So erstellen Sie den SYSVOL-Baum mithilfe von DFSR neu

Active Directory verfügt über verschiedene Komponenten, um Benutzer- und Ressourceninformationen in einer Organisation zu verfolgen.

Wenn ein Teil ausfällt und die Wiederherstellungsbemühungen ins Stocken geraten, kann dies bedeuten, dass es Zeit für einen Wiederherstellungsprozess ist.
Das Systemvolume (SYSVOL) ist ein freigegebener Ordner auf Domänencontrollern in einer Active Directory-Domäne, der die Anmelde- und Richtlinienskripts an Benutzer in der Domäne verteilt. Durch das Erstellen des ersten Domänencontrollers werden auch SYSVOL und seine ursprünglichen Inhalte erstellt. Beim Erstellen von Domänencontrollern wird die SYSVOL-Struktur erstellt und der Inhalt von einem anderen Domänencontroller repliziert. Wenn diese Replikation fehlschlägt, befindet sich die Organisation möglicherweise in einer anfälligen Position, bis sie korrigiert wird.
Der Benutzerzugriff auf SYSVOL ist für den Anmeldevorgang in einer Active Directory-Domäne unerlässlich. Benutzeranmeldeskripts und Gruppenrichtlinienobjektdaten befinden sich in SYSVOL. Wenn der Benutzerzugriff auf SYSVOL ins Stocken gerät, schlägt der Anmeldevorgang oder der Benutzerkonfigurationsprozess möglicherweise fehl. In letzterem Fall haben Benutzer möglicherweise keinen Zugriff auf wichtige Daten und Anwendungen, oder sie erhalten Zugriff auf verbotene Daten und Anwendungen.

Wie das SYSVOL-Verzeichnis organisiert ist

SYSVOL enthält die folgenden Elemente:

  • Gruppenrichtliniendaten;
  • Anmeldeskripte;
  • Staging-Ordner zum Synchronisieren von Daten und Dateien zwischen Domänencontrollern; und
  • Dateisystem-Junctions.
Domänencontroller-Freigaben
Abbildung 1: Verwenden Sie das Cmdlet Get-SmbShare, um die SYSVOL- und NETLOGON-Freigaben auf einem Active Directory-Domänencontroller anzuzeigen.

Der DFSR-Dienst (Distributed File System Replication) repliziert SYSVOL-Daten unter Windows 2008 und höher, wenn die Domänenfunktionsebene Windows 2008 und höher ist.

Inhalt des SYSVOL-Ordners
Abbildung 2. Der SYSVOL-Ordner enthält vier Ordner: Domäne, Staging, Staging-Bereiche und Sysvol.

Die Position von SYSVOL auf der Festplatte wird festgelegt, wenn Sie einen Server zu einem Domänencontroller hochstufen. Der Standardspeicherort ist C: Windows SYSVOL sysvol (siehe Abbildung 1).
In diesem Lernprogramm wird PowerShell Core v7 Preview 3 verwendet, da hierdurch der .NET Core-Fehler behoben wird, der mit der Anzeige bestimmter Eigenschaften wie ProtectedFromAccidentalDeletion zusammenhängt.
SYSVOL enthält eine Reihe von Ordnern, wie in Abbildung 2 dargestellt.

So schützen Sie SYSVOL vor Problemen

Als für Active Directory zuständiger Administrator müssen Sie überlegen, wie Sie die Daten in SYSVOL schützen, um das System im Falle einer Beschädigung oder eines Benutzerfehlers zu schützen.
Windows sichert SYSVOL als Teil des Systemstatus, Sie sollten jedoch nicht aus dem Systemstatus wiederherstellen, da dies möglicherweise nicht zu einer ordnungsgemäßen Wiederherstellung von SYSVOL führt. Wenn Sie mit dem Inhaber des flexiblen Server-Master-Vorgangs für den relativen Bezeichner-Master arbeiten, möchten Sie den Systemstatus definitiv nicht wiederherstellen und riskieren, dass mehrere Objekte mit derselben Sicherheitskennung vorhanden sind. Sie benötigen eine Sicherung auf Dateiebene des SYSVOL-Bereichs. Vergessen Sie nicht, dass Sie die Windows Server-Sicherung verwenden können, um SYSVOL auf einem Domänencontroller zu schützen, wenn Sie Ihren regulären Sicherungsansatz nicht verwenden können.
Wenn Sie keine Sicherung verwenden können, können Anmeldeskripte in einen Sicherungsordner kopiert werden. Bewahren Sie den Sicherungsordner auf demselben Volume auf, damit die Berechtigungen nicht geändert werden. Sie können Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) mit PowerShell sichern:
Import-Modul GroupPolicy -SkipEditionCheck
Der Parameter SkipEditionCheck ist erforderlich, da für das GroupPolicy-Modul keine CompatiblePSEditions im Modulmanifest festgelegt wurden, die Core enthalten.
Erstellen Sie einen Ordner für die Backups:
New-Item -ItemType Directory -Path C: -Name GPObackup
Verwenden Sie das Datum, um einen Unterordnernamen und den Unterordner für die aktuelle Sicherung zu erstellen:
$ date = (Get-Date -Format ‘yyyyMMdd’). ToString ()
New-Item -ItemType Directory -Path C: GPObackup -Name $ date
Führen Sie die Sicherung aus:
Backup-GPO -All -Path (Join-Path -Path C: GPObackup -ChildPath $ date)
Wenn Sie weiterhin Anmeldeskripts verwenden und nicht alles über Gruppenrichtlinienobjekte ausführen, speichert das System Ihre Skripte in der NETLOGON-Freigabe im Ordner C: Windows SYSVOL domain scripts.

Stellen Sie den SYSVOL-Ordner wieder her

Die SYSVOL-Replikation über DFSR funktioniert normalerweise. Wie bei jedem System kann jedoch etwas schief gehen. Es gibt zwei Szenarien, die abgedeckt werden sollten:

  • Verlust von SYSVOL-Informationen auf einem einzelnen Domänencontroller. Das Risiko ist die Änderung, durch die die aus SYSVOL entfernten Daten in der gesamten Domäne repliziert wurden.
  • Verlust von SYSVOL auf allen Domänencontrollern, was eine Neuerstellung des Wettbewerbs erfordert.

Der zweite Fall, bei dem SYSVOL vollständig neu erstellt wird, ist etwas komplizierter, wobei der erste Fall eine Teilmenge des zweiten ist. In den folgenden Schritten wird erläutert, wie Sie nach einem vollständigen Verlust von SYSVOL eine Wiederherstellung durchführen. Außerdem werden Erläuterungen hinzugefügt, um eine autorisierende Replikation einer verlorenen Datei durchzuführen.

Vorbereiten einer SYSVOL-Wiederherstellung

Beenden Sie den DFSR-Dienst auf allen Domänencontrollern, um die Neuerstellung des SYSVOL-Baums vorzubereiten:
Stop-Service-DFSR

Auf Domänencontrollern, auf denen Sie keine Wiederherstellung durchführen können, müssen Sie die SYSVOL-Baumordnerstruktur und die Freigabestruktur neu erstellen.

Deaktivieren Sie auf dem Domänencontroller mit dem SYSVOL, den Sie reparieren möchten, oder auf dem mit den Daten, die Sie replizieren müssen, DFSR und machen Sie den Server autorisierend.
Get-ADObject -Identity “CN = SYSVOL-Abonnement, CN = Domänensystemvolumen, CN = DFSR-LocalSettings, CN = TTSDC01, OU = Domänencontroller, DC = Sphinx, DC = org” -Properties * |
Set-ADObject -Replace @ {‘msDFSR-Enabled’ = $ false; ‘msDFSR-options’ = 1}
Deaktivieren Sie DFSR auf den anderen Domänencontrollern in der Domäne. Der Unterschied bei den Befehlen besteht darin, dass Sie die Eigenschaft msDFSR-options nicht festlegen.
Get-ADObject -Identity “CN = SYSVOL-Abonnement, CN = Domänensystemvolumen, CN = DFSR-LocalSettings, CN = TTSDC02, OU = Domänencontroller, DC = Sphinx, DC = org” -Properties * |
Set-ADObject -Replace @ {‘msDFSR-Enabled’ = $ false}

Erstellen Sie die SYSVOL-Baumdaten neu

Der nächste Schritt ist die Wiederherstellung der Daten. Sie können dies überspringen, wenn Sie nur die Replikation verlorener Daten erzwingen.
Auf Domänencontrollern, auf denen Sie keine Wiederherstellung durchführen können, müssen Sie die SYSVOL-Baumordnerstruktur und die Freigabestruktur neu erstellen. In diesem Lernprogramm wird davon ausgegangen, dass Sie SYSVOL am Standardspeicherort mit der folgenden Ordnerstruktur erstellt haben:
C: Windows SYSVOL
C: Windows SYSVOL domain
C: Windows SYSVOL domain Policies
C: Windows SYSVOL domain scripts
C: Windows SYSVOL Staging
C: Windows SYSVOL staging domain
C: Windows SYSVOL Staging-Bereiche
C: Windows SYSVOL sysvol
Mit den folgenden PowerShell-Befehlen können Sie die Ordner in der Mindestanzahl von Schritten neu erstellen. Stellen Sie sicher, dass Sie den nicht standardmäßigen Speicherort des ändern Prüfung Ordner, der unten verwendet wird, um Ihren Anforderungen zu entsprechen.
New-Item -Path C: Stest SYSVOL domain scripts -ItemType Directory
New-Item -Path C: Stest SYSVOL domain Policies -ItemType Directory
New-Item -Path C: Stest SYSVOL staging domain -ItemType Directory
New-Item -Path C: Stest SYSVOL ‘Staging-Bereiche’ -ItemType-Verzeichnis
New-Item -Path C: Stest SYSVOL sysvol -ItemType-Verzeichnis
Erstellen Sie die Verzeichnisverbindungspunkte neu. Ordnen Sie SYSVOL domain (Quellordner) SYSVOL SYSVOL und SYSVOL staging domain (Quellordner) SYSVOL Staging-Bereichen zu.
Sie müssen mklink als Administrator an einer Eingabeaufforderung und nicht an PowerShell ausführen:
C: Windows> mklink /JC:stestSYSVOLSYSVOLsphinx.org C: stest SYSVOL domain
Junction erstellt für C: stest SYSVOL SYSVOL sphinx.org << === >> C: stest SYSVOL domain
C: Windows> mklink / J “C: stest SYSVOL Staging-Bereiche sphinx.org” C: stest sysvol Staging domain
Junction erstellt für C: stest SYSVOL Staging-Bereiche sphinx.org << === >> C: stest sysvol Staging domain
Legen Sie die folgenden Berechtigungen für den SYSVOL-Ordner fest:
NT AUTHORITY Authentifizierte Benutzer ReadAndExecute, Synchronize
NT-BEHÖRDE SYSTEM FullControl
BUILTIN Administrators Modify, ChangePermissions, TakeOwnership, Synchronize
BUILTIN Server Operators ReadAndExecute, Synchronize
Die Vererbung sollte blockiert werden.
Wenn Sie keine Sicherung der Gruppenrichtlinienobjekte haben, erstellen Sie die Standard-Gruppenrichtlinienobjekte mit dem Dienstprogramm DCGPOFIX neu und erstellen Sie dann Ihre anderen Gruppenrichtlinienobjekte neu.
Möglicherweise müssen Sie die SYSVOL-Freigabe neu erstellen (siehe Abbildung 1). Stellen Sie die Freigabeberechtigungen auf Folgendes ein:
Jeder: Lesen
Authentifizierte Benutzer: Volle Kontrolle
Administratorgruppe: Volle Kontrolle
Setzen Sie den Freigabekommentar (Beschreibung) auf Anmeldeserverfreigabe.
Überprüfen Sie, ob die NETLOGON-Freigabe verfügbar ist. Es blieb während meines Testprozesses verfügbar, aber Sie müssen es möglicherweise neu erstellen.
Die Freigabeberechtigungen für NETLOGON lauten wie folgt:
Jeder: Lesen
Administratoren: Volle Kontrolle
Sie sollten in der Lage sein, die Replikation neu zu starten.

So starten Sie die Active Directory-Replikation neu

Starten Sie den DFSR-Dienst und aktivieren Sie DFSR auf dem autorisierenden Server erneut:
Start-Service -Name DFSR
Get-ADObject -Identity “CN = SYSVOL-Abonnement, CN = Domänensystemvolumen, CN = DFSR-LocalSettings, CN = TTSDC01, OU = Domänencontroller, DC = Sphinx, DC = org” -Properties * | Set-ADObject -Replace @ {‘msDFSR-Enabled’ = $ true}
Führen Sie den folgenden Befehl aus, um SYSVOL zu initialisieren:
DFSRDIAG POLLAD
Wenn Sie die DFS-Verwaltungstools nicht installiert haben, führen Sie diesen Befehl über eine Windows PowerShell 5.1-Konsole aus:
Install-WindowsFeature RSAT-DFS-Mgmt-Con
Das ServerManager-Modul kann derzeit nicht in PowerShell Core geladen werden.
Starten Sie den DFSR-Dienst auf anderen Domänencontrollern:
Start-Service -Name DFSR
Aktivieren Sie DFSR auf den nicht autorisierenden Domänencontrollern. Überprüfen Sie, ob die Replikation stattgefunden hat.
Get-ADObject -Identity “CN = SYSVOL-Abonnement, CN = Domänensystemvolumen, CN = DFSR-LocalSettings, CN = TTSDC02, OU = Domänencontroller, DC = Sphinx, DC = org” -Properties * | Set-ADObject -Replace @ {‘msDFSR-Enabled’ = $ true}
Führen Sie DFSRDIAG auf den nicht autorisierenden Domänencontrollern aus:
DFSRDIAG POLLAD
Die Ergebnisse sind möglicherweise nicht sofort verfügbar, aber die Replikation sollte neu gestartet werden, und dann sollte SYSVOL verfügbar sein.
Der Prozess zum Neuerstellen des SYSVOL-Baums findet nicht jeden Tag statt. Mit etwas Glück müssen Sie es nie tun, aber es ist eine Fähigkeit, die es wert ist, entwickelt zu werden, um sicherzustellen, dass Sie es können schützen und erholen Ihre Active Directory-Domäne.

Similar Posts

Leave a Reply