[РЕШЕНО] SYSVOL DFSR Replication Issue

РЕШЕНИЕ:
Официальное решение: https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization
Видео как это сделать смотреть тут: https://vkvideo.ru/video-46816091_456239033
Теперь попробуем показать все это в картинках:
1.Будем считать, что первичный контроллер домена обладает актуальной копией SYSVOL. Если это не так, то нужно предварительно передать роль PDC контроллеру домена с актуальной базой.
Move-ADDirectoryServerOperationMasterRole -Identity DC3 -OperationMasterRole 0,1,2,3,4  
Передаст все 5 ролей на DC3

2. Останавливаем службу репликации DFS на всех контроллерах домена:

sc stop dfsr
Название службы: DFS Replication \ Репликация DFS

3. Переходим на первичный контроллер домена, запускаем оснастку Редактирование ADSI и подключаемся к Контексту именования по умолчанию:

4. Разворачиваем дерево DC=<ИмяДомена> -> OU=Domain Controllers -> CN=<ИмяКонтроллера> -> CN=DFSR-LocalSettings -> CN=Domain System Volume и открываем свойства объекта CN=SYSVOL Subscription:

5. Для первичного контроллера домена устанавливаем параметры объекта CN=SYSVOL Subscription:

msDFSR-Enabled=FALSE
msDFSR-Options=1

6. Для всех остальных контроллеров домена устанавливаем параметр объекта CN=SYSVOL Subscription:
msDFSR-Enabled=FALSE

7. На первичном контроллере домена запускаем принудительную репликацию:

repadmin /syncall /APed

8.На всех вторичных контроллерах домена проверяем, что репликация выполнена:

repadmin /showrepl

9.На первичном контроллере домена запускаем службу репликации DFS:

sc start dfsr

10. И переходим в оснастку Просмотр событий -> Журналы приложений и служб -> Репликация DFS. Здесь должно появиться событие




11. Возвращаемся в оснастку Редактирование ADSI и для первичного контроллера домена устанавливаем параметры объекта CN=SYSVOL Subscription:
msDFSR-Enabled=TRUE

12. Снова выполняем принудительную репликацию и убеждаемся, что она завершилась успехом:

repadmin /syncall /APed

13. На первичном контроллере домена запускаем проверку конфигурации службы репликации (DFSR):

DFSRDIAG POLLAD

На этом этапе возможна ошибка

DFSRDIAG POLLAD не является внутренней или внешней командой

Это означает, что этот компонент Управления DFS не установлен в системе. По умолчанию он не устанавливается, поэтому его нужно доустановить вручную из PowerShell:


Install-WindowsFeature RSAT-DFS-Mgmt-Con

либо из графического интерфейса оснастки «Добавление ролей и компонентов»:


14. Снова переходим в оснастку Просмотр событий -> Журналы приложений и служб -> Репликация DFS. Здесь должно появиться событие




15. На всех вторичных контроллерах домена запускаем службу репликации DFS:
sc start dfsr

и убеждаемся, что на каждом из них в журнале появилось событие 4114:


16. Возвращаемся в оснастку Редактирование ADSI и устанавливаем для всех вторичных контроллеров параметр объекта CN=SYSVOL Subscription:
msDFSR-Enabled=TRUE

17. Снова выполняем принудительную репликацию и убеждаемся, что она завершилась успехом:

repadmin /syncall /APed

18. На всех вторичных контроллерах домена запускаем проверку конфигурации службы репликации (DFSR):

DFSRDIAG POLLAD

Контролируем появление в журнале событий

4614 - Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером

и

4604 - Служба репликации DFS успешно инициализировала реплицированную папку SYSVOL по локальному пути C:\Windows\SYSVOL\domain. Этот участник завершил начальную синхронизацию SYSVOL с партнером DC-MAIN2.domain.local

указывающие на то, что SYSVOL был инициализирован и реплицирован с заслуживающего доверия контроллера домена:




Примечание, значение msDFSR-Options=1 не надо изменять обратно после того как все пройдет успешно, значение самостоятельно измениться на 0.

Добрый день! Подскажите, а если проблема с репликацией папки SYSVOL только на одном КД, остальные работают исправно, необходимо также проделывать процедуру с атрибутами на всех КД, либо достаточно только на неисправном?

проверяйте:

dcdiag.exe /s:NAME-BADDC /q
repadmin /replsum
repadmin /showrepl
dfsrmig /getMigrationState показывает "Global state ('Eliminated').Succeeded."
dcdiag /test:sysvolcheck  

И всетаки внимательно изучите логи - ошибки точно есть.

"Parent has not been validated from dirty shutdown recovery" — DFSR обнаружил, что после последнего выключения узел был выключен некорректно и требует проверки/восстановления состояния.
"Remote version dominates local" — удалённая (здоровая) версия SYSVOL считается более актуальной, но текущий КД не применяет её из-за "lock" состояния.
"Available updates were locked" — обновления, которые нужны для репликации, заблокированы и не могут быть применены.


Основное решение - принудительная синхронизация SYSVOL

**На рабочем контроллере домена:**

repadmin /syncall /AdeP

**На проблемном контроллере (NAME-BADDC):**

# Остановите службу DFS Replication
net stop DFSR

# Удалите временные файлы и блокировки - возможно прокатит без удаления всей базы.
rd /s /q "C:\System Volume Information\DFSR\Private"
md "C:\System Volume Information\DFSR\Private"

если не прокатило то:
# Удалите базу данных DFS-R (она пересоздастся )
del /q C:\System Volume Information\DFSR\database\*.*
(либо переименовать папку DFSR -
нужно снять доступ: takeown /F "C:\System Volume Information\DFSR" /A /R  )

# Запустите службу
net start DFSR


Если простое решение не помогает - авторитетное восстановление SYSVOL

Все как описано выше.

**На проблемном DC (NAME-BADDC):**
# Принудительная синхронизация с авторитетного источника
dfsrdiag pollad


# Проверьте все события DFS Replication
Get-WinEvent -LogName 'DFS Replication' -MaxEvents 50 | Select TimeCreated, LevelDisplayName, Message
# Статус репликации SYSVOL
dfsrdiag ReplicationState /member:NAME-BADDC /rgname:"Domain System Volume" /rfname:"SYSVOL Share"
# Принудительная синхронизация
dfsrdiag pollad /member:NAME-BADDC