Месяц: Декабрь 2023

У меня происходит только при новых развертываниях на Windows Server 2022 хостах

1. KDC имеет старую версию пароля для исходного контроллера домена.

net stop KDC
Repadmin /replicate имя_старого_dc имя_НОВОГО_dc DN=firm,DN=local
net start KDC

2. Проверить статус репликации SYSVOL:

у всех DC должен быть статус: 4

For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state

3. Если на предыдущем шаге получили статус «2»:

How to perform an authoritative synchronization of DFSR-replicated sysvol replication (like D4 for FRS)

4. Если на НОВОМ DC отсутствуют общие ресурсы SYSVOL и/или NETLOGON

дополнительно dcdiag будет показывать:

Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \\имя_dc
при попытке получения доступа к имя_dc.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
......................... имя_dc - не пройдена проверка

в реестре Windows параметр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady

последовательно: установить в 0 -> применить -> установить в 1 -> применить

Источники:

https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/identity/replication-error-2146893022

https://learn.microsoft.com/en-GB/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization#how-to-perform-an-authoritative-synchronization-of-dfsr-replicated-sysvol-replication-like-d4-for-frs

https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/identity/netlogon-share-not-present-after-install-ad-ds-on-full-read-only-domain-controller#workaround