Ho deciso di scrivere questo lungo post perché spero torni utile a qualcuno visto che questo problema mi ha fatto diventare matto per quasi 2 giorni!!!! E la cosa brutta è che non ho trovato praticamente nessuna documentazione/soluzione/commento su internet che mi sia stato d’aiuto (a parte uno!). Dovevo portare a termine un upgrade di un dominio active directory 2000, composto da 2 domain controller, alla versione 2008 R2 (sempre con 2 domain controller).
Preparo il tutto con adprep, alzo il livello del dominio e della foresta a 2000 nativo e quando sono pronto eseguo anche il dcpromo sui due dc nuovi, tutto bene, nessun errore ed al riavvio dei server il db di active directory è correttamente replicato così come i dns. Sembrerebbe essere tutto ok…. ma purtroppo non è così.
Facendo degli ulteriori test per vedere se era tutto correttamente sincronizzato mi accorgo che entrambi i nuovi dc non condividono la sysvol (ed ovviamente anche la share netlogon visto che è una sua sottocartella).
Provo a dare un occhio nell’event viewer e vedo questo warning che compare sempre quando si configura un nuovo dc:
Normalmente questo warning si riferisce solo ad uno stato temporaneo intanto che il nuovo dc sincronizza la sysvol ma nel mio caso non si schiodava da questo stato e la sysvol non veniva condivisa….. ed ho iniziato quindi a fare un po’ di troubleshooting. Prima cosa che ho notato è che anche i due attuali dc 2000 non sincronizzavano la syvol tra di loro da anni… eh vabeh. Faccio verifiche sul dns, tutto ok, la risoluzione di tutti i nomi è a posto; guardo l’event viewer sui due dc win 2000 e non ci sono errori; i servizi di replica file sono attivi, provo a riavviarli ma non cambia niente e sui dc 2000 gli unici eventi che vedo sono lo stop e lo start del servizio…. un pò strano! Sui dc 2008R2 invece compare due warning che segnala che il server non riesce a sincronizzare la sysvol con i due dc 2000.
Inizio a cercare su google, trovo tantissimi post, segnalazioni di problemi di replica. Molti per problemi di dns, molti che semplicemente forzavano una reinizializzazione del servizio tramite la modifica della chiave di registro BurFlags: https://support.microsoft.com/en-us/kb/290762, altri ancora che rimandavano a questa KB microsoft per il troubleshooting: https://msdn.microsoft.com/en-us/library/bb727056.aspx. Anche seguendo TUTTE (!!!) le verifiche non trovo una causa del problema. Inizio a guardare i log del servizio ntfrs, sui server 2008R2 trovo degli errori di error_access_denied (ma su cosa non si capisce) mentre sul server 2000 da cui cercavano di sincronizzare la sysvol erano presenti due tipi di errori:
set DOMAIN SYSTEM VOLUME (SYSVOL SHARE) on parent SERVERNAME; WStatus: ERROR_NOT_FOUND
e
ERROR – Invalid Partner: AuthClient:SERVERNAME
Cercando su google però non ho trovato nessun suggerimento utile, tutti facevano riferimento come detto prima a problemi di dns o alle KB microsoft poco utili in questo caso. Dopo ore e ore in cui non sapevo più che pesci pigliare, ho provato anche a forzare la replica frs su una porta statica (anche se i server erano sulla stessa subnet senza firewall di mezzo) ma niente…. però se non altro ho visto che il servizio rispondeva (anche se avevo già avuto una conferma con il comando NTFRSUTL VERSION). Provato decine di altre soluzioni ma senza alcun risultato, non sapevo veramente più cosa fare….
SOLUZIONE (alla fine…..)
Dopo quasi due giorni di mal di testa ho trovato questa pagina: http://www.skar.us/thepost/system_admin/product/microsoft/windows_server/active-directory/frs/w2k3sfrs-replication-sharing-problem/ in cui erano presenti degli errori che comparivano anche nei miei log e diceva di aver risolto semplicemente aggiungendo una chiave di registro mancante, ed in effetti il giorno precedente avevo notato che l’alberatura nel registro del servizio NtFrs (Computer->HKLM->System->CurrentControlSet->services->NtFrs->Parameters) era leggermente diversa, sui win 2000 mancava la chiave “SysVol”. Vabeh proviamo anche questa: inserisco a mano la chiave…. riavvio i servizi….. aspetto un po’…… vedo comparire dei nuovi eventi nell’event viewer dei dc 2000 e…. FUNZIONA!!!!!!!! Due giorni persi per colpa di una chiave di registro scomparsa!!! ODIO PROFONDO PER GLI INUTILI LOG MICROSOFT!!!!!!!
P.S.
Sul secondo win 2000, che era da anni che non sincronizzava, e che aveva ancora qualche problemino ho dovuto lanciare anche una reinizializzazione con il valore D2 nel BurFlags per sistemare le cose.