Wenn Sie die Ereignisanzeige auf einem Windows Server Dom\u00e4nencontroller \u00f6ffnen und den Event ID 4012 im DFS-Replikationsprotokoll finden, bedeutet dies, dass der DFS-Replikationsdienst die Replikation eines Ordners gestoppt hat \u2014 in der Regel SYSVOL. Dies ist ein kritisches Problem, da SYSVOL Gruppenrichtlinienobjekte, Anmeldeskripte und andere dom\u00e4nenweite Ressourcen enth\u00e4lt. Ein Dom\u00e4nencontroller, der die SYSVOL-Replikation stoppt, liefert veraltete oder fehlende Gruppenrichtlinien an Clients, was zu inkonsistenten Sicherheitseinstellungen und defekten Anmeldeskripten in Ihrer gesamten Umgebung f\u00fchrt. In dieser Anleitung erfahren Sie, wie Sie den Event ID 4012 diagnostizieren, seine Ursachen verstehen und ihn sowohl mit grafischen Tools als auch mit PowerShell-Befehlen beheben.

Voraussetzungen

Bevor Sie mit der Fehlerbehebung beginnen, stellen Sie sicher, dass Sie \u00fcber Folgendes verf\u00fcgen:

  • Dom\u00e4nenadministrator-Privilegien oder gleichwertige Berechtigungen auf dem betroffenen Dom\u00e4nencontroller
  • Remotedesktop- oder Konsolenzugriff auf den betroffenen Server
  • Installierte RSAT-Tools, einschlie\u00dflich der Active Directory- und DFS-Management-Snap-ins
  • PowerShell 5.1 oder h\u00f6her mit verf\u00fcgbarem DFSR-Modul
  • Zugriff auf ADSIEDIT.MSC zur \u00c4nderung von AD-Attributen
  • Einen zweiten Dom\u00e4nencontroller mit gesunder SYSVOL-Replikation als Referenzpartner
  • Eine aktuelle System State-Sicherung von mindestens einem Dom\u00e4nencontroller (als Sicherheitsnetz)

Den DFSR Event ID 4012 Verstehen

Der Event ID 4012 erscheint im Abschnitt Anwendungs- und Dienstprotokolle > DFS-Replikation der Ereignisanzeige. Die vollst\u00e4ndige Ereignismeldung lautet:

The DFS Replication service stopped replication on the folder at local path C:\Windows\SYSVOL\domain. This server has been disconnected from other partners for [Anzahl] days, which is longer than the time allowed.

Dieses Ereignis wird ausgel\u00f6st, wenn eine der folgenden Bedingungen erf\u00fcllt ist:

  • Journal Wrap erkannt: Das USN-Journal auf dem Volume wurde recycelt oder hat sich \u00fcberschlagen, was bedeutet, dass DFSR nicht mehr nachverfolgen kann, welche Dateien seit dem letzten Replikationszyklus ge\u00e4ndert wurden.
  • Wiederherstellung nach unerwartetem Herunterfahren: Der Server hat ein unerwartetes Herunterfahren erlebt (Stromausfall, BSOD) und die DFSR-Datenbank befindet sich in einem inkonsistenten Zustand.
  • Verl\u00e4ngerte Trennung: Der Dom\u00e4nencontroller war l\u00e4nger offline oder nicht in der Lage, Replikationspartner zu erreichen, als der konfigurierte MaxOfflineTimeInDays-Wert erlaubt (Standard 60 Tage).
  • Datenbankbesch\u00e4digung: Die DFSR-Datenbankdateien im Ordner System Volume Information sind besch\u00e4digt.

Wenn dieses Ereignis protokolliert wird, geht DFSR f\u00fcr den betroffenen Replikationsordner in den gestoppten Zustand. Die Replikation wird nicht automatisch wieder aufgenommen \u2014 Sie m\u00fcssen manuell eingreifen.

Auswirkungen auf Ihre Umgebung

Die Folgen eines unbehandelten Event ID 4012 sind erheblich:

  • Inkonsistenz der Gruppenrichtlinien: Clients, die sich am betroffenen DC authentifizieren, erhalten veraltete oder fehlende GPOs
  • Fehler bei Anmeldeskripten: In SYSVOL\scripts gespeicherte Skripte k\u00f6nnen fehlen oder veraltet sein
  • Wachstum des DFSR-Backlogs: Partner-DCs akkumulieren einen wachsenden R\u00fcckstand an \u00c4nderungen, die auf Replikation warten
  • Authentifizierungsprobleme: In schweren F\u00e4llen divergieren Kerberos-Richtlinien und Einstellungen zur automatischen Zertifikatsregistrierung

Das Problem Diagnostizieren

Beginnen Sie Ihre Diagnose, indem Sie Informationen aus mehreren Quellen sammeln. F\u00fchren Sie diese Befehle in einer erh\u00f6hten PowerShell-Sitzung auf dem betroffenen Dom\u00e4nencontroller aus.

DFSR-Replikationsstatus Pr\u00fcfen

# Replikationsstatus aller DCs pr\u00fcfen
Get-DfsReplicationGroup | Get-DfsReplicatedFolder | Get-DfsrState

# Speziell die SYSVOL-Replikation pr\u00fcfen
Get-DfsReplicationGroup -GroupName "Domain System Volume" |
    Get-DfsReplicatedFolder |
    Get-DfsrState

Die Ausgabe zeigt den Replikationsstatus jedes Mitglieds. Suchen Sie nach Eintr\u00e4gen, bei denen die Spalte State Stopped oder In Error anzeigt.

Ereignisprotokoll mit PowerShell Abfragen

# Die letzten 10 Event ID 4012-Eintr\u00e4ge abrufen
Get-WinEvent -FilterHashtable @{
    LogName = 'DFS Replication'
    Id = 4012
} -MaxEvents 10 | Format-List TimeCreated, Message

# Verwandte Ereignisse pr\u00fcfen (4010, 4012, 4014)
Get-WinEvent -FilterHashtable @{
    LogName = 'DFS Replication'
    Id = 4010, 4012, 4014
} -MaxEvents 20 | Format-Table TimeCreated, Id, Message -Wrap

DFSRDIAG-Diagnosen Ausf\u00fchren

# Allgemeinen Replikationsstatus pr\u00fcfen
dfsrdiag ReplicationState

# Replikations-Backlog zwischen zwei DCs pr\u00fcfen
dfsrdiag Backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /sendingmember:DC01 /receivingmember:DC02

# DFSR zwingen, Active Directory nach Konfigurations\u00e4nderungen abzufragen
dfsrdiag PollAD

SYSVOL-Freigabe und Inhalt \u00dcberpr\u00fcfen

# Pr\u00fcfen, ob die SYSVOL- und NETLOGON-Freigaben existieren
Get-SmbShare | Where-Object { $_.Name -match 'SYSVOL|NETLOGON' }

# SYSVOL-Inhalt zwischen DCs vergleichen
$dc1 = Get-ChildItem "\\DC01\SYSVOL\domain\Policies" -Recurse | Measure-Object
$dc2 = Get-ChildItem "\\DC02\SYSVOL\domain\Policies" -Recurse | Measure-Object
Write-Host "DC01 Elemente: $($dc1.Count) | DC02 Elemente: $($dc2.Count)"

Vergleich: Autoritative vs Nicht-Autoritative Synchronisation

Bevor Sie mit der Behebung fortfahren, m\u00fcssen Sie entscheiden, welche Art der Synchronisation durchgef\u00fchrt werden soll. Die Wahl h\u00e4ngt davon ab, welcher Dom\u00e4nencontroller die korrekten SYSVOL-Daten hat.

AspektAutoritative SynchronisationNicht-Autoritative Synchronisation
Wann verwendenDer betroffene DC hat die korrekten SYSVOL-DatenEin gesunder Partner hat die korrekten Daten
DatenflussBetroffener DC sendet seine Daten an alle PartnerBetroffener DC bezieht Daten von einem Partner
msDFSR-Options-WertAuf 1 am autoritativen DC setzenStandard belassen (keine \u00c4nderung)
RisikoniveauH\u00f6her \u2014 \u00fcberschreibt alle Partner-ReplikateNiedriger \u2014 nur die lokale Kopie wird neu erstellt
Typisches SzenarioDer PDC Emulator hat die korrekten RichtlinienSekund\u00e4rer DC hat SYSVOL nach Absturz verloren
AD-Attribut\u00e4nderungenmsDFSR-Enabled + msDFSR-OptionsNur msDFSR-Enabled
WiederherstellungszeitL\u00e4nger (alle Partner re-synchronisieren von diesem DC)K\u00fcrzer (nur der lokale DC re-synchronisiert)
Auf PDC Emulator verwendenJa, dies ist der h\u00e4ufigste FallSelten \u2014 nur wenn PDC-Daten besch\u00e4digt sind

Allgemeine Regel: Wenn nur ein oder wenige DCs den Event ID 4012 haben, f\u00fchren Sie eine nicht-autoritative Synchronisation auf diesen DCs durch. Wenn SYSVOL auf mehreren DCs defekt ist, f\u00fchren Sie eine autoritative Synchronisation vom DC mit den besten Daten durch (normalerweise der PDC Emulator).

Schritt-f\u00fcr-Schritt-L\u00f6sung

Nicht-Autoritative Synchronisation (Am H\u00e4ufigsten)

Verwenden Sie diese, wenn der betroffene DC SYSVOL von einem gesunden Partner neu herunterladen muss.

Schritt 1: \u00d6ffnen Sie ADSIEDIT.MSC auf dem betroffenen Dom\u00e4nencontroller oder einer Verwaltungsarbeitsstation.

Schritt 2: Navigieren Sie zum DFSR-Abonnementobjekt:

CN=SYSVOL Subscription,CN=Domain System Volume,
CN=DFSR-LocalSettings,CN=<DCName>,OU=Domain Controllers,DC=domaene,DC=com

Schritt 3: Setzen Sie msDFSR-Enabled auf FALSE.

Schritt 4: Erzwingen Sie die Active Directory-Replikation auf allen Dom\u00e4nencontrollern:

# Replikation von allen Partnern erzwingen
repadmin /syncall /APed

Schritt 5: F\u00fchren Sie DFSRDIAG POLLAD auf dem betroffenen DC aus:

dfsrdiag PollAD

\u00dcberpr\u00fcfen Sie, ob der Event ID 4114 im DFS-Replikationsprotokoll erscheint, der best\u00e4tigt, dass DFSR die Konfigurations\u00e4nderung anerkannt hat.

Schritt 6: Setzen Sie msDFSR-Enabled zur\u00fcck auf TRUE in ADSIEDIT.MSC am selben DN.

Schritt 7: Erzwingen Sie die AD-Replikation erneut und f\u00fchren Sie DFSRDIAG POLLAD aus:

repadmin /syncall /APed
dfsrdiag PollAD

Schritt 8: \u00dcberpr\u00fcfen Sie die Wiederherstellung anhand der Event IDs:

  • 4614: “The DFS Replication service initialized SYSVOL” (Initiale Synchronisation gestartet)
  • 4604: “The DFS Replication service successfully initialized SYSVOL” (Synchronisation abgeschlossen)
Get-WinEvent -FilterHashtable @{
    LogName = 'DFS Replication'
    Id = 4604, 4614
} -MaxEvents 5 | Format-List TimeCreated, Message

Autoritative Synchronisation

Verwenden Sie diese, wenn der betroffene DC die korrekten Daten hat und sie an alle Partner senden soll.

Befolgen Sie die gleichen Schritte wie oben, aber in Schritt 6, bevor Sie msDFSR-Enabled zur\u00fcck auf TRUE setzen, setzen Sie zus\u00e4tzlich msDFSR-Options auf 1 am SYSVOL Subscription-Objekt des autoritativen DCs. Dieses Flag teilt DFSR mit, dass die Kopie dieses Servers autoritativ ist und alle Partner von ihm synchronisieren sollen.

Nachdem der autoritative DC wiederhergestellt ist (Event 4602/4604), f\u00fchren Sie eine nicht-autoritative Synchronisation auf allen anderen Dom\u00e4nencontrollern durch, um die autoritativen Daten zu beziehen.

Praxisbeispiel

Sie verwalten eine Multi-Site Active Directory-Umgebung mit f\u00fcnf Dom\u00e4nencontrollern: DC01 (PDC Emulator) im Hauptb\u00fcro, DC02 und DC03 in Au\u00dfenstellen, DC04 an einem Disaster-Recovery-Standort und DC05 als schreibgesch\u00fctzter Dom\u00e4nencontroller. Nach einem Speicherausfall in der Au\u00dfenstelle wurde DC02 von Grund auf neu aufgebaut und der Dom\u00e4ne wieder beigetreten. Zwei Tage sp\u00e4ter meldet der Helpdesk, dass Benutzer in der Au\u00dfenstelle nicht die neuesten Gruppenrichtlinieneinstellungen erhalten.

Sie melden sich an DC02 an und finden den Event ID 4012 im DFS-Replikationsprotokoll. Die Ausf\u00fchrung von Get-DfsrState best\u00e4tigt, dass die SYSVOL-Replikation auf DC02 gestoppt ist. Die SYSVOL-Freigabe existiert, enth\u00e4lt aber nur einen Teil der GPOs.

Ihr Plan: Eine nicht-autoritative Synchronisation auf DC02 durchf\u00fchren. Sie \u00f6ffnen ADSIEDIT.MSC, navigieren zu den DFSR-LocalSettings von DC02, setzen msDFSR-Enabled auf FALSE, erzwingen die AD-Replikation mit repadmin /syncall /APed und f\u00fchren dfsrdiag PollAD aus. Event 4114 best\u00e4tigt, dass DFSR gestoppt hat. Sie setzen msDFSR-Enabled zur\u00fcck auf TRUE, erzwingen die Replikation erneut und f\u00fchren PollAD aus. Innerhalb weniger Minuten erscheint Event 4604 \u2014 SYSVOL wurde reinitialisiert. Sie verifizieren durch Vergleich der Richtlinienanzahl in der SYSVOL-Freigabe von DC02 mit DC01, und die Zahlen stimmen \u00fcberein. Die Gruppenrichtlinien funktionieren wieder korrekt.

Stolperfallen und Sonderf\u00e4lle

Journal Wrap auf gro\u00dfen Volumes: Wenn das USN-Journal sich \u00fcberschlagen hat, sehen Sie m\u00f6glicherweise den Event ID 4012 zusammen mit dem Event ID 4010. Das einfache Zur\u00fccksetzen von msDFSR-Enabled reicht m\u00f6glicherweise nicht aus \u2014 Sie m\u00fcssen eventuell die DFSR-Datenbank l\u00f6schen. Stoppen Sie den DFSR-Dienst, l\u00f6schen Sie die Dateien in C:\System Volume Information\DFSR\ auf dem betroffenen Volume und starten Sie dann DFSR neu, bevor Sie die nicht-autoritative Synchronisation durchf\u00fchren.

Unerwartetes Herunterfahren und Datenbankbesch\u00e4digung: Nach einem BSOD oder unerwartetem Stromausfall kann die DFSR-Datenbank als besch\u00e4digt markiert sein. Der Event ID 2213 begleitet h\u00e4ufig den 4012 in diesem Fall. Das Wiederherstellungsverfahren ist dasselbe wie bei Journal Wrap \u2014 stoppen Sie DFSR, bereinigen Sie die Datenbank und f\u00fchren Sie eine nicht-autoritative Synchronisation durch.

MaxOfflineTimeInDays \u00fcberschritten: Wenn ein DC l\u00e4nger als 60 Tage (der Standardwert) offline war, verweigert DFSR die Replikation auch nach der Wiederverbindung. Sie k\u00f6nnen diesen Wert vor\u00fcbergehend mit PowerShell erh\u00f6hen, bevor Sie die Synchronisation durchf\u00fchren:

# Maximale Offline-Zeit vor\u00fcbergehend auf 120 Tage erh\u00f6hen
Set-DfsReplicationGroup -GroupName "Domain System Volume" -Description "Temporaere Erhoehung" |
    Set-DfsrMembership -MaxOfflineTimeInDays 120

Schreibgesch\u00fctzte Dom\u00e4nencontroller (RODCs): RODCs replizieren SYSVOL in einer Richtung. Wenn ein RODC den Event 4012 zeigt, ist die Behebung immer nicht-autoritativ. Versuchen Sie niemals eine autoritative Synchronisation von einem RODC.

Mehrere DCs gleichzeitig betroffen: Wenn mehr als die H\u00e4lfte Ihrer DCs die SYSVOL-Replikation gestoppt haben, beginnen Sie mit dem PDC Emulator. F\u00fchren Sie zuerst eine autoritative Synchronisation auf dem PDC durch, dann systematisch nicht-autoritative Synchronisationen auf den verbleibenden DCs einzeln nacheinander, wobei Sie auf jedem den Event 4604 abwarten, bevor Sie zum n\u00e4chsten \u00fcbergehen.

Windows Server 2012 R2 vs 2016+: Auf Server 2016 und h\u00f6her kann DFSR sich automatisch von einigen Journal-Wrap-Szenarien erholen. Jedoch erfordert der Event ID 4012 unabh\u00e4ngig von der Betriebssystemversion weiterhin manuelles Eingreifen.

Fehlerbehebung

Event 4012 erscheint nach der Behebung erneut: Dies deutet in der Regel auf ein zugrunde liegendes Festplatten- oder Volume-Problem hin. Pr\u00fcfen Sie das Systemereignisprotokoll auf Festplattenfehler (Event IDs 7, 11, 51, 153). F\u00fchren Sie chkdsk /f auf dem Volume aus, das SYSVOL hostet. Wenn das Volume auf einer virtuellen Festplatte liegt, \u00fcberpr\u00fcfen Sie die Gesundheit des virtuellen Speichers.

DFSRDIAG POLLAD h\u00e4ngt oder gibt einen Fehler zur\u00fcck: Stellen Sie sicher, dass der DFSR-Dienst l\u00e4uft (Get-Service DFSR). Wenn er gestoppt ist, starten Sie ihn vor der Ausf\u00fchrung von PollAD. Wenn der Dienst nicht startet, pr\u00fcfen Sie auf DFSR-Datenbanksperren in System Volume Information\DFSR\.

Event 4614 erscheint, aber 4604 kommt nie: Die initiale Synchronisation hat begonnen, wird aber nicht abgeschlossen. Pr\u00fcfen Sie die Netzwerkverbindung zwischen dem betroffenen DC und seinen Replikationspartnern. Best\u00e4tigen Sie, dass TCP-Port 5722 (DFSR) und die ephemeren RPC-Ports in der Firewall ge\u00f6ffnet sind.

SYSVOL-Freigabe verschwindet nach der Behebung: Die NETLOGON- und SYSVOL-Freigaben erscheinen m\u00f6glicherweise erst wieder, wenn DFSR die initiale Synchronisation abgeschlossen und das SYSVOL-Ready-Flag gesetzt hat. Warten Sie auf Event 4604 und f\u00fchren Sie dann net share zur \u00dcberpr\u00fcfung aus. Wenn die Freigaben immer noch nicht erscheinen, starten Sie den Netlogon-Dienst neu:

Restart-Service Netlogon

Replikations-Backlog bleibt hoch: Nach der Wiederherstellung pr\u00fcfen Sie den Backlog zwischen dem behobenen DC und seinen Partnern:

dfsrdiag Backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /sendingmember:DC01 /receivingmember:DC02

Wenn der Backlog nicht abnimmt, \u00fcberpr\u00fcfen Sie, ob der DFSR-Dienst auf beiden Seiten l\u00e4uft und ob die AD-Replikation gesund ist, indem Sie repadmin /replsummary verwenden.

Zusammenfassung

  • Der Event ID 4012 bedeutet, dass DFSR die Replikation eines Ordners (normalerweise SYSVOL) gestoppt hat und ohne manuelles Eingreifen nicht wieder aufnimmt
  • H\u00e4ufige Ursachen sind Journal Wrap, unerwartetes Herunterfahren, Datenbankbesch\u00e4digung und verl\u00e4ngerte Offline-Zeit, die MaxOfflineTimeInDays \u00fcberschreitet
  • Verwenden Sie Get-DfsrState, dfsrdiag und die Ereignisanzeige zur Diagnose des Umfangs und der Ursache
  • W\u00e4hlen Sie nicht-autoritative Synchronisation, wenn der betroffene DC SYSVOL von einem gesunden Partner beziehen soll (h\u00e4ufigste Behebung)
  • W\u00e4hlen Sie autoritative Synchronisation, wenn der betroffene DC die korrekten SYSVOL-Daten hat und sie an alle Partner senden soll
  • Die Behebung beinhaltet das Umschalten von msDFSR-Enabled in ADSIEDIT.MSC, Erzwingen der AD-Replikation und Ausf\u00fchren von DFSRDIAG POLLAD
  • \u00dcberpr\u00fcfen Sie die Wiederherstellung anhand des Event ID 4604 im DFS-Replikationsprotokoll
  • Bei anhaltenden Problemen untersuchen Sie die Festplattengesundheit, Netzwerkverbindung auf TCP-Port 5722 und die Integrit\u00e4t der DFSR-Datenbank

Verwandte Artikel