共用方式為

如何強制進行 DFSR 複寫 sysvol 複寫的授權和非授權同步處理

  • 發行項

本文介紹如何強制進行 DFSR 複寫 sysvol 複寫的授權和非授權同步處理。

原始 KB 編號: 2218556

摘要

試想以下情況:

您要強制域控制器 (DC) 上 sysvol 複寫的非授權同步處理。 在檔案復寫服務 (FRS) 中,它是透過 登錄值的 D2D4 資料值 Bur Flags 來控制,但分散式文件系統複寫 (DFSR) 服務沒有這些值。 您無法使用 DFS 管理嵌入式管理單元 (Dfsmgmt.msc) 或 Dfsradmin.exe命令行工具來達成此目的。 不同於自定義 DFSR 複寫資料夾,sysvol 複寫會刻意保護其管理介面防止任何編輯,以防止意外。

如何執行 DFSR 複寫 sysvol 複寫的非授權同步處理(例如 FRS 的 D2)

  1. 在 ADSIEDIT 中。MSC 工具,在您想要進行非授權的每個域控制器上修改下列辨別名稱 (DN) 值和屬性:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>

msDFSR-Enabled=FALSE

  2. 強制整個網域的 Active Directory 複寫。

  3. 在設定為非授權的相同伺服器上,從提升許可權的命令提示字元執行下列命令:

    DFSRDIAG POLLAD

  4. 您會在 DFSR 事件記錄檔中看到事件標識碼 4114,指出不再復寫 sysvol 複寫。

  5. 在步驟 1 的相同 DN 上,設定 msDFSR-Enabled=TRUE

  6. 強制整個網域的 Active Directory 複寫。

  7. 在設定為非授權的相同伺服器上,從提升許可權的命令提示字元執行下列命令:

    DFSRDIAG POLLAD

  8. 您會在 DFSR 事件記錄檔中看到事件標識碼 4614 和 4604,指出已初始化 sysvol 複寫。 該域控制器現在已完成 Sysvol 複寫的 D2

如何執行 DFSR 複寫 sysvol 複寫的授權同步處理(例如 FRS 的 D4)

  1. 將 DFS 複寫服務啟動類型設定為 [手動],並停止網域中所有域控制器上的服務。

  2. 在 ADSIEDIT 中。MSC 工具,在您想要進行授權的域控制器上修改下列 DN 和兩個屬性(最好是 PDC 模擬器,這通常是 sysvol 複寫內容的最新狀態):

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>

msDFSR-Enabled=FALSE
msDFSR-options=1

  3. 在該網域中所有其他域控制器上修改下列 DN 和單一屬性:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>

msDFSR-Enabled=FALSE

  4. 在整個網域中強制Active Directory 複寫,並在所有DC上驗證其成功。

  5. 在步驟 2 中設定為授權的域控制器上啟動 DFSR 服務。

  6. 您會在 DFSR 事件記錄檔中看到事件標識碼 4114,指出不再復寫 sysvol 複寫。

  7. 在步驟 2 的相同 DN 上,設定 msDFSR-Enabled=TRUE

  8. 在整個網域中強制Active Directory 複寫,並在所有DC上驗證其成功。

  9. 在您設定為授權的相同伺服器上,從提升許可權的命令提示字元執行下列命令:

    DFSRDIAG POLLAD

  10. 您會在 DFSR 事件記錄檔中看到事件識別碼 4602,指出已初始化 sysvol 複寫。 該域控制器現在已完成 sysvol 複寫的 D4

  11. 在其他非授權DC上啟動 DFSR 服務。 您會在 DFSR 事件記錄檔中看到事件識別碼 4114,指出每個事件記錄檔上不再復寫 sysvol 複寫。

  12. 在該網域中所有其他域控制器上修改下列 DN 和單一屬性:

    CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain>

msDFSR-Enabled=TRUE

  13. 從所有非授權 DC 上提升許可權的命令提示字元執行下列命令(也就是,除了先前授權的命令提示字元外,全部):

    DFSRDIAG POLLAD

  14. 將所有 DC 上的 DFSR 服務傳回其原始啟動類型(自動)。

其他相關資訊

如果在一個 DC 上設定授權旗標,您必須在網域中非授權地同步處理所有其他 DC。 否則,您會在DC上看到衝突,其源自您未設定驗證/非驗證並重新啟動 DFSR 服務的任何 DC。 例如,如果意外刪除所有登入腳本,且其手動複本會放在 PDC 模擬器角色持有者上,使該伺服器具有權威性,而其他所有伺服器則保證成功並防止衝突。

如果讓任何 DC 成為授權,PDC 模擬器最好是授權,因為其 sysvol 複寫內容是最新的。

只有在您需要強制同步處理所有 DC 時,才需要使用授權旗標。 如果只修復一部DC,請將它設為非授權,且不會碰到其他伺服器。

本文設計時會考慮到 2-DC 環境,以簡化描述。 如果您有一個以上的受影響的DC,請展開步驟以包含其中所有。 它也假設您能夠還原已刪除、覆寫、損毀等的數據。先前,如果是網域中所有DC的災害復原案例。