none
Репликация Active Directory RRS feed

  • Вопрос

  • Добрый день!

    Сеть 3 DC, 1 2003, два 2008 R2. Уровень домена и леса 2003. Применил dcgpofix /target:both (были причины). Default Domain восстановилась, Default Domain Controller восстановилась пустая. Посыпались ошибки репликации, в каталоге SYSVOL несколько подпапок вида {6AC1786C-016F-11D2-945F-00C04fB984F9}_NTFRS_*******. По одной на каждую попытку применения dcgpofix. При этом repadmin ошибок не выдает. DCDIAG тоже ошибок не выдает за исключением ошибок репликации по одной этой политике. По репликации единственное предупреждение NtFrs 13567

    Есть идеи ?

    19 февраля 2016 г. 14:20

Ответы

  • Я не пойму по вашим данным, можно удалять или нет.

    Поэтому я предлагаю вам сделать следующее.

    1. Сделать резервную копию. Скопировать правильные шаблоны политик из SYSVOL (содержимое папки SYSVOL\Policies, папки с именами {GUID}, папки с именами {GUID}_NTFRS_xxx копировать не надо) и содержимое общей папки NETLOGON (папка SYSVOL\Scripts), если там что-то есть, она по умолчанию пустая) на выбранном вами КД.

    2. Остановить на всех КД службу Netlogon.

    3. Удалить все папки с именами xxx_NTFRS_xxx из папки SYSVOL\Domain

    4. На выбранном КД установить в реестре Burflags=d4

    5. На остальных КД установить в реестре Burflags=d2

    6. Запустить службу NtFrs на выбранном КД.

    7. Убедиться по сообщению в журнале событий FRS, что инициализация произошла успешно, удостовериться в этом, проверив, что Burflags сбросился в 0

    8. Запустить службу NtFrs на остальных КД.

    С 2003-м делайте что хотите. Если там для репликации используется "ntdfsr" - лучше его убить сразу, чтобы не мучился. 


    Слава России!


    20 февраля 2016 г. 18:36

Все ответы

  • Есть.  Отключить репликацию SYSVOL на время применения dcgpofix, а потом произвести полномочное (authoritative) восстановление на DC, где выполнялась dcgpofix и неполномочное (non-authoritative) - на остальных.

    1. Перед выполнением dcgpofix остановить службу репликации файлов на всех DC и (на случай внезапной перезагрузки) установить её тип запуска в Manual

    2. Выполнить dcgpofix на выбранном DC (лучше всего - на PDC emulator, а вообще-то - на любом, на котором есть все остальные политики в актуальном состоянии).

    3. Установить значение параметра  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process   at Startup\BurFlags на выбранном DC в d4 (шестнадцатеричное).

    4. Запустить на нём службу репликации файлов и вернуть ей тип запуска Automatic

    5. Установить значение параметра  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process   at Startup\BurFlags на остальных DC в d2 (шестнадцатеричное).

    6. Запустить на них службу репликации файлов и вернуть ей тип запуска Automatic

    PS Про полномочное и неполномочное восстановление см., к примеру, https://support.microsoft.com/en-us/kb/290762


    Слава России!

    19 февраля 2016 г. 15:08
  • Спасибо, выполнил. На время выполнения физически отключил 2003-й от сети, иначе не получалось. Репликация между 2008-ми пошла. в SYSVOL 4 папки:

    Policies

    Policies_NTFRS_003bdf19

    scripts

    scripts_NTFRS_003bdeab

    В журналах событий после множественных перезагрузок ничего криминального не обнаружено. Можно эти папки удалить ? После подключения 2003-го опять сломается ? Описанную вами процедуру с правкой реестра выполнял и SYSVOL от всего очистил.

    19 февраля 2016 г. 16:19
  • Прежде чем удалять, нужно понять, являются ли эти папки следами старых попыток или они появились в результате конфликта уже после последнего включения репликации. В частности, это бывает, если была ошибка в процессе описанной выше процедуры (например, действия не были проделаны одновременно на всех DC): https://support.microsoft.com/en-us/kb/328492

    Проверьте журнал FRS на всех DC. Сравните содержимое папок. Положите в каждую папку по файлу на одном сервере и посмотрите, в какой папке он появляется на другом сервере.

    Если проявляются признаки конфликта, то нужно повторить процедуру восстановления (Burflags=d4/d2) заново, вычистив перед этим все лишние папки.

    Если вы точно уверены, что дело не в конфликте, а в том, что лишние папки остались от прошлой жизни - их можно удалить.

    PS И я не понял, зачем 2K3 нужно было отключать от сети. Нужно было, наоборот, чтобы он был включен. Но раз он отключен, то перед его подключением установите Burflags=d2 чтобы он выполнил неполномочное восстановление, т.е. скопировал бы себе существующие папки.


    Слава России!



    • Изменено M.V.V. _ 19 февраля 2016 г. 16:59
    19 февраля 2016 г. 16:55
  • dc1 - 2008 r2 (флаг d4)

    dc2 - 2008 r2 (флаг d2)

    dc3 - 2003 (флаг d2)

    Неоднократно выполнял процедуру, пока все три были онлайн. завершалось неудачей. Сработало, когда остановил службы на dc2, а dc3 отключил от сети. Не было времени копать сильно глубоко, был опыт, когда на DC не применялась в аналогичной ситуации Default DC Policy и переставала ходить почта на Exchange. 4 часа копал, решил отключить dc3. dc2 при этом был онлайн, но о остановленными службами репликации. на dc2 почистил sysvol совсем. Далее выполнил fcgpofix на dc1 (в этот момент службы репликации на нем также были остановлены). Политики создались, в sysvol появились. После этого на dc1 несколько раз с интервалом выполнил gpupdate /force, выполнилось без ошибок. Проверил, что политики в оснастке управления политиками видны, параметры в них видны, их можно редактировать, они применяются. На этом этапе конфликтных папок в sysvol не появлялось. Да, все fsmo роли на dc1. После этого пошел на dc2. Еще раз убедился, что стоит флаг d2. Запустил службы репликации. Обновил отображение параметров реестра на dc2 и убедился, что флаг с d2 поменялся на 0. После этого на dc1 и dc2 проверил журнал событий репликации. На обоих контроллерах появились по два предупреждения 13566 и 13516, после этого информационные сообщения dfsr не препятствует контроллерам стать контроллерами. В этот момент и появились дубликаты папок из моего сообщения выше. Подергал службы на dc1 и dc2, ошибок нет, в repadmin ошибок нет. Там грязь такая досталась по наследству: от межсетевых экранов до сумасшедших настроек безопасности контроллеров. Может быть это сказалось. С dns все ровно: dc1 и dc2 крест на крест смотрят друг на друга DNS-ом. Папки эти в sysvol особо и не мешают, но хочу довести дело до конца. dc3 в любом случае будет списан и домен будет мигрирован на 2012 r2 с обновлением существующей организации exch 2007 до 2016. При этом вчера обновлял организацию exch, он же и схему обновляет и никаких проблем не возникло.

    19 февраля 2016 г. 20:02
  • На обоих контроллерах появились по два предупреждения 13566 и 13516, после этого информационные сообщения dfsr не препятствует контроллерам стать контроллерами. В этот момент и появились дубликаты папок из моего сообщения выше. Подергал службы на dc1 и dc2, ошибок нет, в repadmin ошибок нет.

    Точно DFSR? Не FRS? Это очень-очень-очень интересно, если так. А папки - они, может, не мешают, только вот новые политики будут не туда, куда надо, а в них попадать, если конфликт.


    Слава России!


    • Изменено M.V.V. _ 19 февраля 2016 г. 22:41
    19 февраля 2016 г. 22:40
  • NtFrs служба. На всякий случай тормозил обе. dc3 - сервер 2003, не R2, репликация средствами NtDfsr
    20 февраля 2016 г. 1:44
  • NtFrs служба. На всякий случай тормозил обе. dc3 - сервер 2003, не R2, репликация средствами NtDfsr

    NtDfsr - это что такое?

    Слава России!

    20 февраля 2016 г. 10:41
  • название службы в реестре. Старая, как в 2000-2003-м не R2 репликация осуществлялась.

    20 февраля 2016 г. 11:55
  • SYSVOL на КД под Win2K3 реплицируется исключительно с помощью Службы репликации файлов (её внутреннее имя - ntfrs ) Либо вы что-то путаете, либо у вас там какая-то самопальная и неподдерживаемая приблуда.


    Слава России!

    20 февраля 2016 г. 17:35
  • Мы об одном и том же. В реестре 2008 NtFrs называется. В этой ветке и флаг d2 ставил. Пробовал удалить дубликаты папок - нужно службы останавливать. Еще изменял политики, изменения применяются и даты изменения папок в sysvol как раз актуальные получаются. А те, что с префиксом NTFSR со вчерашней датой. 2003-й все еще оффлайн и в принципе могу его из AD и руками вычистить. Что думаете ? Можно смело удалять ?
    20 февраля 2016 г. 18:04
  • Я не пойму по вашим данным, можно удалять или нет.

    Поэтому я предлагаю вам сделать следующее.

    1. Сделать резервную копию. Скопировать правильные шаблоны политик из SYSVOL (содержимое папки SYSVOL\Policies, папки с именами {GUID}, папки с именами {GUID}_NTFRS_xxx копировать не надо) и содержимое общей папки NETLOGON (папка SYSVOL\Scripts), если там что-то есть, она по умолчанию пустая) на выбранном вами КД.

    2. Остановить на всех КД службу Netlogon.

    3. Удалить все папки с именами xxx_NTFRS_xxx из папки SYSVOL\Domain

    4. На выбранном КД установить в реестре Burflags=d4

    5. На остальных КД установить в реестре Burflags=d2

    6. Запустить службу NtFrs на выбранном КД.

    7. Убедиться по сообщению в журнале событий FRS, что инициализация произошла успешно, удостовериться в этом, проверив, что Burflags сбросился в 0

    8. Запустить службу NtFrs на остальных КД.

    С 2003-м делайте что хотите. Если там для репликации используется "ntdfsr" - лучше его убить сразу, чтобы не мучился. 


    Слава России!


    20 февраля 2016 г. 18:36