none
Politicas (GPOs) não atualizadas RRS feed

  • Pergunta

  • Bom dia Pessoal.

    Fazendo um monitoramento em um de nossos clientes me surgiu um fato curioso.

    Esse cliente tem 3 Controladores de dominio (WS 2012 R2), sendo 2 VMs e 1 servidor físico.

    Esta tudo funcionando... inclusive alteramos uma GPO ontem e aplicou nas máquinas sem problemas.

    O fato curioso é que as pastas "SYSVOL" não estão iguais entre os 3 DCs.

    verifiquei a pasta \sysvol\dominiodocliente\policies.

    No DC PRINCIPAL (VM) e no DC Físico o conteúdo esta igual... pastas com as mesmas datas de modificação... nomes e sequencia... tudo igualzinho!!!

    Mas no outro DC SECUNDARIO (VM tambem), agumas pastas (politicas) estão com diferença da data.
    A GPO que alteramos ontem por exemplo... aparece neste DC SECUNDARIO, com data de modificação de ontem... mas nao aparece nos demais DCs (Principal e físico).

    Rodei o BPA nos 3 servidores e nao apontou nenhum erro...
    Ao criar ou editar qualquer objeto no AD, em qualquer um dos DCs, a replica entre os demais é instantânea.

    é normal esse comportamento nas pastas "policies" ? 

    alguma dica a mais?

    quinta-feira, 6 de dezembro de 2018 12:33

Respostas

Todas as Respostas

  • Bom dia,

    Não é normal, faça alguns testes como esse abaixo para verificar como está a replicação entre os DC's.

    dcdiag /test:replications (relatório sobre o estado das replicações entre DCs)

    dcdiag /test:dns (relatório sobre o estado do DNS)

    Veja também este artigo:
    http://www.linhadecodigo.com.br/artigo/2414/cinco-passos-para-garantir-um-dc-saudavel.aspx

    Att.


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema


    quinta-feira, 6 de dezembro de 2018 13:57
  • Boa noite...

    executei o dcdiag /test:replications nos 3 servidores DC.

    O resultado foi o mesmo... mudando claro, somente o nome do servidor:

    Após, executei o comando dcdiag /teste:dns, tambem nos 3 servidores e assim como no teste acima, os resultados foram exatamente iguais nos 3 servidores, mudando claro, denovo, somente o nome dos servidores:

    Bom, notei no primeiro comando que ele apresenta "erro" informando acesso negado.
    e no segundo, informa que "não passou no teste DNS".

    Será que o "acesso negado" esta ocasionando problemas? como corrigir?

    Sobre o DNS, rodei o NSLOOKUP apontando para o dominio e os servidores que responderam foram justamente os DCs, ou seja, aparentemente, mesmo acusando erro, ele esta respondendo certo.
    Oque mais posso fazer nesse caso?


    • Editado jorgeneves quinta-feira, 6 de dezembro de 2018 23:08
    quinta-feira, 6 de dezembro de 2018 23:00
  • Bom dia Jorge,

    Referente ao erro citado de acesso negado, provavelmente seja porque não rodou o CMD como administrador, ai seu usuário não tem privilégios suficientes, faça o teste para validar isso.

    Siga este procedimento do registro BurFlags no DC que não está replicando, tenho certeza que irá resolver o seu problema:

    https://support.microsoft.com/en-gb/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

    Siga a parte do procedimento onde diz: Authoritative FRS Restore

    Me avise se der certo...


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema


    sexta-feira, 7 de dezembro de 2018 11:23
  • Bom dia!

    Realmente, a questao do acesso negado era justamente a "execução como administrador". Falha minha... detalhes....

    LI sobre o procedimento que me enviou e desde já agradeço.

    Só uma dúvida que nao consegui esclarecer, tenho que fazer o procedimento de edição de registros nos 3 DCs ? Ou somente no principal/primario ?
    Posso realizar o processo durante horario comercial (com usuarios) ou é melhor realizar a noite?

    Outra situação que me aconteceu ontem a noite testar.
    Desliguei o DC Principal e tentei logar em algumas VMs.... ocorria erro. Não conseguia contatar o dominio especificado mesmo com os outros 2 DCs ligados.
    Foi só eu ligar o DC Primario que consegui realizar a autenticação.
    Esse sintoma, pode ter relação com esse problema de replicação que ja foi identificado?

    sexta-feira, 7 de dezembro de 2018 13:54
  • Bom dia

    Somente no DC que está tendo problemas com a pasta policy, esse procedimento pode ser realizado durante o dia sem problemas.
    Ele apenas vai torná-lo autoritativo e voltará a responder normalmente.

    Em questão do teste que você realizou, como está a configuração de Ip dessas VM's? 
    Estão com DNS primário e Secundário configurados corretamente? Se estiver somente o DC1 configurado vai ter esse tipo de problema.

    Att.


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema

    • Sugerido como Resposta IgorFKModerator sexta-feira, 7 de dezembro de 2018 15:51
    sexta-feira, 7 de dezembro de 2018 13:59
  • Ok...

    são 2 DCs... o princial (VM) e o outro secundario (Fisico).
    Apenas 1 DC (dos 3), que tambme é virtual esta com as pastas atualizadas).

    Vou fazer e testar... muito obrigado....

    sobre os DNS.
    Sim, a primeira coisa que fiz foi verificar os DNS desta VM que usei para teste.
    Ela obtia via DHCP, mas estava obtendo corretamente.... de qualquer forma setei eles manualmente e o problema continuava.
    Estranho que, se eu logasse na VM.... desligasse o DC Principal, e ia pra VM (ja logada), eu conseguia pingar dominio... pingar os DCs secundarios....
    Nslookup retornava os DCs e seus respectivos IPs....

    Ta estranho isso....

    sexta-feira, 7 de dezembro de 2018 15:50
  • Se você colocar arquivos como se fossem scripts no SYSVOL, eles replicam? ou o problema é específico da pasta Policy?

    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema

    sexta-feira, 7 de dezembro de 2018 16:22
  • Sim... criei um .BAT sem conteúdo .... acessei os 3 DCs e entrei na pasta SYSVOL\dominio.com.br\Scripts.
    O .BAT apareceu imediatamente, nos 3 acessos.

    Sobre o FRS.... estou com dificuldade...
    Nao consigo localizar a chave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

    Consigo chegar até aqui: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters

    Isso aqui nao aparece para mim: Backup/Restore\Process at Startup ...

    Em nenhum dos 3 DCs....
    O inicio da documentação que tu me mandou diz para parar o serviço FRS... mas consultei novamente os 3DCs e em todos eles esse serviço (REPLICAÇÃO DE ARQUIVO) já esta PARADO e DESATIVADO.

    Até consigo mudar o estado dele de DESATIVADO para AUTOMATICO.
    Mas ao tentar iniciar, ele tras o erro:
    ERRO 1053: O serviço não respondeu à requisição de inicio ou controle em tempo hábil.

    Alguma outra dica?

    sexta-feira, 7 de dezembro de 2018 17:22
  • Boa tarde Jorge,

    Peço perdão, pois lhe passei o procedimento que serve até o 2008, pois ele ainda usa o serviço de replicação ntFRS.
    No caso do 2012 já utiliza DFSR, portanto é outro procedimento:

    https://support.microsoft.com/en-gb/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-fo

    É um pouco mais complexo, mas leia com calma que é tranquilo.

    Att.


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema

    • Marcado como Resposta jorgeneves quinta-feira, 13 de dezembro de 2018 15:37
    sexta-feira, 7 de dezembro de 2018 17:54
  • Imagina! esta me ajudando! nao tem oque se desculpar! haha

    só confirmando entao....

    eu tenho que rodar os passos citados em "How to perform an authoritative synchronization of DFSR-replicated SYSVOL (like "D4" for FRS)" ....

    correto?

    sexta-feira, 7 de dezembro de 2018 19:00
  • Correto, só atente-se ao que está escrito no final do artigo, vou colocar aqui traduzido para você:


    Se você definir o sinalizador autoritativo em um controlador de domínio, deverá sincronizar não-autoritativamente outros DCs no domínio. Caso contrário, você verá conflitos em DCs, originários de quaisquer DCs em que você não configurou auth / not-auth e reiniciou o serviço DFSR. Por exemplo, se todos os scripts de logon foram excluídos acidentalmente e uma cópia manual deles foi colocada de volta no PDC O detentor da função de emulador, tornando esse servidor autoritativo e todos os outros servidores não autoritários, garantiria o sucesso e evitaria conflitos.

    Se for tornar qualquer DC autoritativo, o Emulador de PDC como autoritativo é preferível, pois o conteúdo do SYSVOL geralmente é mais atualizado.

    O uso do sinalizador autoritativo é necessário apenas se você precisar forçar a sincronização de todos os DCs. Se apenas reparar um CD, simplesmente torne-o não autoritativo e não toque em outros servidores.

    Att.


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema

    • Marcado como Resposta jorgeneves quinta-feira, 13 de dezembro de 2018 15:36
    sexta-feira, 7 de dezembro de 2018 19:21
  • Entendido...

    então, no meu caso o Servidor DC PRINCIPAL que esta com problemas.
    Nesse servidor irei rodar os passos contidos em: How to perform an authoritative synchronization of DFSR-replicated SYSVOL (like "D4" for FRS)

    Nos outros 2 servidores DC (secundarios), farei os passos contidos: How to perform a non-authoritative synchronization of DFSR-replicated SYSVOL (like "D2" for FRS)

    Só que nao farei isso hoje... farei ao final de semana porque estou de saida agora...

    Farei durante o final de semana e postarei aqui o resultado.... muito obrigado por hora Felipe! Foi de grande ajuda!

    sexta-feira, 7 de dezembro de 2018 19:25
  • Isso mesmo, estou sempre de olho aqui...

    Poste no fds o resultado que eu te respondo assim que possível!

    Abraço, bom final de semana!


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema

    sexta-feira, 7 de dezembro de 2018 19:44
  • Bom dia Felipe,

    apenas para passar um retorno de momento.
    Não consegui evoluir no final de semana como queria...
    Então voltei ao aassunto agora...

    estava seguindo os passos mas os DCs nao tinham o recurso "DFS MANAGEMENT TOOLS" instalado e por isso nao consegui rodar o comando DFSRDIAG POLLAD.

    Instalei o recurso nos 3 servidores porém 1 deles ja estava com uma reinicialização pendente.
    Resumindo, o cliente só vai poder reiniciar ele ao final da tarde. Até lá... não consigo concluir os passos.

    Enquanto isso, algumas duvidas sobre os passos:

    Start the DFSR service set as authoritative: Seria o serviço "Replicação DFS" ? como altero as opções de inicialização dele para iniciar como autorizado?

    Force Active Directory replication throughout the domain and validate its success on all DCs: Essa sincronização forçada, é feita pelo "serviços e site do active Directory"? expandindo a árvore Default-First-Site-Name\Servers\"nome do DC"\NTDS Settings ?
    Basta clicar com o botao direito em NTDS SETTINGS  > Todas as tarefas > Replica Configuracao...
    ???
    Seria isso ?

    Start the DFSR service on the other non-authoritative DCs: Como na primeira duvida, tratasse do serviço "Replicação DFS"? esse passo pede para iniciar o serviço... mas eles não estão parados. Devo parar eles antes de começar a realizar os passos? ou basta simplesmente reiniciar o serviço?

    segunda-feira, 10 de dezembro de 2018 11:51
  • Apenas para encerrar o tópico.

    Refiz o processo.
    Aparentemente esta tudo em ordem.
    criei uma GPO em cada um dos DCs e de forma imediata as pastas foram replicadas.

    único detalhe é que em 2 dos DCs (os secundarios) há algumas pastas/policies com data de criação diferente da do dominio principal.
    Exemplo...

    até os testes dessa semana, no DC principal as politicas mais atuais que apareciam eram de 08/11, enquanto nos secundarios haviam outras pastas de 11/11 e 12/11...

    essa pastas continuam diferentes...

    mas as novas politicas criadas e editadas foram imediatamente replicados apos procedimento passado pelo Felipe.


    Obrigado Felipe!

    quinta-feira, 13 de dezembro de 2018 15:39
  • Desculpe a ausência jorge,

    Fico feliz que tenha dado tudo certo por ai!

    Precisando estamos a disposição.

    Att.


    Felipe Santos

    Microsoft Certified Professional || felipe2ajs@gmail.com || https://www.itvale.eti.br

    Caso o problema tenha sido solucionado, favor marcar como resposta as postagens que resolveram o seu problema

    quinta-feira, 13 de dezembro de 2018 16:13