ComputerBase Menü
Aktuelles

GPO SYSVOL-Replikation (DFRS) funktioniert nicht

H

hpxw

Lieutenant
Registriert
Mai 2008
Beiträge
784
Hallo,

ich hatte 2x 2012 R2 DC's gehabt. Habe dann um zwei weitere 2022er DC's erweitert. Soweit funktioniert alles.

In der Gruppenrichtlinienverwaltung zeigt er aber immer 3 DC's mit Replikation, die momentan ausgeführt wird. DC-1 ist der Basisdomänencontroller

Was ich probiert habe:
- dcdiag /testdcs
alle DC's erfolgreich
Zum Vergrößern anklicken....
- dcdiag /test:dfsrevent
DC-1 erfolgreich, der Rest ist fehlgeschlagen
Zum Vergrößern anklicken....
- auf DC-1 echo "Test" > \Windows\SYSVOL\domain\scripts\test.txt
auf anderen DC's ist die Datei drauf
Zum Vergrößern anklicken....

Auf den DC-2,3 und 4 sehe ich bei der DFS-Replikation Ereignis-ID 5002 und 5004

Wie könnte ich jetzt weiter vorgehen?
 
Evt. hast du das Problem mit den doppelten Domain-Admin Berechtigungen. Es gab in der Vergangenheit mit irgendnem Patch einen Bug, der versteckte Berechtigungen bei den GPOs hinzufügte (sind nur mit icacls sichtbar). Die Replikation sieht das aber nicht, erkennt aber diese Inkonsistenzen und der GPMC meckert halt rum, dass nicht richtig repliziert sei bzw. die Replikation noch im Gange sei. Das war zumindest bei uns das Problem. Evt ist es auch bei dir so.

https://www.escde.net/blog/gpo-repl...-gruppenrichtlinienobjekt-sind-nicht-synchron
 
  • Gefällt mir
Reaktionen: hpxw
ist nicht der Fall
 
Sind die alle am gleichen Standort? Auf welcher Funktionsebene ist deine Domäne? 2016 wird z.b. von Server 2012 nicht mehr unterstützt.
 
alle am gleichen Standort

Windows2012R2Domain

Ereignis-ID 5002
"Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "DC-1" für Replikationsgruppe "Domain System Volume".

Partner-DNS-Adresse: DC-1.domain.name

Optionale Daten, falls verfügbar:
Partner-WINS-Adresse: DC-1
Partner-IP-Adresse: 10.x.x.x

Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen.

Weitere Informationen:
Fehler: 1753 (In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.)
Verbindungs-ID: C64CCC34-4E15-496A-BE56-D6278B462F65
Replikationsgruppen-ID: AD6763E7-766B-4349-9C03-5988F9165EDE"
 
snaxilian schrieb:
https://learn.microsoft.com/en-us/w...-endpoints-available-from-the-endpoint-mapper
Da wird noch ein Prozess hängen der die Nutzung des relevanten Ports blockiert.
Zum Vergrößern anklicken....
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
alles erfolgreich

dc-1 und -2 haben sich selber in dns servern eingetragen
dc-3 und -4 haben dc-3 und dc-4 drin

DNS Replikation funktioniert einwandfrei

dcdiag /test:dns /v /e
DC-4 PASS PASS PASS PASS PASS PASS n/a
DC-3 PASS PASS PASS PASS PASS PASS n/a
DC-1 PASS PASS PASS PASS PASS PASS n/a
DC-2 PASS PASS PASS PASS PASS PASS n/a

......................... domain.name hat den Test DNS bestanden.
 
Hast du die Tests von allen DCs aus probiert oder nur von einem? Ich würde alle Tests einmal von allen DCs ausführen um auszuschließen, dass ggf. nur ein DC abweichend konfiguriert ist oder ein Problem hat.
 
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS
dcdiag /test:dns /v /e

auf allen DCs erfolgreich
Ergänzung ()

qiller schrieb:
Evt. hast du das Problem mit den doppelten Domain-Admin Berechtigungen. Es gab in der Vergangenheit mit irgendnem Patch einen Bug, der versteckte Berechtigungen bei den GPOs hinzufügte (sind nur mit icacls sichtbar). Die Replikation sieht das aber nicht, erkennt aber diese Inkonsistenzen und der GPMC meckert halt rum, dass nicht richtig repliziert sei bzw. die Replikation noch im Gange sei. Das war zumindest bei uns das Problem. Evt ist es auch bei dir so.

https://www.escde.net/blog/gpo-repl...-gruppenrichtlinienobjekt-sind-nicht-synchron
Zum Vergrößern anklicken....
ich habe es trotzdem probiert obwohl keine doppelte Domänen Admins auftauchten

Auf DC-3 (2022er Server) folgenden Script ausgeführt und danach waren alle DCs synchron.

$Policies = Get-ChildItem C:\Windows\SYSVOL\domain\Policies -Name -Filter "{*}"
foreach ($Policy in $Policies) {
icacls "C:\Windows\SYSVOL\domain\Policies\$policy" /remove:g "<DomainName>\Domain Admins"
icacls "C:\Windows\SYSVOL\domain\Policies\$policy" /grant "<DomainName>\Domain Admins:(OI)(CI)(F)"
icacls "C:\Windows\SYSVOL\domain\Policies\$policy"
}


Vielen Dank
#closed
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: redjack1000, qiller und Syagrius
hpxw schrieb:
ich habe es trotzdem probiert obwohl keine doppelte Domänen Admins auftauchten
Zum Vergrößern anklicken....
Ja in den normalen Dateieigenschaften zeigt der das auch nicht an, nur mit icacls sieht man das (so war es zumindest bei mir). Aber scheint ja doch daran gelegen zu haben und Problem ist behoben.
 
Auch mit icals wurde auch nur einmal angezeigt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

interface31
Windows Client an Windows Server 2022 anmelden DNS AD
Antworten
19
Aufrufe
1.281
interface31
interface31
D
Domänen Migration Sysvol wird nicht repliziert
Antworten
14
Aufrufe
9.089
Evil E-Lex
Evil E-Lex
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz