Replikation in Mehrserverumgebung erzwingen [ID 1417]

Problem:

In einer Umgebung mit mehreren Domänencontrollern z.B. einem Primary- (PDC) und einem Backup-Domain-Controller (BDC) tritt im laufenden Betrieb und bei Neuinstallation von Clients ein Verhalten auf, das auf nicht sauber übernommene Gruppenrichtlinien hindeutet.

Beispiele können sein, dass:

• bei der Installation neuer Clients der User "lanisadmin" nicht auf den Raum-User umgemeldet wird und auch kein Logfile geschrieben wird.
• im laufenden Betrieb benachbarte PCs unterschiedliches Verhalten zeigen z.B. fehlendes oder vorhandenes Startmodul.

Ursache:

Möglicherweise werden die Gruppenrichtlinie, Anmeldescripts usw. nicht sauber zwischen den DCs synchronisiert.

Analyse:

Prüfung der Replikation der Active Directorys

• Stellen Sie zunächst sicher, dass alle Server, die an der Replikation tielnehmen, im gleichen Domänennetzwerk sind:
  
• Geben Sie in einem geöffneten DOS-Fenster den Befehl
  repadmin /showrepl *
  ein.
• Dadurch werden die Ergebnisse der Replikationsprüfung der Active Directorys aller mit diesem Server verbundenen Domänencontroller angezeigt.
• Es darf keine fehlgeschlagenen Prüfungen geben:
  
• Prüfen Sie, ob die Meldungen vielleicht immer einen speziellen Server betreffen (hier SUBBDC). In diesem Fall starten Sie den betreffenden Server neu und prüfen Sie nach wenigen Minuten erneut.
• Falls sich nichts geändert hat, starten Sie die Server nacheinander (z.B. zuerst den PDC, dann an Windows anmelden und dann den BDC) neu und prüfen Sie nach wenigen Minuten erneut.
• Warten Sie ggfs. bis zu einer Stunde und prüfen dann erneut.
• Bevor Sie die weiter unten folgenden Prüfungen vornehmen, muss die AD-Replikation fehlerfrei sein!

Prüfung der Replikation der Gruppenrichtlinien

• Öffnen Sie den Gruppenrichtlinieneditor auf dem Server, auf dem Sie PaedNet-Installiert haben (hier DC2.duo.local):
• Klicken Sie auf die Domäne und den Reiter "Status". Klicken Sie dann auf "Jetzt ermitteln":
  
  
  
  
• Sollte dann bei Ihnen auch
  • ein rotes ? und
  • die Meldung "1 Domänencontroller mit Replikation, die momentan ausgeführt wird" (oder auch eine Zahl größer als 1)

erscheinen wie im Bild oben, dann deutet dies auf eine noch nicht erfolgreiche Synchronisation hin. Sie sollten den Servern einige Minuten Zeit geben, um die Synchronisation selbst erfolgreich durchzuführen. Falls sich danach nichts geändert hat, fahren Sie ggfs. den PDC und den BDC herunter und starten Sie sie in dieser Reihenfolge erneut.

• Wenn Sie den Fehler nicht beseitigen können, starten Sie mit den "Vorarbeiten zum Erzwingen der Replikation" weiter unten.

Prüfung der Replikation der Sysvol-Ordner

• Starten Sie auf dem BDC ein DOS-Fenster und geben Sie folgenden Befehl ein:
• For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
• Sollten Sie bei der Ausgabe für alles DCs den "State" 2 erhalten, dann ist die Replikation im Zustand der "Erstsynchronisation" (initial synchronization).
  
  
  
  
• Dieser Status darf maximal eine Minute bestehen (erneut prüfen).
• Falls sich der Status nicht geändert hat, beginnen Sie mit den "Vorarbeiten zum Erzwingen der Replikation":

Vorarbeiten zum Erzwingen der Replikation:

• Um eine möglichst zügige Replikation zu ermöglichen, räumen wir auf dem PDC die sysvol-Ordner "scripts" und "policies" auf. Zunächst schauen wir uns die Größe des Ordners "Policies" an:
  
  
  
  
• In einer sauberen PaedNet-Umgebung haben die eingespielten Policies eine Größe von ca. 12 MByte. Sollten Sie deutlich höhere Werte haben, versuchen Sie die Ursache zu ermitteln und diese Policies ggfs. zu bereinigen.
• Vorsicht: Löschen Sie nur Policies, die in der Gruppenrichtlinienverwaltung nicht verknüpft sind!!!
• Nun wechseln wir in den Ordner "Scripts": Achten Sie darauf, dass dort ab PaedNet 9.7 nur noch ein Script benötigt wird. Sollten Sie weiter "alte" Batch-Dateien sehen, sichern Sie sie in einem Ordner "Archiv":
  
  
  
  
• Es ist durchaus möglich, dass Sie diese Datei nur auf dem BDC und die Policies nur auf dem BDC sehen: Ein weiteres Zeichen für die nicht erfolgreiche Replikation.

Erzwingen der Replikation:

Der folgende Ablauf orientiert sich am Dokument:

https://automationadmin.com/2019/06/force-replication

Im Folgenden hat der PDC den Namen "DC" und der BDC den Namen "DC2".

1. Starten Sie auf dem PDC die App "Dienste" und beenden Sie den Dienst "DFS-Replikation":

2. Öffnen Sie auf dem PDC die APP "ADSI-Editor"

Klicken Sie auf "Verbindung herstellen..."

Klicken Sie auf "OK":

Erweitern Sie den "Standardmäßiger Namenskontext" und den darunter liegenden Knoten (hier "DC=duo, DC=local"). Öffnen Sie den Knoten "OU=Domain Controllers", wählen sie den PDC aus - also hier den DC (CN=DC) und erweitern Sie alles so wie im Bild unten:

Öffnen Sie mit der rechten Maustaste die Eigenschaften des "CN=SYSVOL Subscription" und klicken Sie auf "Filter.

Suchen Sie den Eintrag "msDFSR_Enabled":

Editieren Sie den Einrag mit einem Doppelklick und setzen Sie den Wert auf "Falsch":

"msDFSR-Options" auf "1".

Klicken Sie dann auf "OK", lassen aber den ADSI-Editor geöffnet:

Auf allen weiteren DCs der Domäne (hier nur auf dem DC2) öffnen Sie ebenfalls den ADSI-Editor und setzen für diesen Server (hier CN=DC2) nur das Attribut

"msDFSR_Enabled" auf "FALSE":

Erzwingen Sie auf allen DCs der Domäne (also hier DC und DC2) die Replikation des Active Directory durch den Befehl:

repadmin /syncall "DC-Name" /APed

Ersetzen Sie dabei "DC-Name" durch den Namen Ihres DC. In unserem Fall heißt also der Befehl:

repadmin /syncall DC /APed bzw.

repadmin /syncall DC2 /APed

Sollte es sich bei Ihren DCs um Domänencontroller in einer Parentdomäne handeln, so sollte das Ergebnis absolut fehlerfrei sein:

Sind die DCs dagegen in einer Subdomain, so kommt es zu einigen Verweigerungsfehlern.

Starten Sie auf dem PDC wieder den Dienst "DFS-Replikation"

Öffnen Sie auf dem PDC die Ereignisanzeige und warten Sie auf das Erscheinen des Ereignisses mit der ID 4114 in den "Anwendungs- und Dienstprotokollen".

Setzen Sie auf dem PDC im ADSI-Editor nur den Wert von

"msDFSR_Enabled" auf "TRUE"

Erzwingen Sie erneut auf dem PDC der Domäne (also hier DC) die Replikation des Active Directory durch den Befehl:

repadmin /syncall "PDC-Name" /APed

Ersetzen Sie dabei "PDC-Name" durch den Namen Ihres PDC. In unserem Fall heißt also der Befehl:

repadmin /syncall DC /APed

Beobachten Sie auf dem PDC wieder die Ereignisanzeige und gehen Sie zum nächsten Punkt dieser Anleitung, wenn Sie die ID 2002 oder 4602 sehen. Dies kann mehrere Minuten dauern. Aktualisieren Sie die Anzeige regelmäßig.

Ändern Sie auch auf allen BDCs im ADSI-Editor das Attribut

"msDFSR_Enabled" auf "TRUE" .

Beobachten Sie auf den BDCs die Ereignisanzeige und gehen Sie zum nächsten Punkt dieser Anleitung, wenn Sie die ID 2002 oder 4604 sehen. Dies kann mehrere Minuten dauern. Aktualisieren Sie die Anzeige regelmäßig.

Wenn dies erfolgreich war, geben Sie auf dem PDC erneut den Befehl

For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state

ein.

Sollten Sie bei der Ausgabe für alles DCs den "State" 4 erhalten, dann funktioniert die Replikation:

Prüfen Sie wie im Kapitel "Analyse" beschrieben, dass auf allen DCs die Ordner "Policies" und "Scripts" identische Inhalte haben.

Ihre Clients sollten nun wieder alle Policies ziehen.