Windows 2012 下如何强制同步 AD SYSVOL

本邮件内容由第三方提供，如果您不想继续收到该邮件，可 点此退订 。

Windows 2012 下如何强制同步 AD SYSVOL  阅读原文»

Windows 2012 下如何强制同步 AD SYSVOL

豆子昨天晚上临下班前遇见一个问题，一个分公司的员工无法更新组策略，查看域控发现了以下报错：

Event ID 2213

The DFS Replication service stopped replication on volume E:. This occurs when a DFSR JET database is not shut down cleanly and Auto Recovery is disabled. To resolve this issue, back up the files in the affected replicated folders, and then use the ResumeReplication WMI method to resume replication.

Additional Information:

Volume: E:

GUID: C2B76452-2993-11E3-93F5-00155D801816

Recovery Steps

1. Back up the files in all replicated folders on the volume. Failure to do so may result in data loss due to unexpected conflict resolution during the recovery of the replicated folders.

2. To resume the replication for this volume, use the WMI method ResumeReplication of the DfsrVolumeConfig class. For example, from an elevated command prompt, type the following command:

wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="C2B76452-2993-11E3-93F5-00155D801816" call ResumeReplication

这个问题我曾经遇见过，无非就是dirty shutdown造成的不同步罢了（http://blogs.technet.com/b/filecab/archive/2012/07/23/understanding-dfsr-dirty-unexpected-shutdown-recovery.aspx），按照指示2直接运行这个wmic命令就能修复。不过这次，运气没那么好了，老革命遇见了新问题，运行完指令之后，同步仍然不工作，而且出现了一个新的报错。

Event ID 4012

The DFS Replication service stopped replication on the folder with the following local path: E:\Windows\SYSVOL\domain. This server has been disconnected from other partners for 62 days, which is longer than the time allowed by the MaxOfflineTimeInDays parameter (60). DFS Replication considers the data in this folder to be stale, and this server will not replicate the folder until this error is corrected.

To resume replication of this folder, use the DFS Management snap-in to remove this server from the replication group, and then add it back to the group. This causes the server to perform an initial synchronization task, which replaces the stale data with fresh data from other members of the replication group.

Additional Information:

Error: 9061 (The replicated folder has been offline for too long.)

Replicated Folder Name: SYSVOL Share

Replicated Folder ID: F913D21E-E002-4CB2-B259-449DE3A755F2

Replication Group Name: Domain System Volume

Replication Group ID: DFF93A1B-EA01-4DCB-8424-A93523BF5950

经过网上研究搜索，可以用以下方式解决：

1.首先在DFS managment里面查看replication 的设置

可以通过右击 domain system volume进行健康诊断报告

如果是正常的DC，最后的报告状态最后会显示 Normal，如果有问题的话，会显示 Failed

2. 对于报错的DC，怎么处理呢？首先那个Event Viewer里面的解决方案是行不通的，因为 DFS management根本就不会允许你从同步组里面删除DC或者添加DC。我们需要通过更改DC的属性来Disable 和 Enable 对应的DC。具体方法可以参考

http://support.microsoft.com/kb/2218556

简单的说，在出问题的DC上，打开ADSIEDIT.MSC, 找到对应的域控，然后msDFSR-Enable 的属性改成False，然后AD site and services上手动同步一下

然后点开之前打开的DFS Mangement -> Replication, 注意观察membership status的变化，同步之后该状态会变成 Disable

3. 然后在第二步里面的msDFSR-Enable 的属性重新改为True，然后AD site and service重新replicate一遍，观察DFS managment里面的状态变化。(之前disable的状态会变成enable）

4.最后去看看DC的日志。该DC会重新自动同步。

通过这种Enable状态的更改，可以在windows 2012 下强制AD DC同步。

本文出自 "麻婆豆腐" 博客，请务必保留此出处http://beanxyz.blog.51cto.com/5570417/1380008

登录快速注册

Lab 2 循序渐进配置Windows Server 2012 AD CS（颁发机构&联机响应篇）  阅读原文»

Lab 2 循序渐进配置Windows Server 2012 AD CS（颁发机构&联机响应篇）

安全往往是企业管理的重中之重，我们的Boss希望我们的网站是加密的，邮件是加密的，文档是加密的，而且绝大多数的微软服务器产品都是需要公有的或者自建的证书，而AD CS可以为我们提供颁发和管理在采用软件安全系统中使用的公钥证书。

证书服务这玩意我们也不可能天天和他打交道，配置好了之后，很长一段时间我们都不用管它。但是万事开头难，如何迈出这第一步，我相信最有效的方法就是做一次实验，多错一次，自然就会了。

下面我们来看看实验的资源清单

1. 服务器（1.4GHz主频以上，64位，1.5G内存，60G硬盘）两台，可以是虚拟机

2. Windows Server 2012的安装镜像文件 拷贝以下链接到迅雷或其他下载工具

ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/

3. 交换机一台

步骤一、完成配置Windows Server 2012 AD DS

Step 1

本实验是建立在域环境下进行的，所以在进行本实验之前，请先完成Lab 1 轻松配置Windows Server 2012 AD DS。

步骤二、安装Windows Server 2012，用于证书服务器的基础环境

Step 2

请参考Lab 1 轻松配置Windows Server 2012 AD DS的Step 1 至Step 7。

步骤三、证书服务器配置

Step 3

配置证书服务器的IP地址，以下是我的配置。10.40.94.1是域控制器的IP。

Step 4

将服务器换个计算机名（注意不要和其他计算机名重复），并且加入域。

步骤四、安装企业根CA

Step 5

打开服务器管理器，点击"添加角色与功能"。

Step 6

勾选"默认情况下跳过此页"点击"下一步"，跳过开始页。

Step 7

选择"基于角色或基于功能的安装"，点击"下一步"。

Step 8

务必确认是证书服务器（SZSRVCA01v）被选中，点击"下一步"。

Step 9

勾选"Active Directory证书服务"，点击两次"下一步"。因为我们这里只添加"Active Directory证书服务"角色，不添加其他功能。

Step 10

注意，安装了AD CS后，计算机名将无法再改变，请再次确认已经加入该服务器已经加入域并且变更成合适的计算机名。如果漏掉以上操作，请关掉向导，回到Step 4重新操作。

Step 11

下面一项一项的对AD CS服务进行安装，仅勾选"证书颁发机构"，点击"下一步"。

Step 12

再次确认安装内容，点击"安装"，静候安装完成。

Step 13

安装完成后，回到"服务器管理器"，可以看到待办任务：配置目标服务器上的Active Directory证书服务。

Step 14

凭据要求，因为我们安装的是企业根CA，故需要使用Enterprise Admins成员登陆服务器进行配置。域管理员Administrator具有这个权限，如图所示。

Step 15

勾选"证书颁发机构"，我们将在接下来的向导中配置这个服务。点击"下一步"。

Step 16

指定CA的设置类型，本实验中勾选"企业CA"，点击"下一步"。

Step 17

指定CA类型，本实验中勾选"根CA"，点击"下一步"。

Step 18

因为是新安装CA，故选择"创建新的私钥"。点击"下一步"。

Step 19

阅读更多内容