solucionado, sincroniza perfecto.


    Marcos. Muchas gracias por tu ayuda.

    • Marcado como respuesta Moderador M miércoles, 27 de enero de 2016 18:11
    miércoles, 27 de enero de 2016 16:21

Todas las respuestas

  • Hola "Marc Os" como estas,

    1 - Que tipo de instalación es cuando dices "maquina identica" es un sysprep o instalación desde iso ?

    Acciones:

    1 - Coloca la IP del 1er DC asi mismo como DNS y la IP del 2do DC asi mismo como DNS.
    2 - Verifica la hora tanto del DC actual y el DC nuevo.
    3 - Verifica el puerto de replicación (firewall)
    4 - Desde el 2do DC event viewer busca solo los errores y postea el # y el source.
    5 - Verifica no tener ninguna política aplicada de la que vienen por default.
    6 - Desde el 1er DC ejecuta y postea "repadmin /replsummary".
    7 - Desde el 2do DC ejecuta y postea "dcdiag".

    Dato tecnico:

    DFS Replication: Frequently Asked Questions (FAQ)
    https://technet.microsoft.com/en-us/library/cc773238(WS.10).aspx

    DFS Replication: How to troubleshoot missing SYSVOL and Netlogon shares
    https://support.microsoft.com/en-us/kb/2958414

    Espero sirva de ayuda. Saludos.

    • Propuesto como respuesta Moderador M lunes, 19 de octubre de 2015 16:58
    • Marcado como respuesta Moderador M viernes, 23 de octubre de 2015 15:53
    lunes, 19 de octubre de 2015 1:55
  • Hola Marc Os, hay que tener en cuenta algo primero que nada, cuando se instala un Controlador de Dominio adicional, no hay que ser ansioso :)

    La primera replicación suele demorar hasta 20 o 30 minutos, así que te pregunto ¿haz dejado pasar ese tiempo antes?

    Lo que es muy raro es que a veces funciona y a veces no, como comentas. Y por eso me inclino a pensar que el problema es que no haz dejado en algún caso el tiempo necesario para que se cree la topología de replicación, y comience a funcionar

    Debes tener en cuenta que el protocolo de replicación de la base de AD, y la carpeta Sysvol son diferentes, y cada uno tiene su propia topología de replicación

    Revisa la siguiente nota: Windows Server 2012 (R2): Crear un Dominio – Instalación y Configuración del Segundo Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2014/12/02/windows-server-2012-r2-crear-un-dominio-instalacin-y-configuracin-del-segundo-controlador-de-dominio/ 


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 19 de octubre de 2015 16:58
    • Marcado como respuesta Moderador M viernes, 23 de octubre de 2015 15:53
    lunes, 19 de octubre de 2015 10:51
    Moderador
  • Hola a todos.

    Ante todo muchas gracias por las molestias y por vuestras respuestas.

    Probé todo lo q pude durante 2 meses y no tuve éxito, tuve q dejar 1 DC sólo.

    Esta semana me volvió a pasar lo mismo en otra infraestructura nueva de todo, de recién implementación basada en Windows2012r2 totalmente.

    Cuando decía idéntico en mi pregunta me refería es que era un Windows2012 configurado con lo mismo, con los mismos recursos y roles y hasta tamaño de disco. En los 2 casos, este nuevo y en el anterior, son todos máquinas virtuales Hyper-v de Windows2012.

    En este caso nuevo, hice el proceso equivalente a D1/D4 de FRS antiguo pero para del DFSr nuevo.

    El problema siempre es con este protocolo, el resto de sincronización del dominio funciona perfecto, sólo no hace la replicación inicial de sysvol, por lo q los nuevos dcs recién agregados no comparten sysvol esperando a ésta primera replicación.  El motivo no lo sé. Las consecuencias q sin Sysvol no puede validar a nadie en el dominio aún teniendo el catálogo global. Se puede forzar a q comparta sysvol buscando la clave del registro SysvolReady y poner el valor a 1, y al reiniciar el servicio de netlogon éste ya encuentra la carpeta compartida y también compartes netlogon y el DC ya validad usuarios contra el dominio. Pero las GPOs q se guardan en la carpeta sysvol no se sincroniza, por lo q según a qué DC consulten los clientes aplicarán unas GPOs u otras o les faltarán GPOs si se esperaban alguna q está en uno y no en otro.

    El proceso limpio es hacer q arranque por primera vez el DFSr, poniendo como autoritativo el DC ppal y luego los demás como no autoritativos, fuerzas replicación y ya sincronizan ok y la carpeta Sysvol se debería compartir, si no lo hace tiras de la Clave de Registro que dije antes y ya se comparte, pero lo importante es q sincroniza y al momento.

    Os  voy a pegar lo que seguí en esta segunda implementación y ya os dirá qué tal la primera cuando la ponga a prueba (q la primera sí q venía de un DC real virtualizado q estaba defectuoso de inicio y tuve q arreglar el AD q en ADSIedit faltaban claves de DFSr). Es este:

    Estas son las soluciones y hay q seguirlas a rajatabla q es fácil despistarse en el orden:
    https://support.microsoft.com/en-us/kb/2958414
    y dentro de esta sigues esta:
    https://support.microsoft.com/en-us/kb/2218556
    ¡¡¡¡¡¡Y FUNCIONÓ Q AHORA SINCRONIZA EN LOS 2 DCS.

    NTP en el DC ppal estaba sincronizando desde la máquina Hospedadora de Hyper-V y mejor configurado NTP contra NTP de internet, por ejemplo hora.roa.es. Luego el DC adicional ya veo q sincroniza por ntds contra su PDC q es DCppal q en mi caso tiene todos los roles fsmo.

    Forzando en Registro SysvolReady=1 entonces ya comparte sysvol en el DC adicional.

    Hay varios eventos de error en replicación DFS q encontré y que me dieron pistas:
    -ESTE EVENTO ESTÁ EN LOS 2 DCs: Replicación DFS ID 4012 
    El servicio de replicación DFS dejó de replicar en la carpeta en la ruta local siguiente: C:\Windows\SYSVOL\domain. Este servidor ha estado desconectado durante 257 días de los demás asociados, lo que supera el valor del parámetro MaxOfflineTimeInDays (60). La replicación DFS considera que los datos de esta carpeta son obsoletos y el servidor no replicará la carpeta hasta que se corrija el error. 

    Para reanudar la replicación de esta carpeta, use el complemento Administración de DFS para quitar este servidor del grupo de replicación y, a continuación, vuélvalo a agregar al grupo. Esto hace que el servidor realice una tarea de sincronización inicial que reemplaza los datos obsoletos con los datos nuevos de los otros miembros del grupo de replicación. 

    Información adicional: 
    Error: 9061 (La carpeta replicada estuvo sin conexión demasiado tiempo.) 
    Nombre de la carpeta replicada: SYSVOL Share 
    Id. de la carpeta replicada: 3398B733-A1B7-4187-ADAF-3787523129A5 
    Nombre del grupo de replicación: Domain System Volume 
    Id. del grupo de replicación: 251CCD7C-4B68-43F2-BF3E-92AB64968C14 
    Id. de miembro: F7AA67F2-77E6-4EC3-87E2-F2C711852C74

    -El servicio de Net Logon no pudo crear el servidor compartido C:\Windows\SYSVOL\sysvol\dominio.es\SCRIPTS. Ocurrió el siguiente error: 
    El sistema no puede encontrar el archivo especificado.. ID 5706

    -Da error pq dominio.es lo coge de sí mismo q no tiene nada y ni lo encuentra en vez del otro DC, y no coge la directiva de DomainControllers q es este error:
    Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\dominio.es\sysvol\dominio.es\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini desde un controlador de dominio. La configuración de la directiva de grupo no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un error temporal y puede deberse a alguna de la causas siguientes:
    a) Un problema con la resolución de nombres o con la conectividad de red al controlador de dominio actual.
    b) Latencia del servicio de replicación de archivos (una cuenta creada en otro controlador de dominio no se replicó en el controlador de dominio actual). 
    c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.


    -Para forzar replicación según pueda el linkador se puede hacer en Sitios y Servicios de Active directory o mejor, con este comando poniendo el nombre del servidor q quieres q sincronice:
    repadmin /syncall NombreServidorSincronizará /e /d /A /P

    -DFSRDiag executable is no longer installed by default and must be installed from the DC's Features menu. Se agrega así en 2012:
    Steps:
    1.) Open Server Manager. 
    2.) Click Manage.
    3.) Click Add Roles & Features.
    4.) Click Next until you reach the Features Menu.
    5.) Scroll down to Remote Server Administration Tools & Expand.
    6.) Expand Role Administration Tools 
    7.) Expand File Services Tools and select DFS Management Tools 
    8.) Click Next and Install.
    9.) Close the Wizard when the installation completes.
    10.) Go to an elevated command prompt and type 'dfsrdiag /?' to verify it is now present.
    Additional Information:
    Dfsrdiag is a troubleshooting tool for not only DFS replication but troubleshooting and performing restores of DFSR SYSVOL. The executable is no longer installed by default as of Windows 2012 R2 RTM. 

    DFSRDIAG POLLAD fuerza a que se ejecute la sincronización DFSR contra ese servidor.

    Solucionado, sincroniza perfecto.


    Marcos. Muchas gracias por tu ayuda.

    • Marcado como respuesta Moderador M miércoles, 27 de enero de 2016 18:11
    miércoles, 27 de enero de 2016 16:21
  • ¡Gracias Marc Os por compartir la solución" :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 27 de enero de 2016 19:00
    Moderador