RODC, broken SYSVOL Replication, DFSR 6804

dfsrdiag backlog sysvol

das DFSR Backlog des SYSVOL lässt sich z.B. mit dem Tool DFSRDiag prüfen.

DFSRDIAG backlog /smem:<sending_membername> /rmem:<receiving_membername> /rgname:“domain system volume“ /rfname:“sysvol share“

Das Backlog weist hier einen Wert von 15 Objekten auf. Der Wert bleibt konstant, oder steigt bei Änderungen und baut sich nicht ab. In dieser Situation werden keine neuen Policies bzw. Änderungen an den Standort repliziert.

Die Replikation der AD Verzeichnispartitionen arbeitet wie gewohnt, DCDiag nach, gibt es keinen Grund zur Sorge. Im Eventlog in der Kategorie DFSR erscheinen jedoch Warnungen mit der Event ID 6804

6804 DFSR

Im Directory Service Log findet sich ein Fehler mit der ID 2843.

Event ID 2843 Directory Service

Und hier steht auch schon die Lösung; „Option 64“. Das Verbindungsobjekt für die Replikation in den AD Sites and Services benötigt eine bestimmte Option, um eine eingehende Replikation für DFSR (wie auch FRS) zu erhalten. Ich vermute, das man deshalb beim SYSVOL auch keine DFSR Verbindungen editieren kann.

AD Sites and Services

NTDS Settings Option 64 0x40 RodC AD sites and services

Ist im Feld options der Wert leer (0x0), deutet es darauf hin, dass das automatisch generierte Verbindungsobjekt mit dem Name RODC Connection (FRS) gelöscht, und manuell erstellt wurde. Automatisch generierte Verbindungen zeigen hier die Option 0x41 (Dezimal 65).

Wenn dass der Fall ist, einen beschreibbaren Domain Controller aufsuchen und das Verbindungsobjekt löschen, und anschliessend neu erstellen. In den Eigenschaften unter dem Tab Attribute Editor im Attribut options den Wert 64 oder in Hex 0x40 eintragen. Speichern und schliessen, und das neue Verbindungsobjekt vom RODC replizieren lassen.

Event ID 6806 DFSR

Nachdem das DFSR die neue Verbindung mitbekommen hat, wird ein Informations Event mit der ID 6806 in der Kategorie DFS Replication geloggt.

dfsrdiag backlog sysvol

Und das Backlog baut sich ab.

neu in Server 2012 ist der Tab Status in der Group Policy Management Console.

hier wählt man den Referenz Domain Controller oder RODC, und bekommt einen Status mit welchen anderen DC’s das SYSVOL synchron ist.

Group Policy Management Console Status Sysvol GPMC

Windows Server 2012R2

Holger Wache

Holger Wache