Делегирование репликации DFS в Windows Server 2003 R2

В этой статье описывается прямое изменение разрешений объектов конфигурации для каждой группы репликации.

Исходная версия продукта: Windows Server 2003 R2
Исходный номер КБ: 911604

Введение

Репликация распределенной файловой системы (DFS) использует службу каталогов Active Directory для хранения объектов конфигурации. При использовании Active Directory можно делегировать права пользователя более точно. Функция управления DFS обеспечивает высокоуровневую поддержку делегирования. Эта поддержка позволяет предоставить пользователям возможность создания группы репликации. Эта поддержка также позволяет предоставить пользователям административные права в уже созданной группе репликации.

Объекты конфигурации

Перед подробным просмотром каждого объекта полезно получить обзор всех объектов. В этом разделе описываются объекты, используемые для настройки репликации DFS. Разрешения для этих объектов определяют, какие пользователи могут выполнять определенные операции с группами репликации.

Глобальные объекты

Глобальные объекты настраивают набор реплик в целом. Например, глобальные объекты настраивают количество реплицируемых папок. Глобальные объекты также настраивают подключения между каждым членом группы репликации.

msDFSR-GlobalSettings

Этот объект создается в следующее время:

• Когда создается первая группа репликации в домене
• При первом делегирование пользователем прав на создание групп репликации в домене

Этот объект создается в системных контейнерах. По умолчанию только администратор домена может создать этот объект.

Единственное изменение безопасности этого объекта, которое мы рекомендуем предоставить пользователям право на создание в этом контейнере дополнительных объектов msDFSR-ReplicationGroup. Чтобы использовать для этой задачи управление DFS, выполните действие «Делегирование разрешений управления» на узле репликации.

msDFSR-ReplicationGroup

Этот объект содержит все глобальные параметры, специфичная для одной группы репликации. Чтобы изменить разрешения для этого контейнера в управлении DFS, выполните действие «Делегирование разрешений управления» для группы репликации. Вы можете предоставить права администрирования пользователя группе репликации. Вы также можете предоставить пользователю контроль над объектом msDFSR-ReplicationGroup и всеми его потомков для группы репликации. В этом объекте хранятся следующие атрибуты:

1. Description
   Описание группы репликации.
2. msDFSR-Topology
   Расписание по умолчанию.

msDFSR-Content

Этот объект создается в объекте msDFSR-ReplicationGroup при создании группы репликации. Объект msDFSR-Content содержит объект msDFSR-ContentSet для каждой реплицируемых папок в группе репликации.

В этом объекте не хранятся важные атрибуты.

msDFSR-ContentSet

Объект msDFSR-ContentSet создается для каждой реплицируемых папок в группе репликации. В этом объекте хранятся следующие атрибуты:

• Description
  Описание реплицированной папки.
• msDFSR-FileFilter
  Фильтр файлов для файлов исключен из репликации.
• msDFSR-DirectoryFilter
  Фильтр каталогов для папок исключен из репликации.
• msDFSR-DfsPath
  Путь к папке DFS при публикации реплицируемых папок в пространстве имен DFS.

msDFSR-Topology

Этот объект создается в объекте msDFSR-ReplicationGroup при создании группы репликации. Объект msDFSR-Topology содержит объект msDFSR-Member для каждого члена группы репликации.

В этом объекте не хранятся важные атрибуты.

msDFSR-Member

Для каждого члена группы репликации создается объект msDFSR-Member. Этот объект ссылается на объект компьютера для члена. Этот объект содержит объект msDFSR-Connection для каждого подключения, в котором этот член является принимающим членом подключения. В этом объекте хранятся следующие атрибуты:

• msDFSR-ComputerReference
  Ссылка на объект компьютера для члена.

msDFSR-Connection

MsDFSR-Connection создается как child объекта msDFSR-Member для каждого входящих подключений репликации к этому члену. В этом объекте хранятся следующие атрибуты:

• msDFSR-Enabled
  Включенное состояние подключения.
• msDFSR-Schedule
  Пользовательское расписание подключения.
• msDFSR-Keywords
  Ключевые слова для подключения.
• msDFSR-RdcEnabled
  Состояние включенного разнонаправленного сжатия rRemote.

Локальные объекты сервера

Локальные объекты сервера существуют в учетной записи компьютера для каждого сервера, участвуя в репликации. Эти объекты настраивают отдельных членов группы репликации.

msDFSR-LocalSettings

Этот объект является контейнером верхнего уровня для объектов репликации DFS в учетной записи компьютера.

msDFSR-Subscriber

Объект msDFSR-Subscriber создается для каждой группы репликации, к которой принадлежит сервер. Этот объект содержит объект msDFSR-Subscription для каждой реплицированной папки в группе репликации, указанной объектом msDFSR-Subscriber. В этом объекте хранятся следующие атрибуты:

• msDFSR-MemberReference
  Ссылка на объект msDFSR-Member.

msDFSR-Subscription

Объект msDFSR-Subscription содержит параметры, уникальные для каждой реплицируемых папок на сервере. В этом объекте хранятся следующие атрибуты:

• msDFSR-RootPath
  Локальный путь к реплицированной папке.
• msDFSR-StagingPath
  Путь к реплицированной папке.
• msDFSR-StagingSizeInMb
  Размер промежуточной папки.
• msDFSR-ConflictSizeInMb
  Размер папки конфликтов.
• msDFSR-Enabled
  Состояние включенной подписки.
• msDFSR-Flags
  Флаг, который управляет тем, перемещаются ли удаленные файлы в папку конфликтов.

Подробное делегированное делег

Предоставление разрешений на создание группы репликации

Это действие является одним из двух действий делегирования, доступных в управлении DFS. Чтобы вручную выполнить это действие в службе «Пользователи и компьютеры Active Directory», выполните следующие действия:

1. Откройте оснастку «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши узел Domain\System\DFSR-GlobalSettings и выберите «Свойства».
3. Щелкните вкладку «Безопасность» и выберите «Дополнительные».
4. Предоставить нужным пользователям или группам разрешение на создание всех объектов-потомков, а затем выберите этот объект только в области «Применить».

Делегирование административных прав группе репликации

Это другое действие делегирования, доступное в средстве управления DFS. Чтобы вручную выполнить это действие в службе «Пользователи и компьютеры Active Directory», выполните следующие действия:

1. Откройте оснастку «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши узел Domain\System\DFSR-GlobalSettings и выберите «Свойства».
3. Щелкните вкладку «Безопасность» и выберите «Дополнительные».
4. Предоставить нужным пользователям или группам разрешение «Полный доступ», а затем выберите этот объект и все его потомки в области «Применить».
5. Добавьте пользователей или группы в локализованную группу администраторов каждого участника.

Управление настройками локальной системы без права локального администратора

Как правило, для управления настройками локального компьютера пользователь должен быть администратором. Чтобы позволить пользователю, который не является администратором, управлять настройками локального компьютера, необходимо предоставить пользователю прямой контроль над требуемой программой в Active Directory. Для этого выполните следующие действия:

Откройте оснастку «Пользователи и компьютеры Active Directory».

Щелкните правой кнопкой мыши узел компьютера и выберите «Свойства».

По умолчанию путь к узлу компьютера один из следующих:

• Серверы-члены
  Domain\Computer\ComputerName\DFSR-LocalSettings
• Контроллеры доменов
  Domain\Domain Controllers\ComputerName\DFSR-LocalSettings

Щелкните вкладку «Безопасность» и выберите «Дополнительные».

Предоставить нужным пользователям или группам разрешение «Полный доступ», а затем щелкните, чтобы выбрать этот объект и все его потомки в области «Применить».

Управление всеми группами репликации

Чтобы предоставить пользователю контроль над всеми существующими и будущими группами репликации в домене, выполните следующие действия.

1. Откройте оснастку «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши узел Domain\System\DFSR-GlobalSettings и выберите «Свойства».
3. Щелкните вкладку «Безопасность» и выберите «Дополнительные».
4. Предоставить нужным пользователям или группам разрешение «Полный доступ», а затем щелкните, чтобы выбрать этот объект и все его потомки в области «Применить».
5. Добавьте пользователей или группы в локализованную группу администраторов каждого участника. Или предоставить разрешение «Полный доступ» для компьютерных объектов каждого сервера в группах репликации.

Добавление, удаление и изменение реплицируемых папок

Чтобы предоставить пользователю права только на изменение, добавление или удаление реплицируемых папок, выполните следующие действия.

1. Откройте оснастку «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши узел Domain\System\DFSR-GlobalSettings\ReplicationGroup\Content и выберите «Свойства».
3. Щелкните вкладку «Безопасность» и выберите «Дополнительные».
4. Предоставить нужным пользователям или группам разрешение «Полный доступ», а затем выберите этот объект и все его потомки в области «Применить».
5. Добавьте пользователей или группы в локализованную группу администраторов каждого участника. Или предоставить разрешение «Полный доступ» для компьютерных объектов каждого сервера в группах репликации.

Добавление, удаление и изменение членов и подключений

Чтобы предоставить пользователю права только на изменение, добавление или удаление членов и подключений, выполните следующие действия:

1. Откройте оснастку «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши узел Domain\System\DFSR-GlobalSettings\ReplicationGroup\Topology и выберите «Свойства».
3. Щелкните вкладку «Безопасность» и выберите «Дополнительные».
4. Предоставить нужным пользователям или группам разрешение «Полный доступ», а затем выберите этот объект и все его потомки в области «Применить».
5. Добавьте пользователей или группы в локализованную группу администраторов каждого участника. Или предоставить разрешение «Полный доступ» для компьютерных объектов каждого сервера в группах репликации.

Создание отчета для группы репликации

Для создания диагностического отчета пользователь должен быть локальным администратором серверов, в которые он входит.

DFS Replication overview

Applies to: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server (Semi-Annual Channel)

DFS Replication is a role service in Windows Server that enables you to efficiently replicate folders (including those referred to by a DFS namespace path) across multiple servers and sites. DFS Replication is an efficient, multiple-master replication engine that you can use to keep folders synchronized between servers across limited bandwidth network connections. It replaces the File Replication Service (FRS) as the replication engine for DFS Namespaces, as well as for replicating the Active Directory Domain Services (AD DS) SYSVOL folder in domains that use the Windows Server 2008 or later domain functional level.

DFS Replication uses a compression algorithm known as remote differential compression (RDC). RDC detects changes to the data in a file and enables DFS Replication to replicate only the changed file blocks instead of the entire file.

For more information about replicating SYSVOL using DFS Replication, see Migrate the SYSVOL replication to DFS Replication.

To use DFS Replication, you must create replication groups and add replicated folders to the groups. Replication groups, replicated folders, and members are illustrated in the following figure.

This figure shows that a replication group is a set of servers, known as members, which participates in the replication of one or more replicated folders. A replicated folder is a folder that stays synchronized on each member. In the figure, there are two replicated folders: Projects and Proposals. As the data changes in each replicated folder, the changes are replicated across connections between the members of the replication group. The connections between all members form the replication topology. Creating multiple replicated folders in a single replication group simplifies the process of deploying replicated folders because the topology, schedule, and bandwidth throttling for the replication group are applied to each replicated folder. To deploy additional replicated folders, you can use Dfsradmin.exe or a follow the instructions in a wizard to define the local path and permissions for the new replicated folder.

Each replicated folder has unique settings, such as file and subfolder filters, so that you can filter out different files and subfolders for each replicated folder.

The replicated folders stored on each member can be located on different volumes in the member, and the replicated folders do not need to be shared folders or part of a namespace. However, the DFS Management snap-in makes it easy to share replicated folders and optionally publish them in an existing namespace.

You can administer DFS Replication by using DFS Management, the DfsrAdmin and Dfsrdiag commands, or scripts that call WMI.

Requirements

Before you can deploy DFS Replication, you must configure your servers as follows:

• Update the Active Directory Domain Services (AD DS) schema to include Windows Server 2003 R2 or later schema additions. You cannot use read-only replicated folders with the Windows Server 2003 R2 or older schema additions.
• Ensure that all servers in a replication group are located in the same forest. You cannot enable replication across servers in different forests.
• Install DFS Replication on all servers that will act as members of a replication group.
• Contact your antivirus software vendor to check that your antivirus software is compatible with DFS Replication.
• Locate any folders that you want to replicate on volumes formatted with the NTFS file system. DFS Replication does not support the Resilient File System (ReFS) or the FAT file system. DFS Replication also does not support replicating content stored on Cluster Shared Volumes.

Interoperability with Azure virtual machines

Using DFS Replication on a virtual machine in Azure has been tested with Windows Server; however, there are some limitations and requirements that you must follow.

• Using snapshots or saved states to restore a server running DFS Replication for replication of anything other than the SYSVOL folder causes DFS Replication to fail, which requires special database recovery steps. Similarly, don’t export, clone, or copy the virtual machines. For more information, see article 2517913 in the Microsoft Knowledge Base, as well as Safely Virtualizing DFSR.
• When backing up data in a replicated folder housed in a virtual machine, you must use backup software from within the guest virtual machine.
• DFS Replication requires access to physical or virtualized domain controllers – it can’t communicate directly with Azure AD.
• DFS Replication requires a VPN connection between your on premises replication group members and any members hosted in Azure VMs. You also need to configure the on premises router (such as Forefront Threat Management Gateway) to allow the RPC Endpoint Mapper (port 135) and a randomly assigned port between 49152 and 65535 to pass over the VPN connection. You can use the Set-DfsrMachineConfiguration cmdlet or the Dfsrdiag command line tool to specify a static port instead of the random port. For more information about how to specify a static port for DFS Replication, see Set-DfsrServiceConfiguration. For information about related ports to open for managing Windows Server, see article 832017 in the Microsoft Knowledge Base.

To learn about how to get started with Azure virtual machines, visit the Microsoft Azure web site.

Installing DFS Replication

DFS Replication is a part of the File and Storage Services role. The management tools for DFS (DFS Management, the DFS Replication module for Windows PowerShell, and command-line tools) are installed separately as part of the Remote Server Administration Tools.

Install DFS Replication by using Windows Admin Center, Server Manager, or PowerShell, as described in the next sections.

To install DFS by using Server Manager

Open Server Manager, click Manage, and then click Add Roles and Features. The Add Roles and Features Wizard appears.

On the Server Selection page, select the server or virtual hard disk (VHD) of an offline virtual machine on which you want to install DFS.

Select the role services and features that you want to install.

To install the DFS Replication service, on the Server Roles page, select DFS Replication.

To install only the DFS Management Tools, on the Features page, expand Remote Server Administration Tools, Role Administration Tools, expand File Services Tools, and then select DFS Management Tools.

DFS Management Tools installs the DFS Management snap-in, the DFS Replication and DFS Namespaces modules for Windows PowerShell, and command-line tools, but it does not install any DFS services on the server.

To install DFS Replication by using Windows PowerShell

Open a Windows PowerShell session with elevated user rights, and then type the following command, where is the role service or feature that you want to install (see the following table for a list of relevant role service or feature names):

Role service or feature	Name
DFS Replication	FS-DFS-Replication
DFS Management Tools	RSAT-DFS-Mgmt-Con

For example, to install the Distributed File System Tools portion of the Remote Server Administration Tools feature, type:

To install the DFS Replication, and the Distributed File System Tools portions of the Remote Server Administration Tools feature, type: