Problème de réplication « Sysvol » avec « DFS-R ».

Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags »  et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.

Pour ceux qui ont migré vers des DC 2008 ou supérieur, ils peuvent migrer vers la réplication DFS-R en suivant l’article ci-contre : http://pbarth.fr/node/75.

Nous voilà donc avec une réplication « sysvol » gérer par DFS-R, 2 contrôleurs de domaine en  Windows 2012 R2 : « w2012r2dc1 » et « w2012r2dc2 ».

Nous constatons sur les 2 images ci-dessous que la GPO qui porte le nom d’audit n’a pas de paramètre sur un des DC.

En regardant plus en détail le contenu du dossier « sysvol » nous constatons qu’aucune des GPO ajoutées n’existe sur le DC2. Seul sont présent « Default Domain Policy » et « Default Domain Controller Policy ».

Avant de régler le problème, nous allons ajouter les outils de gestion DFS, pour 2 bonnes  raisons :

-          pour régler le problème il nous faudra exécuter « dfsrdiag » qui est inclut dans ses outils ;

-          il nous permettra de créer un rapport concernant la réplication DFS-R

 

Il y a deux cas possibles lors d’une restauration de « sysvol » :

-          restauration autoritaire : le contenu de ce serveur va remplacer le contenu des dossiers « sysvol » des autres contrôleurs de domaine. Il est indispensable de l’exécuter depuis un serveur en bon état dont le dossier « sysvol » est à jour ;

-          restauration non autoritaire : le dossier « sysvol  sera rechargé sur le contrôleur de domaine en question depuis  une copie d’un autre DC. Ce serveur ne reprendra son rôle de DC qu’une fois l’opération terminée.  Il ne faut donc pas effectuer cette opération sur tous les DC en même temps, car aucun ne pourra servir de source.

 

Restauration autoritaire de « Sysvol »

Nous commençons par arrêter le service Replication DFS  sur tous les DC :

Exemple en powershell : « Stop-Service DFSR»

Ensuite nous utilisons la console « adsiedit.msc » :

Nous nous connectons au contexte par défaut, en l’occurrence la partition du domaine :

 

Ensuite nous recherchons l’objet « SYSVOL Subscription » dans :

CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=W2012R2DC1,OU=Domain Controllers,DC=AD1,DC=local

Nous modifions les attributs :

msDFSR-Enabled=FALSE
msDFSR-options=
1                     =>(autoritaire)

Pour les autres contrôleurs de domaine modifier uniquement la valeur :

msDFSR-Enabled=FALSE

Note : il n’est pas nécessaire de modifier les valeurs directement sur les autres DC, vous pouvez tous les modifier depuis la même console ADSI, la réplication fera le reste.

Les modifications doivent être répliquées sur les autres contrôleurs de domaines. Vous pouvez passer par la console site et services, ou en invite de commande en tant qu’administrateur avec « repadmin /syncall /AdP ».

 

 

Nous redémarrons le service DFS-Replication sur le DC qui fera autorité pour sysvol. L’événement 4114 devrait être présent dans l’observateur d’événement. Il indique que le dossier ne participe plus à la réplication.

Il nous faut maintenant réactiver la réplication DFS-R de Sysvol. Pour cela nous modifions à nouveau sur tous les DC la valeur « msDFSR-Enabled »  pour la réactiver en commençant par celui qui fera autorité.

msDFSR-Enabled=TRUE

Ensuite nous répliquons les modifications sur les autres DC dans « site et services Active Directory » ou avec :« repadmin /syncall /AdP ».

En invite de commande faites un « dfsrdiag PollAD » :

Dans l’observateur d’événement vous devriez retrouver l’événement « 4602 » indiquant qu’une restauration autoritaire de « sysvol » sera effectuée depuis ce DC:

Il nous reste à redémarrer le service DFS sur les autres DC.

 

Restauration non autoritaire sur un DC :

Dans « ADSIEdit.msc », nous modifions la valeur de l’attribut « msDFSR-Enabled=FALSE » pour l’objet « Sysvol Subsciption » du contrôleur de domaine en question, par exemple :

CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=W2012R2DC2,OU=Domain Controllers,DC=AD1,DC=local

 

Ensuite nous répliquons la modification, soit par « site et services Active Directory » soit par « repadmin /Syncall /AeP » :

Puis nous faisons un « DFSRDIAG POLLAD » :

 

L’événement 4114 devrait être présent dans l’observateur d’évènement, indiquant que la réplication de « sysvol » est désactivée.

 

Nous remodifions la valeur dans « Adsiedit.msc » pour la remettre sur « true » :

 

Nous relançons la réplication (ou « repadmin /syncall /AeP »)  : 

Nous exécutons à nouveau un « DFSRDiag POLLAD » :

L’événement  « 4604 » devrait apparaître dans l’observateur d’événement indiquant que la réplication a été effectué en précisant le serveur source (dans notre cas W2012R2DC1) :

Si nous comparons les dossiers « sysvol » des 2 contrôleurs de domaine ils sont identiques :

 

Création d’un rapport sur la réplication de « sysvol » avec DFS-R 

Ouvrons la console de gestion du système de fichiers distribués. Nous retrouvons dans la partie réplication « Domain System Volume ». Dans le volet d’action à droite, nous sélectionnons « créer un rapport de diagnostique ... » :

Nous choisissons un rapport d’intégrité :

Le rapport sous format de page html est ouvert directement dans le navigateur. Dans la partie « Erreurs » et dans « avertissement » nous constatons qu’il y en a 0. Dans la partie détail de serveur nous retrouvons les 2 serveurs analysés.

Maintenant vous savez :

-          restaurer sysvol avec la réplication DFS-R,

-          créer un rapport de santé de la réplication.

 

A bientôt …

Theme: 

Annee: 

Commentaires

Parfait

Merci pour ce Tuto complet. Ca fonctionne très bien.

Merci

Testé sur 2 domaines ce matin ..... plus de problème de réplication MERCI !!

sysvol endomagé

bonjour, j'ai rajouté un serveur à mon domaine que j'ai promu en contrôleur de domaine, j'ai transféré tous les rôles FSMO, j'ai fais plusieurs tests en ligne de commande dcdiag dans site active directory, j'avais bien la réplication, j'ai bien un répertoire sysol, sauf que j'ai des erreurs de réplication initiale de DFSR, j'ai rétrogradé le contrôleur initial en serveur autonome et supprimer l'ADDS et DNS, quand je vais dans stratégie de groupe, j'ai bien mes stratégies mais celle-ci ne s'appliquent pas connaissez vous un moyen de rétablir les paramètres par défaut car dans les stratégies de groupe, j'avais simplement activé le déplacement des dossiers utilisateur sur le serveur. je vous remercie de votre retour