SYSVOLが壊れた!Domain System Volume の再構築方法

以下、

  • Windows Server 2012 AD(Active Dirctory)

環境で行いました。

 

概要

  • SYSVOL のバックアップ方法
  • SYSVOL の再構築方法

の説明をします。

 

SYSVOL のバックアップ方法

image

事前に、全台の DC(ドメインコントローラ)でエクスプローラーから C:\Windows\SYSVOL フォルダーをコピーし、任意の場所に保存をします。

※ 対処手順を誤った場合に上記のフォルダー内の Policies フォルダー内の情報を戻すことで復旧することが可能です。
※ 復旧させた場合は、以下の KB2838154(以下の参考URL)の手順でアクセス権を元に戻す必要があります。

参考: GPMC を実行するときにメッセージを「[SYSVOL] フォルダーには、この GPO に対するアクセス許可が Active Directory 内で一貫性のある」

 

SYSVOL の再構築方法

  • 概要:
    DFSR を使用して複製している SYSVOL フォルダーについて、マスターとなる複製元 DC を選定し、他の全ての DC で複製元の情報で初期化する手順です。
  • 事前確認事項:
    作業前に各 DC のシステム状態 (System State) のバックアップを実施しておくことをお勧めします。
  • 作業手順:
    今回の環境の場合は、"複製元 DC" (ad01)を判断しました。

image

今回の環境では、ad01とad02がADを構成する全台のドメインコントローラーになります。

1. データベースの初期化

1. 2台の DC で以下のコマンドを実行し DFSR サービスを停止します。

net stop dfsr

2. 2台の DC でデータベースの削除 (もしくは名前変更) を実施します。この時、C:\System Volume Information にアクセス権を付与する必要があります。
アクセス権の付与は以下の手順で実施します。

a. 次のコマンドを実行します。

icacls "C:\System Volume Information" /grant administrator:F

※ /grant オプションで指定するユーザーは操作を実行するユーザーになります。

コマンドを実行後に次のように表示された場合には処理は成功しています。

処理ファイル: System Volume Information
1 個のファイルが正常に処理されました。0 個のファイルを処理できませんでした

b. 次のコマンドを実行します。

cd "C:\System Volume Information\DFSR"
ren database_xxxxxxxx database_xxxxxxxx_old

※ "database_xxxxxxxx" はシステムによって異なりますので、dir コマンドでお客様の環境のフォルダー名をご確認ください。

3. 2台の DC で DFSR サービスを再開します。

net start dfsr

※ C:\System Volume Information\DFSR 配下に新たに database_ で始まるフォルダーが作成されていることを確認します。

 

2. 複製の初期化

1. 2 台の DC で以下のコマンドを実行し DFSR サービスを停止します。

net stop dfsr

2. ad02 で adsiedit.msc を起動し、複製元 DC のコンピューター オブジェクト msDFSR-Enabled、msDFSR-options の値を変更します。
※ 今回の場合は、複製元 DC は ad02 となります。

オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元 DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription

属性: msDFSR-Enabled
設定値: FALSE

属性: msDFSR-options
設定値: 1

3. 続けて、複製元 DC 以外の DC のコンピューター オブジェクトの msDFSR-Enabled の値をそれぞれ変更します。
※ 今回の場合は、複製元以外の DC は ad01 となります。

オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元以外の DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription

属性: msDFSR-Enabled
設定値: FALSE

4. ad02 上で管理者権限を持つアカウントでコマンド プロンプトを開き、以下のコマンドを実行します。

repadmin /syncall /P /e

5. ad02 上で DFSR サービスを再開します。

net start dfsr

※ DFS Replication ログでイベント ID: 4114 が記録されることを確認します。

6. adsiedit.msc で、複製元 DC に関連する msDFSR-Enabled の値を変更します。

オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元 DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription

属性: msDFSR-Enabled
設定値: TRUE

7. 管理者権限を持つアカウントでコマンド プロンプトを開き、以下のコマンドを実行します。

repadmin /syncall /P /e

8. ad01 上で DFSR サービスを再開します。

net start dfsr

※ DFS Replicationログでイベント ID: 4114 が記録されることを確認します。

9. ad2 上の adsiedit.msc で、ad1 の DC に関連する msDFSR-Enabled の値を変更します。

オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元以外の DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription

属性: msDFSR-Enabled
設定値: TRUE

※ <複製元以外の DC のコンピューター名> は、ad01 となります。

10. ad02 上で管理者権限を持つアカウントでコマンド プロンプトを開き、以下のコマンドを実行します。

repadmin /syncall /P /e

11. ad01 上で、net share コマンドを実行し、SYSVOL、および NETLOGON が共有されていることを確認します。

以上で、SYSVOL再構築が完了となります。
SYSVOLが初期化(もしくは欠けて)してしまった場合は、GPO・ログオンスクリプト系を見直し・再設定する必要があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です