Hallo,
ich hab ein Problem wo ich nicht wirklich weiterkomme bzw. einige Fragen dazu habe und hoffe, dass mir jemand helfen kann.
Wir haben einen PDC (Server 2012) und einen DC (Server 2012) in der Zentrale und drei DCs (2x Server 2012R2, 2x Server 2008R2) in Aussenstellen.
Domain functional level ist auf Windows Server 2008 R2.
Die SYSVOL-Replikation läuft über DFSR. Hab das vor ca. einem Jahr umgestellt.
Die Replikation der GPOs scheint zu laufen. Zumindest ist mir bisher nichts gegenteiliges aufgefallen und auch in den Ereignisprotokollen hab ich nichts bemerkt was darauf hindeuten könnte. In letzter Zeit gab es jedoch immer wieder einige seltsame Phänomene
im Zusammenhang mit den GPOs, wo GPOs nicht gezogen haben und dergleichen.
Bei den gründlichen Tests ist mir aufgefallen, dass der SYSVOL-Ordner des PDCs wie auch der DCs unvollständig ist. Woran das liegt oder wie das entstanden ist kann ich leider nicht sagen. Es fehlt der Scripts-Ordner (der jedoch bei uns eh leer ist) und auch
die Staging-Ordner.
Die Auswertungen sagen folgendes.
Grouppolicy-Manangement-Status:
Baseline-Domain-Controller auf dem PCD:
3 Server bei SYSVOL auf Inaccessible (alle Server per Namensauflösung jedoch erreichbar)
1 Server bei SYSVOL auf GPO-Version (scheinbar unterschiedliche GPO-Versionen)
Baseline-Domain-Controller auf dem DC in der Zenrale:
4 Server bei SYSVOL auf GPO-Version
Die Änderungen an GPOs werden aber definitiv vom PDC an alle DCs übertagen.
DCDIAG:
1) Netlogon-Share nicht vorhanden (auf allen DCs)
2) DFSREVENTS: Warnungen oder Fehler in den letzten 24 Stunden
REPADMIN: keine Fehler, alles funktionsfähig.
DFS-Replication-Health-Report: keine Fehler
Eventlogs DFSR:
PDC: 5014-Fehler, ("stopping communication" mit DC in der Zentrale) und innerhalb von 20 Sekunden gefolgt von 5004 ("successfully established").
DC in Zentrale: 2213 (stopped replication-Lösung: ResumeReplicationWMI-Method
DC Aussenstelle: 014-Fehler, ("stopping communication" mit DC in der Zentrale) und innerhalb von 20 Sekunden gefolgt von 5004 ("successfully established"). Ab und zu 5002-Fehler (error communication mit PDC)
Explorer-Dateidatum von den SYSVOL-Ordnern:
PDC und zwei Aussenstellen-DCs gleiches Datum (aktuell)
DC in Zentrale und ein Aussenstellen-DC gleiches Datum (nicht aktuell)
Bisher habe ich nur den Scripts-Ordner auf dem PDC angelegt, damit das NETLOGON-Share wieder eingerichtet wird. Die Änderung wurde an zwei DCs übertragen. Bei zwei anderen musste ich sie manuell anlegen.
1) Die Lösung scheint ein Authoritative auf dem PDC und ein Non-Authoritative-Restore des DFSR Sysvols zu sein. ((https://support.microsoft.com/en-us/kb/2218556) Ist das richtig? Wenn ja, wie gehe ich da am besten vor, wenn der SYSVOL-Ordner am PDC schon
unvollständig ist? Ich brauch ja irgendwie die fehlenden Ordner zurück.
2) Von den GPOs habe ich mal ein Backup erstellt. Werden die GPOs beim Authoritative-Restore gelöscht und wieder automatisch angelegt? Oder muss ich den Inhalt des Policies-Ordner manuell zurückkopieren?
3) Stellt der Authoritative-Restore die fehlenden Ordner im SYSVOL wieder her oder muss man die manuell anlegen? Wenn ja, was ist da zu beachten?
4) Wozu werden die staging-Ordner benötigt? Hab leider keine Info dazu gefunden?
Würde mich freuen, wenn mir jemand diese Fragen beantworten könnte.