Replikation in Mehrserverumgebung erzwingen [ID 1417]

Problem:

In einer Umgebung mit mehreren Domänencontrollern z.B. einem Primary- (PDC) und einem Backup-Domain-Controller (BDC) tritt im laufenden Betrieb und bei Neuinstallation von Clients ein Verhalten auf, das auf nicht sauber übernommene Gruppenrichtlinien hindeutet.

Beispiele können sein, dass:

• bei der Installation neuer Clients der User "lanisadmin" nicht auf den Raum-User umgemeldet wird und auch kein Logfile geschrieben wird.
• im laufenden Betrieb benachbarte PCs unterschiedliches Verhalten zeigen z.B. fehlendes oder vorhandenes Startmodul.

Ursache:

Möglicherweise werden die Gruppenrichtlinie, Anmeldescripts usw. nicht sauber zwischen den DCs synchronisiert.

Analyse:

• Öffnen Sie den Gruppenrichtlinieneditor auf dem Server, auf dem Sie PaedNet-Installiert haben (hier DC2.duo.local):
• Klicken Sie auf die Domäne und den Reiter "Status". Klicken Sie dann auf "Jetzt ermitteln":
  
  
  
  
• Sollte dann bei Ihnen auch ein rotes ? erscheinen wie im Bild oben, dann deutet dies auf eine noch nicht erfolgreiche Synchronisation hin. Sie sollten den Servern etwas Zeit geben (bis zu 24 Std.), um die Synchronisation selbst erfolgreich durchzuführen. Fahren Sie ggfs. den PDC und den BDC herunter und starten Sie sie in dieser Reihenfolge erneut.
• Sollte dies nichts nutzen, starten Sie auf dem BDC ein DOS-Fenster und geben Sie folgenden Befehl ein:
• For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
• Sollten Sie bei der Ausgabe für alles DCs den "State" 2 erhalten, dann ist die Replikation im Zustand der "Erstsynchronisation" (initial synchronization)
  
  
  
  
• Da die Wartezeit ohne Erfolg verstrichen ist, erzwingen wir nun die Replikation selbst.

Vorarbeiten:

• Um eine möglichst zügige Replikation zu ermöglichen, räumen wir auf dem PDC die sysvol-Ordner "scripts" und "policies" auf. Zunächst schauen wir uns die Größe des Ordners "Policies" an:
  
  
  
  
• In einer sauberen PaedNet-Umgebung haben die eingespielten Policies eine Größe von ca. 12 MByte. Sollten Sie deutlich höhere Werte haben, versuchen Sie die Ursache zu ermitteln und diese Policies ggfs. zu bereinigen.
• Vorsicht: Löschen Sie nur Policies, die in der Gruppenrichtlinienverwaltung nicht verknüpft sind!!!
• Nun wechseln wir in den Ordner "Scripts": Achten Sie darauf, dass dort ab PaedNet 9.7 nur noch ein Script benötigt wird. Sollten Sie weiter "alte" Batch-Dateien sehen, sichern Sie sie in einem Ordner "Archiv":
  
  
  
  
• Es ist durchaus möglich, dass Sie diese Datei nur auf dem BDC und die Policies nur auf dem BDC sehen: Ein weiteres Zeichen für die nicht erfolgreiche Replikation.

Erzwingen der Replikation:

Der folgende Ablauf orientiert sich am Dokument:

https://automationadmin.com/2019/06/force-replication

1. Starten Sie auf dem PDC die App "Dienste" und beenden Sie den Dienst "DFS-Replikation":

2. Öffnen Sie auf dem PDC die APP "ADSI-Editor"

Klicken Sie auf "Verbindung herstellen..."

Klicken Sie auf "OK":

Erweitern Sie den "Standardmäßiger Namenskontext" und den darunter liegenden Knoten (hier "DC=duo, DC=local"). Öffnen Sie den Knoten "OU=Domain Controllers", wählen sie den PDC aus - also hier den DC (CN=DC) und erweitern Sie alles so wie im Bild unten:

Öffnen Sie mit der rechten Maustaste die Eigenschaften des "CN=SYSVOL Subscription" und klicken Sie auf "Filter. Wählen Sie "Nur Attribute mit Werten anzeigen" aus:

Setzen Sie mit einem Doppelklick die Einträge

"msDFSR_Enabled" auf "FALSE" und

"msDFSR-Options" auf "1".

Klicken Sie dann auf "OK", lassen aber den ADSI-Editor geöffnet:

Auf allen weiteren DCs der Domäne (hier nur auf dem DC2) öffnen Sie ebenfalls den ADSI-Editor und setzen nur das Attribut

"msDFSR_Enabled" auf "FALSE":

Erzwingen Sie auf allen DCs der Domäne (also hier DC und DC2) die Replikation des Active Directory durch den Befehl:

repadmin /syncall "PDC-Name" /APed

Esetzen Sie dabei "PDC-Name" durch den Namen Ihres PDC. In unserem Fall heißt also der Befehl:

repadmin /syncall DC /APed

Das Ergebnis sollte jeweils so aussehen:

Starten Sie auf dem PDC wieder den Dienst "DFS-Replikation"

Öffnen Sie auf dem PDC die Ereignisanzeige und warten Sie auf das Erscheinen des Ereignisses mit der ID 4114 in den "Anwendungs- und Dienstprotokollen". Dies kann mehrere Minuten dauern:

Setzen Sie auf dem PDC im ADSI-Editor den Wert von

"msDFSR_Enabled" auf "TRUE"

Erzwingen Sie erneut auf allen DCs der Domäne (also hier DC und DC2) die Replikation des Active Directory durch den Befehl:

repadmin /syncall "PDC-Name" /APed

Ersetzen Sie dabei "PDC-Name" durch den Namen Ihres PDC. In unserem Fall heißt also der Befehl:

repadmin /syncall DC /APed

Beobachten Sie wieder die Ereignisanzeige und gehen Sie zum nächsten Punkt dieser Anleitung, wenn Sie die ID 2002 oder 4602 sehen. Dies kann mehrere Minuten dauern. Aktualisieren Sie die Anzeige regelmäßig.

Ändern Sie auch auf allen BDCs im ADSI-Editor das Attribut

"msDFSR_Enabled" auf "TRUE" .

Beobachten Sie auf den BDCs die Ereignisanzeige und gehen Sie zum nächsten Punkt dieser Anleitung, wenn Sie die ID 2002 oder 4604 sehen. Dies kann mehrere Minuten dauern. Aktualisieren Sie die Anzeige regelmäßig.

Wenn dies erfolgreich war, geben Sie auf dem PDC erneut den Befehl

For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state

ein.

Sollten Sie bei der Ausgabe für alles DCs den "State" 4 erhalten, dann funktioniert die Replikation:

Prüfen Sie wie im Kapitel "Analyse" beschrieben, dass auf allen DCs die Ordner "Policies" und "Scripts" identische Inhalte haben.

Ihre Clients sollten nun wieder alle Policies ziehen.