このドメインコントローラー上の1つ以上のGPOに対するsysvolアクセス許可が、ベースラインドメイン上のGPOに対するアクセス許可と同期していません
最近2番目のドメインコントローラーをインストールしましたが、グループポリシーを除いてすべてのレプリケーションが正常に機能しているようです-Windows 2012r2では、新しいグループポリシー管理を通じて、[今すぐ検出]をクリックすると、ACLがベースラインと同期していないことが示されますドメイン...
環境:
DC1:Windows 2008 R2; DC2:Windows 2012 R2;フォレストとドメインの機能レベル:Windows 2003;レプリケーションタイプ:FRS;
私はdcdiagを実行し、イベントログ、repadmin/showreplなどを確認しましたが、すべて問題はないようですが、グループポリシーが同期しません…両方のDCでsysvol ACLを確認しましたが、それらは同じ権限を持っているようです…また、グループポリシーの中央ストアは正しく複製されました(sysvol)…
他の誰かがこの問題をここで発見した http://sysadminconcombre.blogspot.com.au/2014/06/Microsoft-dfs-r-problem-sysvol.html とDFSRの再起動に関連する解決策… DFLが2003年なのでFRSを持っています:(
私の質問は、DFSRに移行せずにこれを修正する方法はありますか、それとも最初にDFSRに移動する必要がありますか? …レプリケーションが「完全に」機能しない限り、FRSからDFSRに移行すべきではないとすべてが言います…。
どんな提案も大歓迎です:)
更新:両方のサーバーのポリシーにsysvol ACLを手動で適用することでこれを修正することができました...何らかの理由で、sysvol\policiesの下にある各ポリシーのフルコントロールとしてdomain\administratorsグループを追加する必要があり、その後うまく同期しました。 ...すべてが正常に機能しており、後でDFLをアップグレードできるときに、DFRSへの移行について見ていきます。
この問題が発生している他のユーザー-ポリシーが1つまたは2つしかない場合は、設定をバックアップし、すべて削除してから再度追加すると、同じ効果があります。
これは、ローカルコンピューターでGPO=が変更されたが、参加している他のドメインコントローラーへのレプリケーションイベントが完了していない場合に発生します。フォレスト「Get-ADDomainController-フィルター* |%{repadmin/syncall/edjQSA $ _。hostname} "または15〜20分待ってからGPMCを更新します。これは仕様によるもので、通常は次のレプリケーションサイクルで自動的に解決されます。
[今すぐ検出]を使用すると、同じ問題が発生しました。 GPOのセキュリティフィルターを変更すると、sysvolのACLに問題があると表示されます。 1つのDCでは、sysvolのポリシーにアクセス許可の変更がありましたが、もう1つのDCではありませんでした。 1時間以上、これが事実でした。それで翌日仕事に来た時はすべて順調でした。私の場合、権限を複製するのに長い時間がかかるようですが、新しいGPOは作成時に即座に複製されます。
GPOの数が少ないテストドメイン(実際のドメインにはmanayがあります)では、今すぐ検出すると同じエラーが発生します。ただし、GPMCを閉じて再度開くと、すべてが正常に戻ります。