AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发

项目背景：生产环境承载AD服务的所有Windows Server操作系统升级到Windows Server 2025。

项目要求：现有名为DC和DC02…DC0？的若干台DC服务器，FSMO由DC承担。各DC操作系统从Windows Server 2012到Windows Server 2022都有，dcdiag健康检查全部通过。要求将所有Windows Server系统升级到Windows Server 2025，把一台新服务器取名为DC01，完成后承担FSMO，原DC降级退域。

升级过程此篇不表，升级后的两个错误如下：

事件ID：5012

事件ID：4612

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_SYSVOL_02 错误影响：升级完成后的DC01，没有共享出SYSVOL目录，客户端计算机读取失败。事件ID 4612表明正在玩命从已经退役的DC上复制数据，可以确认的是ntds数据库中，元数据已经没有DC这台域控制器了。下面是微软对新升级的域控制器在完成 DCpromo 后可能无法播发的一个排错思路，然并卵。非要说有什么参考意义，就是其中提到了源域控制器“父计算机”注册表项。

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_4612_03

新升级的域控制器在完成 DCpromo 后可能无法播发 - Windows Server | Microsoft Learn

原因分析：DFSR 执行 SYSVOL 数据的权威同步，这些数据在 DC 之间复制，DC 上必须存在的 SYSVOL 文件夹层次结构，用于存储两组重要数据：

1、组策略模板文件：它们存储在 \\SYSVOL\<domain>\Policies 下的单独文件夹中。

2、域中计算机使用的登录、注销、启动和关闭脚本：它们存储在 \\SYSVOL\<domain>\scripts 中。脚本文件夹本身作为 NETLOGON 共享。

微软有提到：

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_DFSR_04 题外话：这里需要厘清一个概念，SYSVOL 复制与 Active Directory 复制是分开进行的两码事。一个可能正常，而另一个可能会失败。 Active Directory 复制情况可以使用repadmin检查，如repadmin /showrepl。因生产环境不方便贴图，读者请自行尝试或者脑补，可以确认的是，本环境中Active Directory 复制完全正常，dfsdiag /testdcs检查复制状态也都是一致的：

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_Server 2025_05 奇怪的是，SYSVOL文件夹下面的数据，并不会被同步到副本DC。承担FSMO的域控制器不能正常播发，如果SYSVOL 复制一直失败，不进行手动干预解决，后面可能会无法恢复，甚至造成灾难性后果。

解决方案：升级AD前，我们备份好了SYSVOL文件夹。将其还原至DC01同位置，然后指定DC01 作为权威机构，让DFSR 使用 DC01 自己的 SYSVOL 数据副本初始化 SYSVOL成为域的 SYSVOL 源拷贝从而进行授权同步。

强制同步分布式文件系统复制（DFSR）复制的 sysvol 复制 - Windows Server | Microsoft Learn

参考微软的链接，以下为实现步骤：

1、在承担FSMO的DC01 上，adsiedit.msc启动 ADSI 编辑控制台，连接到默认命名上下文，展开到DC=domain > OU=Domain Controllers，所有的域控制器都将出现在这里。继续展开承担FSMO的DC01，CN=DC01 > CN=DFSR-LocalSettings > CN=Domain System Volume；

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_SYSVOL_06 2、右键单击 CN=SYSVOL Subscription ，然后选择属性。弹出的窗口中双击“msDFSR-Enabled”属性并将其值设置为 FALSE。双击”msDFSR-Options“属性并将其值设置为 1。单击”确定“关闭属性窗口；

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_SYSVOL_07 3、同样方法，展开其余每一个DC 的 CN=SYSVOL Subscription属性，修改”msDFSR-Enabled“属性，设置为”FALSE”；

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_AD域_08 4、先额外DC，再权威 DC（FSMO DC，本文DC01），运行repadmin /syncall /force强制在整个域中复制 Active Directory。这可能需要一些时间，也许要15分钟或更久，具体取决于域的大小和复制拓扑；

5、等上足够时间后，在每个额外DC 上，运行 dfsrdiag pollad。在权威 DC上，启动事件查看器并确认事件日志包含事件 4114，表示不再复制 SYSVOL，此事件将出现在所有 DC 上；

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_AD域_09 6、在权威域控制器上ADSI 编辑控制台中，浏览到步骤 3 中的位置，将权威域控制器“msDFSR-Enabled”属性值从“FALSE”设置为“TURE”；

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_4612_10 7、权威域控制器上运行dfsrdiag pollad，启动事件查看器并确认事件日志包含事件4602，此事件确认此域控制器上已发生 SYSVOL 的权威同步；

Troubleshooting：AD系统升级到Server 2025后DFSR错误引起的ADDS不能正常播发_SYSVOL_11 8、将所有DC 的“msDFSR-Enabled”属性设置为“TRUE”，并强制在整个域中复制，最后在除权威 DC 以外的每个 DC 上，运行一次dfsrdiag pollad；

9、在非授权 DC 上，确认事件 4614 和 4604 出现在 DFS 复制事件日志中。

至此，排错完成。

Windows Server 2025 删除或修改了一些功能，现产品在实际应用中，比如LDAP/NLA/Time/DHCP/DNS/KLDC服务，对老旧架构的影响还是比较大的，不知道微软后续会不会做出改进？