Иллюстрированный самоучитель по Microsoft Windows 2003

Служба репликации файлов. Создание системного тома SYSVOL.

Каталог рассматривается как централизованное место хранения информации о сетевых ресурсах. Однако в силу определенных причин некоторая часть информации не может быть размещена в каталоге. Например, старые версии операционных систем (Windows 9x/NT) используют специальный сетевой ресурс NETLOGON для размещения информации, необходимой для регистрации в сети. Эта папка используется для размещения перемещаемых или обязательных профилей пользователей, сценариев регистрации, системных политик и т. п. Эта информация жизненно необходима для корректного функционирования сети. При этом требуется, чтобы эта папка присутствовала на всех контроллерах домена.

Служба репликации файлов (File Replication Service, FRS) представляет собой механизм репликации с множеством равноправных участников, осуществляющий синхронизацию содержимого системного тома SYSVOL между контроллерами домена. Том SYSVOL создается на каждом сервере непосредственно в ходе повышения его до контроллера домена и используется для размещения системных файлов общего доступа. В частности, именно внутри него располагается уже упоминавшаяся папка NETLOGON. Помимо этого, в томе SYSVOL размещаются настройки объектов групповых политик, системные политики контроллеров домена и сценарии регистрации.

Поскольку служба репликации файлов использует модель с множеством равноправных участников (multimaster replication), изменение содержимого реплицируемой папки может быть произведено любым участником. При этом в цепочке серверов, участвующих в репликации, нельзя выделить какой-то один, координирующий процесс репликации. Каждый участник может изменить содержимое тома SYSVOL и передать сведения об изменении содержимого любым другим участникам.

Служба репликации файлов может также осуществлять синхронизацию содержимого набора реплик распределенной файловой системы DFS (см. главу 8 «Работа с дисковыми ресурсами»).

Создание системного тома SYSVOL

Том SYSVOL создается непосредственно в ходе повышения сервера до контроллера домена. Когда вы устанавливаете первый контроллер домена в сети, в этой папке на базе имеющихся шаблонов создаются объекты политик по умолчанию. Служба FRS извещает службу NETLOGON о том, что системная папка доступна для общего доступа. Только после этого сервер может использоваться как контроллер домена.

В случае установки последующих контроллеров домена после создания тома SYSVOL служба репликации файлов осуществляет его наполнение. Содержимое тома копируется с уже существующего контроллера домена. Только по окончании этого процесса наполнения сервер будет объявлен контроллером домена.

По умолчанию том SYSVOL располагается непосредственно внутри системной папки %SystemRoot%. Однако в процессе повышения роли сервера до контроллера домена администратор может указать любое другое место расположения этого тома. Единственное условие – том должен располагаться на NTFS-разделе.

Служба каталога и служба FRS

Для своей работы служба FRS запрашивает информацию о физической структуре службы каталога, серверах каталога и соединениях между ними. Другими словами, служба репликации файлов не создает своей инфраструктуры, а использует топологию репликации каталога для собственных целей. В частности, служба репликации файлов задействует объекты, ассоциированные с соединением (connection objects), для передачи файлов. При этом учитывается расписание репликации, определенное в рамках этих объектов.

Такой подход позволяет упростить схему репликации, исключив дублирование схожих структур.

Тем не менее, необходимо понимать, что фактически механизм репликации службы каталога и служба репликации файлов представляют собой две различных службы, действующие независимо друг от друга.

Отказано в доступе к каталогам NETLOGON и SYSVOL из Windows 10

Заметил некоторые странности при доступе к каталогам SYSVOL и NETLOGON в домене из Windows 10 / Windows Server 2016. При доступе к контроллеру домена с клиента по UNC пути \\ \SYSVOL или по IP адресу контроллера домена \\192.168.1.10\Netlogon появляется ошибка “Отказано в доступе” (Access is denied) с запросом ввода учетной записи и пароля. При указании учетной записи доменного пользователя или даже администратора домена, каталоги все равно не открываются.

При этом тот же самый каталог Sysvol/Netlogon открывается нормально (без запроса пароля), если указать имя контроллера домена: \\dc1.domain.ru\sysvol или просто \\dc1\sysvol .

Кроме того, на проблемных компьютерах с Windows 10 могут наблюдаться проблемы с применением групповых политик. В журнале можно найти ошибки с EventID 1058:

Все это связано с новыми настройками безопасности, которые предназначены для защиты доменных компьютеров от запуска кода (логон скриптов, исполняемых файлов) и получения конфигурационных файлов политик из недоверенных источников — UNC hardening. Настройки безопасности Windows 10 / Windows Server 2016 требуют, чтобы для доступа к UNC каталогам с усиленной защитой (SYSVOL и NETLOGON) использовались следующие уровни безопасности:

• Mutual Authentication — взаимная аутентификация клиента и сервера. Для аутентификации используется Kerberos (NTLM не поддерживается). Именно поэтому вы не можете подключиться к каталогам SYSVOL и NETLOGON на контроллере домена по IP адресу. По-умолчанию RequireMutualAuthentication=1 .
• Integrity – проверка подписи SMB. Позволяет убедиться, что данные в SMB сесии не модифицированы при передаче. Подпись SMB поддерживается только в версии SMB 2.0 и выше (SMB 1 не поддерживает SMB подписи для сессии). По-умолчанию RequireIntegrity=1 .
• Privacy – шифрование данных в SMB сессии. Поддерживается начиная с SMB 3.0 (Windows 8 / Windows Server 2012 и выше). По-умолчанию RequirePrivacy=0.

Изначально эти изменения были внесены в Windows 10 еще в 2015 году в рамках бюллетеней безопасности MS15-011 и MS15-014. В результате был изменен алгоритм работы Multiple UNC Provider (MUP), который теперь использует особые правила для доступа к критичным каталогам на контроллерах домена \\*\SYSVOL и \\*\NETLOGON.

Изменить настройки UNC hardening в Windows 10 для доступа к SYSVOL и NETLOGON можно через групповые политики. Вы можете использовать различные настройки безопасности для доступа к разным UNC-путям с помощью политики Hardened UNC Paths (UNC пути с усиленной защитой).

1. Откройте редактор локальной политики безопасности gpedit.msc;
2. Перейдите в раздел политик Computer Configuration -> Administrative Templates -> Network -> Network Provider;
3. Включите политику Hardened UNC Paths;
4. Нажмите на кнопку Show и создайте записи для UNC путей к каталогам Netlogon и Sysvol. Для полного отключения UNC hardering для определенных каталогов (не рекомендуется!!), укажите значение RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0

Или можно разрешить доступ к каталогам Sysvol и Netlogon независимо от UNC пути:

Нужно указать все необходимые вам имена доменов (контроллеров домена) или IP адреса.

• \\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
• \\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

Осталось обновить политики на компьютере с помощью команды gpupdate /force и проверить, что у вас появился доступ к каталогам Sysvol и Netlogon.

Вы можете настроить эти параметры с помощью централизованной доменной политики. Или с помочью следующих команд на клиентах. (Эти команды отключат Kerberos аутентификацию при доступе к указанным каталогам на DC. Будет использоваться NTLM, в результате вы сможете открыть защищённые каталоги на DC по IP адресу):

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v «\\*\SYSVOL» /d «RequireMutualAuthentication=0» /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v «\\*\NETLOGON» /d «RequireMutualAuthentication=0» /t REG_SZ /f

• у вас старая версия административных шаблонов на контроллере домена (DC со старой Windows Server 2008 R2/ Windows Server 2012), в которых отсутствует параметр политик Hardened UNC Paths;
• из-за недоступности каталога Sysvol клиенты не могут получить доменные политики, и вы не можете распространить эти настройки реестра.

Сбой миграции SYSVOL DFSR после обновления контроллера домена на месте до Windows Server 2019

В этой статье приводится решение проблемы, из-за которой происходит сбой миграции SYSVOL DFSR после обновления контроллера домена на месте до Windows Server 2019.

Исходная версия продукта: Windows Server 2019
Исходный номер КБ: 4493934

Аннотация

В домене, настроенном для использования службы репликации файлов, папка SYSVOL не будет совместной после обновления контроллера домена windows Server 2019 на месте с более ранней версии Windows. Пока этот каталог не будет общим, контроллер домена не будет отвечать на запросы DCLOCATOR для рабочих нагрузок LDAP, Kerberos и других dc.

Симптомы

В домене, использующем устаревшую службу репликации файлов для SYSVOL, вы на месте обновляете контроллер домена до Windows Server 2019.

При попытке перенести домен в репликацию распределенной файловой системы (DFS) возникают следующие проблемы:

Все контроллеры домена на основе Windows Server 2019 в домене перестают делиться папкой SYSVOL и перестают отвечать на запросы DCLOCATOR.

Все контроллеры домена на основе Windows Server 2019 в домене имеют следующие ошибки журнала событий:

Имя журнала: репликация DFS
Источник: DFSR
Дата:
ИД события: 8013
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Компьютер:
Описание:
DFSR не удалось скопировать содержимое SYSVOL-папки, расположенной на C: \ Windows \ SYSVOL\domain, в папку SYSVOL_DFSR, расположенную на C: \ Windows SYSVOL_DFSR \ \ домен. Это может быть вызвано нехваткой места на диске или нарушением общего доступа.

Дополнительная информация:
Папка Sysvol NTFRS: C: \ домен Windows \ SYSVOL \
Папка Sysvol DFSR: C: \ Домен Windows \ SYSVOL_DFSR \
Ошибка: 367 (создание процесса заблокировано.)

Имя журнала: репликация DFS
Источник: DFSR
Дата:
ИД события: 8028
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Компьютер:
Описание:
Миграции DFSR не удалось перейти в состояние PREPARED для контроллера домена. DFSR будет повторить попытку при следующем опросе Active Directory. Чтобы принудительно выполнить немедленную попытку, выполните команду «dfsrdiag /pollad».
Дополнительная информация:
Контроллер домена:
Ошибка: 367 (создание процесса заблокировано.)

Команда создает следующие выходные данные для всех контроллеров домена DFSRMIG.EXE /GetMigrationState Windows Server 2019:

Dfsrmig /getmigrationstate
Следующие контроллеры домена не достигли глобального состояния (‘Prepared’):

Контроллер домена (состояние локальной миграции) — тип DC ======
(‘Start’) — writable DC

Миграция еще не достига согласованного состояния на всех контроллерах домена.
Сведения о состоянии могут быть устаревшими из-за задержки доменных служб Active Directory.

Глобальное состояние может быть подготовлено, перенаправлено или исключено, в зависимости от того, какое глобальное состояние вы установили ранее.

Причина

Служба репликации файлов (FRS) была неподготовлена в Windows Server 2008 R2 и включена в более поздние выпуски операционной системы только для обеспечения обратной совместимости. Начиная с Windows Server 2019 для продвижения новых контроллеров домена требуется репликация DFS (DFSR) для репликации содержимого в обойме SYSVOL. Если попытаться продвигать компьютер на основе Windows Server 2019 в домене, который по-прежнему использует FRS для репликации SYSVOL, возникает следующая ошибка:

Сбой проверки предварительных условий для продвижения контроллера домена. Указанный домен по-прежнему использует службу репликации файлов contoso.com (FRS) для репликации папки SYSVOL. FRS является неподготовленным. Продвигаемый сервер не поддерживает FRS и не может быть повышен в качестве реплики в указанном домене. Перед продолжением необходимо перенести указанный домен, чтобы использовать репликацию DFS с помощью команды DFSRMIG. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=849270

Из-за неисправности кода обновление контроллера домена Windows Server 2012 R2 или Windows Server 2016 на месте до Windows Server 2019 не применяет этот блок. При запуске миграции на DFSR все обновленные контроллеры домена DFSRMIG.EXE /SetGlobalState Windows Server 2019 зависают на этапе «Начните» и не могут завершить переход на подготовленные или последующие этапы. Поэтому папки SYSVOL и NETLOGON для контроллеров домена больше не являются общими, а контроллеры домена перестают отвечать на вопросы о расположении от клиентов в домене.

Обходной путь

Существует несколько способов решения этой проблемы в зависимости от того, какое глобальное состояние миграции вы указали ранее.

Проблема возникает на этапе подготовки или перенаправления

Если вы уже запускали или ранее, в качестве администратора домена запустите DFRSMIG /SetGlobalState 1 DFRSMIG /SetGlobalState 2 следующую команду:

Дождись распространения репликации Active Directory по всему домену и состояния контроллеров домена Windows Server 2019, чтобы вернуться к этапу запуска.

Убедитесь, что SYSVOL совместно используется на этих контроллерах домена и что SYSVOL реплицируется как обычно, с помощью FRS.

Убедитесь, что в этом домене Windows Server 2008 R2 хотя бы один контроллер домена windows Server 2012 R2 или Windows Server 2016. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итифицируемы с одного или более исходных контроллеров домена, и что они реплицирует Active Directory как обычно, прежде чем понизить уровень всех контроллеров домена Windows Server 2019 на следующем шаге. Дополнительные сведения см. в подсети «Устранение неполадок репликации Active Directory».

Понизить все контроллеры домена на основе Windows Server 2019 до серверов-членов. Это временный шаг.

Обычно перенос SYSVOL в DFSR на остальных контроллерах домена Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016.

Продвижение серверов-членов на основе Windows Server 2019 в контроллеры домена.

Проблема возникает на этапе устранения

Этап устранения FRS нельзя откатить с помощью DFSRMIG. Если уже указано устранение FRS, можно использовать любой из следующих обходных пути.

Вариант 1

В этом домене по-прежнему Windows Server 2008 R2 один или несколько контроллеров домена Windows Server 2012 R2 или Windows Server 2016. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итифицируемы с одного или более исходных контроллеров домена, и что они реплицирует Active Directory как обычно, прежде чем понизить уровень всех контроллеров домена Windows Server 2019 на следующем шаге. Дополнительные сведения см. в подсети «Устранение неполадок репликации Active Directory».

1. Понизить все контроллеры домена на основе Windows Server 2019. Это временный шаг.
2. Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах домена Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016.
3. Продвижение серверов-членов на основе Windows Server 2019 в контроллеры домена.

Вариант 2

Все контроллеры домена в домене работают под управлением Windows Server 2019.

• Шаг 6 этого обходного решения требует продвижения по крайней мере одного Windows Server 2008 R2, Windows Server 2012 R2 или WINDOWS Server 2016 DC.
• При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

В ADSIEDIT. Средство MSC, измените следующие различающейся значения имени и атрибута в эмуляторе PDC:
CN=DFSR-GlobalSettings,CN=System,DC= ,DC= msDFSR-Flags = 0

Дождись распространения репликации Active Directory по всему домену.

На всех контроллерах домена Windows Server 2019 измените значение реестра типа DWORD Local State на 0:

• Параметр реестра: локальное состояние
• Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating SysVols
• Значение реестра: 0
• Тип данных: REG_DWORD

На всех контроллерах домена Windows Server 2019 перезапустите следующие службы, выверив следующие команды:

Убедитесь, что SYSVOL совместно используется на этих контроллерах домена и что SYSVOL реплицируется как обычно, с помощью FRS.

Продвижение одного или Windows Server 2008 R2 контроллеров домена Windows Server 2012 R2 или Windows Server 2016 в этом домене. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итифицируемы с одного или более исходных контроллеров домена, и что они реплицирует Active Directory как обычно, прежде чем понизить уровень всех контроллеров домена Windows Server 2019 на следующем шаге. Дополнительные сведения см. в подсети «Устранение неполадок репликации Active Directory».

Понизить все контроллеры домена на основе Windows Server 2019 до серверов-членов. Это временный шаг.

Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах домена Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016.

Продвижение серверов-членов на основе Windows Server 2019 в контроллеры домена.

Необязательно: понизите Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 DC, добавленные на шаге 6.

Ссылки

Дополнительные сведения о миграции FRS в DFSR для SYSVOL см. в следующих статьях: