Wenn im Dateireplikationsdienst-Protokoll die Event-ID 13568 (Journalumbruch-Fehler) protokolliert wird,
liegt ein Problem mit dem System Volume-Verzeichnis (SYSVOL) vor.
Die Erläuterung bzw. das Zustandekommen dieses Fehlers, wird in diesem Artikel beschrieben:
Problembehandlung bei FRS-Ereignis 13568
Im SYSVOL-Verzeichnis werden Dateien, Ordner und Bereitstellungspunkte (Junction Points) gespeichert.
Es ist ein freigegebenes System-Volume auf Domänencontrollern worin sich Gruppenrichtlinienobjekte, Gruppenrichtlinienvorlagen,
Anmeldeskripte und weitere Dateien befinden. Dieses Verzeichnis wird auf alle anderen Domänencontroller der Domäne repliziert.
Je nach Größe und Konfiguration der Active Directory-Domäne, kann das SYSVOL-Verzeichnis recht viel an Festplattenkapazität beanspruchen.
Daher ist darauf zu achten, dass die Partition auf der das SYSVOL-Verzeichnis gespeichert ist, über genügend freien Festplattenspeicher verfügt,
auch in die Zukunft blickend.
Das SYSVOL-Verzeichnis ist auf jedem Domänencontroller mit dem Freigabenamen SYSVOL freigegeben und wird beim Ausführen des
Active Directory-Assistenten DCPROMO automatisch eingerichtet. Es stellt ein wichtiges Verzeichnis in einer Active Directory-Domäne dar.
Denn das ordnungsgemäße Funktionieren von Gruppenrichtlinien, hängt hauptsächlich vom korrekt funktionierenden Betrieb des SYSVOL-Verzeichnisses ab.
Was die Sicherung des SYSVOL-Verzeichnisses anbetrifft, erfolgt diese i.d.R. mit der SYSTEM STATE Sicherung.
Das SYSVOL-Verzeichnis wird vom File Replication Service (NTFRS.exe) und nicht durch die Active Directory-Replikation repliziert.
Sobald eine Änderung in diesem Verzeichnis auftritt, repliziert der FRS automatisch diese Änderung auf die anderen Domänencontroller.
Wenn es um das Troubleshooting des FRS geht, sind in erster Linie die folgenden Tools hilfreich:
Wird nun der Fehler mit der Event-ID 13568 im Dateireplikations-Protokoll eines DCs protokolliert,
wird in der Beschreibung des Fehlers auch gleich die Lösung mitgeliefert.
Diese lautet:
Führen Sie regedit aus, um diesen Registrierungsparameter zu ändern.
Klicken Sie auf “Start”, dann auf “Ausführen”, und geben Sie dann “regedit” ein.
Erweitern HKEY_LOCAL_MACHINE.
Folgen Sie folgendem Pfad: “System\CurrentControlSet\Services\NtFrs\Parameters”
Doppelklicken Sie auf den Namen des Wertes
“Enable Journal Wrap Automatic Restore”
und aktualisieren Sie den Wert.
Ist der Name des Wertes nicht vorhanden, können Sie ihn mit dem Befehl “Neu” und dann “DWORD-Wert”
im Menü “Bearbeiten” hinzufügen. Geben Sie den Wert genauso ein wie oben gezeigt.
Mit diesem Registry-Eintrag wird eine nicht autorisierte Wiederherstellung des SYSVOL-Verzeichnisses durchgeführt.
Dieser Eintrag macht natürlich nur Sinn, wenn mindestens zwei Domänencontroller in der Domäne existieren.
Ist das System ein Windows 2000 Server mit SP2, so führt das System eigenständig bei Erkennen eines „journal_wrap_errors“ eine
nicht autorisierte Wiederherstellung durch (nicht bei SP1). Dieses Verhalten wurde ab dem SP3 für Windows 2000 Server geändert.
Dafür wurde die Möglichkeit, eines Registry-Eintrags geschaffen. Die Eintragung des Registry-Eintrags funktioniert auch heute,
zu Windows Server 2003 Zeiten noch.
Microsoft empfiehlt aber nicht, diesen Eintrag zu setzen!
Stattdessen wäre folgendes durchzuführen:
Es muss geprüft werden, auf welchem Domänencontroller in der Domäne, dass SYSVOL-Verzeichnis komplett
(Policies und Scripts Verzeichnis vorhanden?) und auch freigegeben ist. Ob das SYSVOL freigegeben ist, kann man z.B. in einer
Eingabeaufforderung (CMD) mit dem Befehl NET SHARE überprüfen. Es müsste unter anderem der Pfad „%systemroot%\Sysvol\sysvol“
mit dem Freigabenamen SYSVOL angezeigt werden.
Als nächstes sollte sichergestellt werden, dass die NTFS-Junction Points (Bereitstellungspunkte) existieren.
Bereitstellungspunkte stellen Verweise auf andere Verzeichnisse dar. Dieses kann man ebenfalls in einer Eingabeaufforderung überprüfen.
Dazu gibt man in einer Kommandozeile folgenden Befehl ein:
LINKD C:\%windir%\SYSVOL\sysvol\<FQDN>.
Als Ergebnis sollte folgendes angezeigt werden:
Source C:\windows\sysvol\sysvol\<FQDN> is linked to C:\windows\sysvol\domain.
Wie die SYSVOL-Struktur samt den Junction Points weiterhin auszusehen hat, kann man in diesen Artikeln nachlesen:
How to rebuild the SYSVOL tree and its content in a domain
SYSVOL-Administration
Best Practices for Sysvol Maintenance
Sollten die Bereitstellungspunkte fehlen, so können diese mit dem Tool LinkD (aus dem Windows Server 2003 Resource Kit) erneut gesetzt werden.
Der Befehl lautet:
Linkd %Systemroot%\SYSVOL\SYSVOL\<DNS-Domänenname> %Systemroot%\sysvol\domain
Linkd %Systemroot%\SYSVOL\staging areas\<DNS-Domänenname> %Systemroot%\SYSVOL\staging\domain
Es gibt auch Tools, mit denen man diese Aufgabe erledigen kann.
Neben dem Tool LINKD könnte auch Junction oder Junction Link Magic verwendet werden.
How to create and manipulate NTFS junction points
Unter Windows 2000 wurden die Junction Points ebenfalls kopiert. Daher sollte man generell Vorsicht walten lassen, wenn das SYSVOL
z.B. im Windows Explorer manuell kopiert werden sollte bzw. ganz davon Abstand nehmen!
Denn am Ende hat man nicht das SYSVOL-Verzeichnis kopiert, sondern einen Junction Point.
Es sollte mit ADSIEdit sichergestellt werden, dass unterhalb aller DC-Objekte das Objekt NTFRS Subscriptions existiert.
Falls nicht, gilt es diese manuell zu erstellen. Dieser Schritt ist insbesondere bei den EventIDs 13507 und 13508 zu prüfen.
Recovering missing FRS objects and FRS attributes in Active Directory
Trying to Start Replication from Domain Controller Generates an Error Message About Event 13507
Wenn die genannten Punkte erledigt sind, muss auf allen Domänencontrollern der Domäne, der NTFRS Dienst gestoppt werden.
Das stoppen des Dienstes kann einmal in der Kommandozeile erfolgen (net stop ntfrs) oder über die Dienstesteuerung (services.msc).
Der Anzeigename des Dienstes lautet Dateireplikationsdienst.
Auf dem Domänencontroller, auf dem das SYSVOL-Verzeichnis ordnungsgemäß vorhanden ist, setzt man unter folgendem Registry-Pfad:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\<GUID>”
den bereits vorhandenen Eintrag Burflags auf den Wert D4 (Authoritative Restore).
Der Wert D4 darf nur auf einem Domänencontroller eingetragen werden.
Hinweis: Unter Cumulative Replica Sets existiert i.d.R. eine GUID, nämlich die des SYSVOL-Verzeichnisses.
Wäre DFS noch im Einsatz, gäbe es noch einen weiteren Eintrag mit einer anderen GUID.
Anschließend ist auf den weiteren Domänencontrollern der Domäne (im gleichen Registry-Pfad), im vorhandenen Eintrag Burflags,
der Wert diesmal auf D2 (Non-Authoritative Restore) zu setzen.
Nun gilt es zuerst auf dem Domänencontroller, auf dem Burflags auf D4 gesetzt wurde, den NTFRS-Dienst (net start ntfrs) zu starten.
Nach dem Start vom NTFRS bleibt der Burflags Eintrag vorhanden, lediglich der Wert wird auf 0 (genullt) zurückgesetzt.
Danach wird im Dateireplikations-Protokoll der Event-Eintrag 13566 protokolliert. Dieser bedeutet, dass eine autorisierende
Wiederherstellung gestartet wurde. Die Dateien die vom FRS repliziert werden, bleiben unverändert und werden dabei als autorisierend gekennzeichnet.
Zusätzlich wird die FRS-Datenbank neu erstellt. Mit ein wenig Geduld, muss anschließend der Event-Eintrag 13516 protokolliert werden.
Denn erst dann, ist der FRS einsatzbereit.
Wenn alles planmäßig ausgeführt wurde, ist auf den restlichen Domänencontrollern der Domäne (auf denen der Wert Burflags D2 gesetzt wurde),
ebenfalls der NTFRS-Dienst zu starten. Der FRS-Dienst setzt dabei ebenfalls den Wert von Burflags zurück auf 0. Des Weiteren werden die Verzeichnisse
Policies sowie Scripts in ein Verzeichnis Namens NtFrs_PreExisting___See_Eventlog verschoben, das sich wiederum unterhalb von
„%systemroot%\SYSVOL\sysvol\FQDN\“ befindet. Das Verzeichnis NtFrs_PreExisting___See_Eventlog wird aus Sicherheitsmaßnahmen vom
Dateireplikationsdienst erstellt und soll einen versehentlichen Datenverlust vermeiden. Im Dateireplikations-Protokoll wird der Event-Eintrag 13565
verzeichnet. Dieser bedeutet, dass eine nicht autorisierte Wiederherstellung gestartet wurde. Anschließend wird die FRS-Datenbank neu erstellt
und es wird eine vollständige Replikation des SYSVOL-Verzeichnisses durchgeführt. Wenn alles ordnungsgemäß ausgeführt wurde,
wird im Dateireplikations-Protokoll der Event-Eintrag 13516 verzeichnet. Danach wäre der FRS betriebsbereit.
Im Anschluss wäre es empfehlenswert, mit den bereits o.g. FRS-Tools oder DCDIAG, die FRS-Replikation zu überprüfen.
Eine abschließende Kontrolle auf allen DCs sollte folgende Aufgaben beinhalten:
Existiert auf allen Domänencontrollern das SYSVOL-Verzeichnis und wurde es auch freigegeben?
Ist der Inhalt vom SYSVOL-Verzeichnis auf allen Domänencontrollern vollständig und auf allen DCs gleich?
Existieren auf allen Domänencontrollern die Junction Points?
Werden im Dateireplikations-Protokoll der Domänencontroller noch Fehler gemeldet (was logischerweise nicht der Fall sein sollte)?
Melden die Diagnose-Tools Fehler?
Weitere Informationen:
Using the BurFlags registry key to reinitialize File Replication Service replica sets
Troubleshooting journal_wrap errors on Sysvol and DFS replica sets
The Sysvol and Netlogon Shares Are Missing After You Restore a Domain Controller from Backup
Description of FRS entries in the registry
Morphed folders appear in the SYSVOL Group Policy folder after you use Group Policy Object Editor to view a GPO on a Windows Server 2003-based domain controller
You cannot replicate files from a Windows Server 2003-based domain controller and events are logged in the File Replication Service log
Comments are closed, but trackbacks and pingbacks are open.