problem sa dfsr replikacijom na upgrade-ovanom domen kontroleru

[ gogi100 @ 29.10.2022. 12:45 ] @

imao sam 3 domen kotnrolera: 1 windows server 2008 koji je drzao sve role i dva windows server 2012. prebacio sam role sa windows server 2008 na jedan od ovih sa windows server 2012 uspesno. uradio sam demote active direcotry sa windows server 2008. ostala su mi dva domen kontrolera pod 2012. zeleo sam jedan da preimenujem na stari, sa istom ip adresom. uradjeno je sve. medjutim, sada imam problem oko dfsr replikacije.

na domen kontroleru koji drzi sve role u logu dobijam u dfs event vieweru stalno

Code:
event id 6002 DFSR

The DFS Replication service detected invalid msDFSR-Subscriber object data while polling for configuration information.

Additional Information:
Object DN: CN=Domain System Volume,CN=DFSR-LocalSettings,CN=domain_controller,OU=Domain Controllers,DC=domain,DC=com
Attribute Name: msDFSR-MemberReference
Domain Controller: domain_controler.domain.com
Polling Cycle: 60 minutes

a kad startujem dfs mangement konzolu
na primarnom domen kontroleru mi stoji not defined, kao na slici

kucao sam komande

Code:
C:\Windows\system32>For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic
/node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE re
plicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,
state
DRI-AD
No Instance(s) Available.


DRI-DCRO
ReplicatedFolderName  ReplicationGroupName  State
SYSVOL Share          Domain System Volume  4

Code:
DFSRMIG.EXE /GETMIGRATIONSTATE

All domain controllers have migrated successfully to the Global state ('Eliminat
ed').
Migration has reached a consistent state on all domain controllers.
Succeeded.

pokusao sam sa non-authoritative sync, ali to ne radi. sta mogu jos da uradim?

[ valjan @ 01.11.2022. 15:07 ] @

Možeš da pokušaš sa ADSIEdit-om, otvoriš:

Default Naming context, ime domena, Domain controllers, ime domen kontrolera (proveriš sve izlistane), CN=DFSR-LocalSettings, CN=Domain System Volume, klikneš desnim na ovo poslednje i odabereš Properties, i potražiš atribut msDFSR-MemberReference.

Za svaki DC koji imaš ovaj atribut treba da pokazuje na samog sebe, znači otprilike:

CN=ime tog DC,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=domain,DC=com, znači ako si levo u panelu selektovao DC1 prva stavka u ovom atributu treba da je CN=DC1, ako si selektovao DC2 onda CN=DC2 i sl. Ako nešto nedostaje za neki od DC-ova, uglavnom možeš ručno da kreiraš zapis koristeći onaj drugi kao šablon...

[ gogi100 @ 01.11.2022. 17:03 ] @

problem resen, atribut msDFSR-MemberReference za jedan domen kontroler je bio prazan. Medjutim, sad imam problem sa replikacijom na grupnim polisama i samim polisama. deo sam resio, ali je ostao problem sa replikacijom. naime, u group policy managment konzoli kad pokusam da editujem neku polisu ili da je obirsem dobijao sam stalno access denied. nasao sam u tabu delegation polisa, ali samog domena stoji grupa everyone sa deny delete policy. kad sam grupu everyone obrisao na svakoj polisi sada mogu da uredjujem polise i brisem, kreiram nove. medjutim u tabu status stoji kao u fajlu. sta bih mogao da uradim?

[ gogi100 @ 01.11.2022. 17:38 ] @

Pokusao sam da uradim restor permission na podrazumevane vrednosti na svakoj polisi pojedninacno ali uvek vrati na stare vrednosti. u domenu delegation primecujem opet grupu everyone

[ gogi100 @ 03.11.2022. 11:24 ] @

Koristio sam alat sa linka https://nettools.net/gpo-explorer-gpo-test-details. Testirao svaku polisu i sve pokazuju da je uredu, sem Default domain policy. Greske su kao na slici, u fajlu. Sta raditi

[ bachi @ 03.11.2022. 11:52 ] @

Da da ručno iskopiraš fajlove između servera koji gađaju na SYSVOL\domen.com\Policies i tako rešiš konflikt u sinhronizaciji?

[ gogi100 @ 03.11.2022. 13:19 ] @

nisam siguran da ce to resiti problem

[ gogi100 @ 03.11.2022. 13:43 ] @

uradio sam preko netools testiranje default domain policy

postoje greske

Citat:

DC: dri-ad.dri.local
GPO Name: Default Domain Policy
Created: 1/21/2011 1:57:42 PM
Changed: 11/1/2022 11:38:38 AM
DS Version: 1(user) \ 115(machine)
Sysvol Version: 1(user) \ 115(machine)
GP Status: 0
GPE Version: 2
User Extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine Extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}]
Sysvol Path: \\dri.local\sysvol\dri.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
DS User Object Count: 1
DS Machine Object Count: 1
SV User File Count: 10
SV User File Size: 10400
SV Machine File Count: 0
SV Machine File Size: 0
Applies to: S-1-5-11
S-1-5-21-3433641461-923192373-1833595427-515
---------------------------------------------
DC: DRI-DCRO.dri.local
GPO Name: Default Domain Policy
Created: 1/21/2011 1:57:42 PM
Changed: 11/1/2022 11:38:53 AM
DS Version: 1(user) \ 115(machine)
Sysvol Version: 1(user) \ 115(machine)
GP Status: 0
GPE Version: 2
User Extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine Extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}]
Sysvol Path: \\dri.local\sysvol\dri.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
DS User Object Count: 1
DS Machine Object Count: 1
SV User File Count: 9
SV User File Size: 3330
SV Machine File Count: 0
SV Machine File Size: 0
Applies to: S-1-5-11
S-1-5-21-3433641461-923192373-1833595427-515

Ostale polise su ok

[ bachi @ 04.11.2022. 06:28 ] @

Najpre izlistaj šta je sve definisano tom politikom, ako nešto jeste, sačuvaj, ako nije, još bolje i probaj da resetuješ default domain policy. Resetovanjem se sve briše i vraća na not configured.

https://www.itgeared.com/how-to-restore-default-domain-and/

I sačekaj da se izvrši replikacija ili je forsiraj.

Je l' tebi DRI-DCRO read only DC?

[ gogi100 @ 04.11.2022. 06:40 ] @

nije read only domain kontroler, resio sam problem prekopirao sam policies folder iz sysvol na primarnom u sysvol policies folder na sekundarnom i sve je proradilo

[ bachi @ 04.11.2022. 11:51 ] @

Citat:

bachi:
Da da ručno iskopiraš fajlove između servera koji gađaju na SYSVOL\domen.com\Policies i tako rešiš konflikt u sinhronizaciji?

Dakle ovo?

Odlično.

Mada mi nije jasno kako je uopšte došlo do toga da se skrši sinhronizacija.

[ gogi100 @ 04.11.2022. 12:06 ] @

kad testiram sinhronizaciju, sve pokazuje ok. bas cudno. cak je upgrade domen kontrolera uradjen bez ikakvih problema. nijeda jedina greska sem ovog