最終更新日付: 2020年11月16日
以下、
- Windows Server 2012 AD(Active Dirctory)
環境で行いました。
概要
DFSR を使用して複製している SYSVOL フォルダーについて、マスターとなる複製元 DC を選定し、他の全ての DC で複製元の情報で初期化する手順です。
- 事前確認事項: SYSVOL のバックアップ方法
作業前に各 DC のシステム状態 (System State) のバックアップを実施しておくことをお勧めします。 - 作業手順: SYSVOL の再構築方法
今回の環境の場合は、"複製元 DC" (ad01)を判断しました。
の説明をします。
今回の環境では、ad01とad02がADを構成する全台のドメインコントローラーになります。
SYSVOL のバックアップ方法
事前に、全台の DC(ドメインコントローラ)でエクスプローラーから C:\Windows\SYSVOL フォルダーをコピーし、任意の場所に保存をします。
※ 対処手順を誤った場合に上記のフォルダー内の Policies フォルダー内の情報を戻すことで復旧することが可能です。
※ 復旧させた場合は、以下の KB2838154(以下の参考URL)の手順でアクセス権を元に戻す必要があります。
参考:
SYSVOL の再構築方法
1. データベースの初期化
1. 2台の DC で以下のコマンドを実行し DFSR サービスを停止します。
net stop dfsr2. 2台の DC でデータベースの削除 (もしくは名前変更) を実施します。
この時、C:\System Volume Information にアクセス権を付与する必要があります。
アクセス権の付与は以下の手順で実施します。
a. 次のコマンドを実行します。
icacls "C:\System Volume Information" /grant administrator:F※ /grant オプションで指定するユーザーは操作を実行するユーザーになります。
コマンドを実行後に次のように表示された場合には処理は成功しています。
処理ファイル: System Volume Information
1 個のファイルが正常に処理されました。0 個のファイルを処理できませんでした
b. 次のコマンドを実行します。
cd "C:\System Volume Information\DFSR"
ren database_xxxxxxxx database_xxxxxxxx_old※ "database_xxxxxxxx" はシステムによって異なりますので、dir コマンドでお客様の環境のフォルダー名をご確認ください。
3. 2台の DC で DFSR サービスを再開します。
net start dfsr※ C:\System Volume Information\DFSR 配下に新たに database_ で始まるフォルダーが作成されていることを確認します。
2. 複製の初期化
1. 2 台の DC で以下のコマンドを実行し DFSR サービスを停止します。
net stop dfsr2. ad01 で adsiedit.msc を起動し、複製元 DC のコンピューター オブジェクト msDFSR-Enabled、msDFSR-options の値を変更します。
※ 今回の場合は、複製元 DC は ad01 となります。
オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元 DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription
属性: msDFSR-Enabled
設定値: FALSE
属性: msDFSR-options
設定値: 1
3. 続けて、複製元 DC 以外の DC のコンピューター オブジェクトの msDFSR-Enabled の値をそれぞれ変更します。
※ 今回の場合は、複製元以外の DC は ad02 となります。
オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元以外の DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription
属性: msDFSR-Enabled
設定値: FALSE
4. ad01 上で管理者権限を持つアカウントでコマンド プロンプトを開き、以下のコマンドを実行します。
repadmin /syncall /P /e5. ad01 上で DFSR サービスを再開します。
net start dfsr※ DFS Replication ログでイベント ID: 4114 が記録されることを確認します。
6. adsiedit.msc で、複製元 DC に関連する msDFSR-Enabled の値を変更します。
オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元 DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription
属性: msDFSR-Enabled
設定値: TRUE
7. 管理者権限を持つアカウントでコマンド プロンプトを開き、以下のコマンドを実行します。
repadmin /syncall /P /e8. ad02 上で DFSR サービスを再開します。
net start dfsr※ DFS Replicationログでイベント ID: 4114 が記録されることを確認します。
9. ad02 上の adsiedit.msc で、DC に関連する msDFSR-Enabled の値を変更します。
オブジェクト: [既定の名前付けコンテキスト] - [DC=<ドメイン名>] - [OU=Domain Controllers] - [CN=<複製元以外の DC のコンピューター名>] - [CN=DFSR-LocalSettings] - [CN=Domain System Volume] 配下の CN=SYSVOL Subscription
属性: msDFSR-Enabled
設定値: TRUE
※ <複製元以外の DC のコンピューター名> は、ad02 となります。
10. ad02 上で管理者権限を持つアカウントでコマンド プロンプトを開き、以下のコマンドを実行します。
repadmin /syncall /P /e11. ad02 上で、net share コマンドを実行し、SYSVOL、および NETLOGON が共有されていることを確認します。
net share以上で、SYSVOL再構築が完了となります。
SYSVOLが初期化(もしくは欠けて)してしまった場合は、GPO・ログオンスクリプト系を見直し・再設定する必要があります。
参考:
- DFSR でレプリケートされた sysvol レプリケーションの同期を強制する - Windows Server | Microsoft Docs
- AD フォレストの回復-SYSVOL の権限のある同期 | Microsoft Docs
ちょうど今トラブルで参考にさせて頂いております。
SYSVOL の再構築方法には
> 作業手順:
> 今回の環境の場合は、”複製元 DC” (ad01)を判断しました。
とありますが、
後半の2. 複製の初期化には
> ※ 今回の場合は、複製元 DC は ad02 となります。
> ※ 今回の場合は、複製元以外の DC は ad01 となります。
と逆転していますよね?
>やまざきさん
確かに、、、
逆転していそうです。ご指摘ありがとうございます。
少し昔の事象なので、過去の情報を洗えたら洗って訂正をしたいと思います。
会社の環境で同じ事象が起きて、こちらの手順で復旧いたしました。ありがとうございました。
※2008R2→2019
>S.Hさん
無事復旧したようで良かったです。
> ※2008R2→2019
2008R2から2019にあげようとして、2008R2で問題が起きていたという事でしょうか。
記事はa.localのようなドメインを想定していますが、
b.a.localのような、フォレス下の復帰となると、
どこが、元で、どこが先になるのでしょうか?
>熊次郎さん
申し訳ないです、
フォレスト下での実施はしたことがなく、わからないです。