Сбой миграции SYSVOL DFSR после обновления контроллера домена на месте до Windows Server 2019

В этой статье приводится решение проблемы, из-за которой происходит сбой миграции SYSVOL DFSR после обновления контроллера домена на месте до Windows Server 2019.

Исходная версия продукта: Windows Server 2019
Исходный номер КБ: 4493934

Аннотация

В домене, настроенном для использования службы репликации файлов, папка SYSVOL не будет совместной после обновления контроллера домена windows Server 2019 на месте с более ранней версии Windows. Пока этот каталог не будет общим, контроллер домена не будет отвечать на запросы DCLOCATOR для рабочих нагрузок LDAP, Kerberos и других dc.

Симптомы

В домене, использующем устаревшую службу репликации файлов для SYSVOL, вы на месте обновляете контроллер домена до Windows Server 2019.

При попытке перенести домен в репликацию распределенной файловой системы (DFS) возникают следующие проблемы:

Все контроллеры домена на основе Windows Server 2019 в домене перестают делиться папкой SYSVOL и перестают отвечать на запросы DCLOCATOR.

Все контроллеры домена на основе Windows Server 2019 в домене имеют следующие ошибки журнала событий:

Имя журнала: репликация DFS
Источник: DFSR
Дата:
ИД события: 8013
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Компьютер:
Описание:
DFSR не удалось скопировать содержимое SYSVOL-папки, расположенной на C: \ Windows \ SYSVOL\domain, в папку SYSVOL_DFSR, расположенную на C: \ Windows SYSVOL_DFSR \ \ домен. Это может быть вызвано нехваткой места на диске или нарушением общего доступа.

Дополнительная информация:
Папка Sysvol NTFRS: C: \ домен Windows \ SYSVOL \
Папка Sysvol DFSR: C: \ Домен Windows \ SYSVOL_DFSR \
Ошибка: 367 (создание процесса заблокировано.)

Имя журнала: репликация DFS
Источник: DFSR
Дата:
ИД события: 8028
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Компьютер:
Описание:
Миграции DFSR не удалось перейти в состояние PREPARED для контроллера домена. DFSR будет повторить попытку при следующем опросе Active Directory. Чтобы принудительно выполнить немедленную попытку, выполните команду «dfsrdiag /pollad».
Дополнительная информация:
Контроллер домена:
Ошибка: 367 (создание процесса заблокировано.)

Команда создает следующие выходные данные для всех контроллеров домена DFSRMIG.EXE /GetMigrationState Windows Server 2019:

Dfsrmig /getmigrationstate
Следующие контроллеры домена не достигли глобального состояния (‘Prepared’):

Контроллер домена (состояние локальной миграции) — тип DC ======
(‘Start’) — writable DC

Миграция еще не достига согласованного состояния на всех контроллерах домена.
Сведения о состоянии могут быть устаревшими из-за задержки доменных служб Active Directory.

Глобальное состояние может быть подготовлено, перенаправлено или исключено, в зависимости от того, какое глобальное состояние вы установили ранее.

Причина

Служба репликации файлов (FRS) была неподготовлена в Windows Server 2008 R2 и включена в более поздние выпуски операционной системы только для обеспечения обратной совместимости. Начиная с Windows Server 2019 для продвижения новых контроллеров домена требуется репликация DFS (DFSR) для репликации содержимого в обойме SYSVOL. Если попытаться продвигать компьютер на основе Windows Server 2019 в домене, который по-прежнему использует FRS для репликации SYSVOL, возникает следующая ошибка:

Сбой проверки предварительных условий для продвижения контроллера домена. Указанный домен по-прежнему использует службу репликации файлов contoso.com (FRS) для репликации папки SYSVOL. FRS является неподготовленным. Продвигаемый сервер не поддерживает FRS и не может быть повышен в качестве реплики в указанном домене. Перед продолжением необходимо перенести указанный домен, чтобы использовать репликацию DFS с помощью команды DFSRMIG. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=849270

Из-за неисправности кода обновление контроллера домена Windows Server 2012 R2 или Windows Server 2016 на месте до Windows Server 2019 не применяет этот блок. При запуске миграции на DFSR все обновленные контроллеры домена DFSRMIG.EXE /SetGlobalState Windows Server 2019 зависают на этапе «Начните» и не могут завершить переход на подготовленные или последующие этапы. Поэтому папки SYSVOL и NETLOGON для контроллеров домена больше не являются общими, а контроллеры домена перестают отвечать на вопросы о расположении от клиентов в домене.

Обходной путь

Существует несколько способов решения этой проблемы в зависимости от того, какое глобальное состояние миграции вы указали ранее.

Проблема возникает на этапе подготовки или перенаправления

Если вы уже запускали или ранее, в качестве администратора домена запустите DFRSMIG /SetGlobalState 1 DFRSMIG /SetGlobalState 2 следующую команду:

Дождись распространения репликации Active Directory по всему домену и состояния контроллеров домена Windows Server 2019, чтобы вернуться к этапу запуска.

Убедитесь, что SYSVOL совместно используется на этих контроллерах домена и что SYSVOL реплицируется как обычно, с помощью FRS.

Убедитесь, что в этом домене Windows Server 2008 R2 хотя бы один контроллер домена windows Server 2012 R2 или Windows Server 2016. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итифицируемы с одного или более исходных контроллеров домена, и что они реплицирует Active Directory как обычно, прежде чем понизить уровень всех контроллеров домена Windows Server 2019 на следующем шаге. Дополнительные сведения см. в подсети «Устранение неполадок репликации Active Directory».

Понизить все контроллеры домена на основе Windows Server 2019 до серверов-членов. Это временный шаг.

Обычно перенос SYSVOL в DFSR на остальных контроллерах домена Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016.

Продвижение серверов-членов на основе Windows Server 2019 в контроллеры домена.

Проблема возникает на этапе устранения

Этап устранения FRS нельзя откатить с помощью DFSRMIG. Если уже указано устранение FRS, можно использовать любой из следующих обходных пути.

Вариант 1

В этом домене по-прежнему Windows Server 2008 R2 один или несколько контроллеров домена Windows Server 2012 R2 или Windows Server 2016. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итифицируемы с одного или более исходных контроллеров домена, и что они реплицирует Active Directory как обычно, прежде чем понизить уровень всех контроллеров домена Windows Server 2019 на следующем шаге. Дополнительные сведения см. в подсети «Устранение неполадок репликации Active Directory».

1. Понизить все контроллеры домена на основе Windows Server 2019. Это временный шаг.
2. Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах домена Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016.
3. Продвижение серверов-членов на основе Windows Server 2019 в контроллеры домена.

Вариант 2

Все контроллеры домена в домене работают под управлением Windows Server 2019.

• Шаг 6 этого обходного решения требует продвижения по крайней мере одного Windows Server 2008 R2, Windows Server 2012 R2 или WINDOWS Server 2016 DC.
• При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

В ADSIEDIT. Средство MSC, измените следующие различающейся значения имени и атрибута в эмуляторе PDC:
CN=DFSR-GlobalSettings,CN=System,DC= ,DC= msDFSR-Flags = 0

Дождись распространения репликации Active Directory по всему домену.

На всех контроллерах домена Windows Server 2019 измените значение реестра типа DWORD Local State на 0:

• Параметр реестра: локальное состояние
• Путь в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating SysVols
• Значение реестра: 0
• Тип данных: REG_DWORD

На всех контроллерах домена Windows Server 2019 перезапустите следующие службы, выверив следующие команды:

Убедитесь, что SYSVOL совместно используется на этих контроллерах домена и что SYSVOL реплицируется как обычно, с помощью FRS.

Продвижение одного или Windows Server 2008 R2 контроллеров домена Windows Server 2012 R2 или Windows Server 2016 в этом домене. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итифицируемы с одного или более исходных контроллеров домена, и что они реплицирует Active Directory как обычно, прежде чем понизить уровень всех контроллеров домена Windows Server 2019 на следующем шаге. Дополнительные сведения см. в подсети «Устранение неполадок репликации Active Directory».

Понизить все контроллеры домена на основе Windows Server 2019 до серверов-членов. Это временный шаг.

Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах домена Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016.

Продвижение серверов-членов на основе Windows Server 2019 в контроллеры домена.

Необязательно: понизите Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 DC, добавленные на шаге 6.

Ссылки

Дополнительные сведения о миграции FRS в DFSR для SYSVOL см. в следующих статьях:

DFSR SYSVOL не удается перенести или реплицировать, SYSVOL не является общим, ид события 8028 или 6016

В этой статье приводится решение проблем, из-за которых репликация распределенной файловой системы (DFSR) не удается перенести или реплицировать или не SYSVOL SYSVOL является общей.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 2567421

Симптомы

Сценарий 1: После запуска миграции со службы репликации файлов (FRS) на DFSR контроллеры домена не переходили на этап «Подготовка» и не оставались на этапе SYSVOL подготовки. Эта проблема продолжается даже после того, как вы убедитесь, что репликация Active Directory (AD) конвергентна на всех контроллерах домена. Проблема продолжается даже на DCS на том же сайте AD, что и PDCE, где репликация AD происходит каждые 15 секунд и где вы запускали DFSRDIAG.EXE POLLAD на всех DCS. При запуске /GETMIGRATIONSTATE команды отчетов показаны:

DFSRMIG.EXE /GETMIGRATIONSTATE

Контроллер домена (состояние локальной миграции) — тип DC

===================================================
2008R2-MIG-01 (‘Preparing’) — основной DC
2008R2-MIG-02 (‘Preparing’) — Writable DC
Миграция еще не достига согласованного состояния на всех контроллерах домена.
Сведения о состоянии могут быть устаревшими из-за задержки AD.

При проверке знака события репликации DFS в эмуляторе основного контроллера домена (PDC) показано:

Имя журнала: репликация DFS
Источник: DFSR
Дата:
ИД события: 8028
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Компьютер: 2008r2-mig-01.cohowinery.com
Описание:
Миграции DFSR не удалось перейти в состояние PREPARED для контроллера домена 2008R2-MIG-01. DFSR повторно попросят его при следующем опросе Active Directory. Чтобы принудительно выполнить немедленную попытку, выполните команду «dfsrdiag /pollad».
Дополнительные сведения:
Контроллер домена: 2008R2-MIG-01
Ошибка: 5 (доступ отказано.)

При проверке подписи отлаживки DFSR в PDCE показано:

1524 CFAD 2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain
Controllers,DC=cohowinery,DC=com
1524 ADWR 633
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [ ] Локальный объект SYSVOL параметров уже существует.
1524 ADWR 655
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [ SYSVOL ] Got Local Setting’s SD for adding ACE
1524 ADWR 678
Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [ SYSVOL ] Going to set new SD
1524 CFAD 2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008R2-MIG-01,OU=Domain Controllers,DC=cohowinery,DC=com Error:Insufficient Rights
1524 SYSM 586 [ERROR] Migration::SysvolMigrationTask::Step [MIG] Failed Migration task. Ошибка:
+ [Error:5(0x5) Migration::SysVolMigration::Migrate migrationserver.cpp:1200 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::StepToNextStableState migrationserver.cpp:1271 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::P repare migrationserver.cpp:1431 1524 W Access is denied.]
+ [Error:5(0x5) Migration::SysVolMigration::CreateLocalAdObjects migrationserver.cpp:2694 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolMigrationLocalObjects adwriterserver.cpp:1965 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1524 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1524 U Insufficient Rights]

Сценарий 2: Домен уже реплицируется SYSVOL с помощью DFSR. При продвижении нового dc не удается реплицировать и не создаются SYSVOL SYSVOL и не NETLOGON создаются.

При проверке события репликации DFS в новом dc показано:

Имя журнала: репликация DFS
Источник: DFSR
Дата:
ИД события: 6016
Категория задач: нет
Уровень: предупреждение
Ключевые слова: классическая
Пользователь: Н/А
Компьютер: 2008-R2-TSPDC2.tailspintoys.com
Описание:
Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Служба периодически будет повторить эту операцию.

Дополнительные сведения:
Категория объекта: msDFSR-LocalSettings
DN объекта: CN=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
Ошибка: 5 (доступ отказано.)
Контроллер домена: 2008-R2-TSPDC1.tailspintoys.com
Цикл опроса: 60

При проверке входе отлаки DFSR в этом dc показано:

1712 CFAD 2836 Config::AdObjectEditor::AddObject Add cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com
1712 ADWR 633 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [ ] Локальный объект параметров SYSVOL уже существует.
1712 ADWR 655 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [ SYSVOL ] Got Local Setting’s SD for adding ACE
1712 ADWR 678 Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc [ ] Собирается установить SYSVOL новый SD
1712 CFAD 2570 [ERROR] Config::AdAttrEditor::ModifyValue Failed to ldap_modify_s(). dn:cn=DFSR-LocalSettings,CN=2008-R2-TSPDC2,OU=Domain Controllers,DC=tailspintoys,DC=com Error:Insufficient Rights
1712 CFAD 11508 [ERROR] Config::AdReader::Read [ SYSVOL ] (Ignored) Failed to create SysVol objects, Error:
+[Error:5(0x5) Config::AdWriter::CreateSysVolObjects adwriterserver.cpp:1360 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolObjectsWithParams adwriterserver.cpp:1457 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdWriter::CreateSysVolLocalObjectsOnLocalDc adwriterserver.cpp:726 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ReplaceValue ad.cpp:2702 1712 W Access is denied.]
+ [Error:5(0x5) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 W Access is denied.]
+ [Error:50(0x32) Config::AdAttrEditor::ModifyValue ad.cpp:2578 1712 U Insufficient Rights]

При проверке подписи отлаживки DFSR в PDCE показано:

1792 CFAD 6160 [ERROR] Config::AdSnapshot::BuildPartnersSubTree failed to create computer tree for partner:CN=2008-R2-TSPDC2,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=tailspintoys,DC=com, Error:
+[Error:1168(0x490) Config::AdSnapshot::BuildPartnerComputerSubTree ad.cpp:6018 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::BuildLocalSettingsTree ad.cpp:6408 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4112 1792 W Element not found.]
+ [Error:1168(0x490) Config::AdSnapshot::GetSubscriber ad.cpp:4108 1792 W Element not found.]

Причина

Назначение прав пользователя по умолчанию «Управление журналом аудита и безопасности» (SeSecurityPrivilege) удалено из встроенной группы администраторов. Удаление этого пользователя из прав администраторов на контроллерах домена не поддерживается. Это приведет к сбойу миграции DFSR. SYSVOL Миграцию DFSR должен выполнить пользователь, который является членом встроенной группы администраторов в этом домене. Все компьютеры автоматически становятся членами встроенной группы администраторов.

Решение

Чтобы устранить проблему, выполните все действия в порядке, используя запрос CMD с повышенными уровнями при запуске в качестве администратора домена:

Сценарий 1.

Определите, какая групповая политика безопасности применяет этот параметр к DCS, выступая в PDCE:

Откройте secpol.htm в веб-браузере и выберите «Показать все». Найдите запись «Управление аудитом и журналом безопасности». В ней будет действовать список групповой политики, применяемой к этому параметру.

С помощью GPMC.MSC отредактируете эту групповую политику, включив в нее группу «Администраторы».

Разрешить конвергентность AD и репликации SYSVOL на всех DCS. В PDCE запустите:

Выйдите из PDCE и снова войдите в систему, чтобы обновить маркер безопасности с помощью назначения пользователем прав.

Разрешить конвергентность AD и репликации SYSVOL на всех DCS. В PDCE запустите:

Проверьте, что некоторые или все компьютеры достигли состояния «Подготовлено» и готовы к перенаправлению. На этом этапе вы можете продолжить миграцию в обычном режиме. См. раздел «Дополнительные сведения» ниже.

Сценарий 2.

Определите, какая групповая политика безопасности применяет этот параметр к DCS, выступая в PDCE:

Откройте secpol.htm браузере и выберите «Показать все». Найдите запись «Управление аудитом и журналом безопасности». В ней будет действовать список групповой политики, применяемой к этому параметру.

С помощью GPMC.MSC отредактируете эту групповую политику, включив в нее группу «Администраторы».

Разрешить конвергентность AD и репликации SYSVOL на всех DCS. На затронутом dc запустите 3:

Перезапустите службу DFSR на этом dc.

Проверьте, что dc теперь делится SYSVOL с NETLOGON и реплицирует SYSVOL входящие данные.

Возможно, sysvol общий доступ к компьютеру не будет общим. Это предотвратит редактирование или применение групповой политики. В качестве обходного решения можно вручную поделиться , изменить право пользователя «Управление журналом аудита и безопасности» и принудительно sysvol обновить GP.

Вручную поделиться sysvol значением — Изменить это значение реестра Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
Значение SysvolReady = 1
запустите сетевую общую долю, чтобы убедиться, sysvol что она является общей.

Откройте политику и добавьте пользователя или группу в право пользователя «Управление журналом аудита и безопасности».

Возможно, вам придется снова поделиться sysvol на шаге 3, так как фоновый процесс миграции может отоправить его, прежде чем редактировать SYSVOL политику

Продолжите сценарий 1 или 2, как было отмечено выше.

DFSRMIG может успешно обновить AD, но не обновить реестр. Если обновления AD успешно завершены для создания группы репликации sysvol, но изменения реестра службы DFSR не были внесены из-за отсутствующих прав пользователя, вы увидите только события 8010, в которых идет миграция.

Дополнительные сведения

Обычно компьютеры остаются в состоянии «Подготовка» в течение длительного периода времени во время миграции, особенно в более крупных средах, где репликация AD может занять несколько часов или дней. Они не должны оставаться в этом состоянии даже после того, как репликация AD достигает этих компьютеров и прошло 15 минут для опроса DFSR AD.

Не делитесь SYSVOL данными и NETLOGON вручную, чтобы решить эту проблему. Не задан SYSVOLREADY=1 для решения этой проблемы. Это приведет к тому, что dc будет обращаться к себе для групповой политики. Так как он не может заполнить его, любые изменения, чтобы исправить права SYSVOL пользователя, не будут применены.

Дополнительные сведения о снижении времени конвергенции репликации AD с помощью уведомления об изменении межсайтов см. в приложении Б . Справка по процедурам.

Дополнительные сведения о миграции с FRS на DFSR см. в поддомене «Перенос репликации SYSVOL SYSVOL в репликацию DFS».