ItaPFEPlat

Blog dei PFE italiani - Active Directory, Windows Platform e Security

DFSR – verificare il Content Freshness

Il Content Freshness determina quanto tempo deve attendere il DFSR prima di impostare una connessione come fallita.

Di default è uguale a 0. In genere viene raccomandato di impostarlo ad almeno 60 giorni o al valore del TSL (TombStoneLifetime).

Per verificare il TSL:

  • dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=” –scope base –attr tombstonelifetime

Per verificare l’impostazione del Content Freshness sul DC:

  • wmic.exe /node:%computername% /namespace:\\root\microsoftdfs path DfsrMachineConfig get MaxOfflineTimeInDays

Per verificare l’impostazione del Content Freshness su tutti i DC:

  • For /f %i IN (‘dsquery server -o rdn’) do @echo %i && @wmic /node:”%i” /namespace:\\root\microsoftdfs path DfsrMachineConfig get MaxOfflineTimeInDays

Per impostare il Content Freshness a 180 giorni eseguire il seguente comando:

  • wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=180

 

In alcuni casi, come per esempio dopo uno shutdown imprevisto, il DFSR entra in protezione e smette di replicare. A seconda della versione del SO potrebbe essere necessario intervenire manualmente per ripristinare la replica (***).

Nel DFS-Replication log si avranno i seguenti eventi:

2213  -> replica ferma, ripristinare con il comando Wmic indicato in fondo alla descrizione dello stesso evento (***)

2212 –> indica che è stato rilevato uno shutdown imprevisto

Qualora la replica DFS-R restasse “disconnessa” per più del MaxOfflineTimeInDays, verrebbe loggato il seguente evento:

4012 –> indica che la replica è rimasta ferma per più del MaxOfflineTimeInDays e che al prossimo ciclo il DFSR rimpiazzerà i dato con quelli di un altro server parte dello stesso Gruppo Di Replica

Procedere con la verifica dello stato del DFSR su tutti i server eseguendo il seguente comando:

  • For /f %i IN (‘dsquery server -o rdn’) do @echo %i && @wmic /node:”%i” /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername=’SYSVOL share’ get state

I valori indicati da “state” possono essere i seguenti:

  • 0 = Uninitialized
  • 1 = Initialized
  • 2 = Initial Sync
  • 3 = Auto Recovery
  • 4 = Normal
  • 5 = In Error

Nel caso venga riportato il valore 5 = In Error, è possibile fare un Non-Auth Restore su quel server.

Seguire le indicazioni riportate nell’articolo seguente: https://support.microsoft.com/en-us/kb/2218556

Per semplificare le indicazioni riportate nell’articolo, in pratica viene scelto un server come Autoritativo (in genere PDCe) e quello con l’errore come Non Autoritativo, andando ad agire su degli attributi del DFSR.

  • Per Effettuare un Restore NON-Autoritativo
    • Fermo DFSR sul server con l’errore
    • Imposto msDFSR-Enabled=FALSE
    • Forzo replica (repadmin /syncall)
    • DFSRDIAG POLLAD  –> Evento 4114
    • Imposto msDFSR-Enabled=TRUE
    • Forzo replica (repadmin /syncall)
    • DFSRDIAG POLLAD  –> Evento 4614 3 4604
  • Per Effettuare un Restore Autoritativo
    • DC Autoritativo (PDCe)
      • Stop DFSR
      • Imposto msDFSR-Enabled=FALSE
      • Imposto msDFSR-options=1
    • DC NON-Autoritativo
      • Stop DFSR
      • Imposto msDFSR-Enabled=FALSE
      • Forzo replica (repadmin /syncall)
      • Forzo replica (repadmin /syncall /AeP)
    • DC Autoritativo (PDCe)
      • Avvio DFSR –> Evento 4114
      • Imposto msDFSR-Enabled=TRUE
      • Forzo replica (repadmin /syncall /AeP)
      • DFSRDIAG POLLAD –> Evento 4602
    • DC NON-Autoritativo
      • Avvio DFSR –> Evento 4114
      • Imposto msDFSR-Enabled=TRUE
      • DFSRDIAG POLLAD

*** DFSR Autorecovery Override: https://blogs.technet.microsoft.com/itapfeplat/2014/05/22/dfsr-autorecovery-override/

 

 

Saluti

PFE Italia