A SYSVOL é uma pasta crítica em controladores de domínio do Active Directory (AD) do Windows que replica automaticamente seu conteúdo entre todos os controladores de domínio no domínio. Ela é criada quando promovemos um servidor a controlador de domínio e é replicada a cada controlador ativo no ambiente. Se você tiver 5 controladores de domínio, por exemplo, no mesmo domínio, todos deverão ter uma cópia fiel da SYSVOL, além do próprio Active Directory.
A SYSVOL é uma pasta que por sua natureza deve ficar visível a todos dentro de um domínio, isso significa que todos os usuários do domínio tem permissão de leitura ativa.
Objetivo principal:
Armazenar arquivos importantes para o funcionamento do domínio: Isso inclui scripts de login, políticas de grupo (GPOs), scripts de inicialização e outros arquivos essenciais.
Disponibilizar esses arquivos para todos os computadores no domínio: Os computadores clientes podem acessar os arquivos da SYSVOL para aplicar configurações de política e executar scripts.
Características principais:
Replicação: A SYSVOL é replicada automaticamente entre todos os controladores de domínio no domínio, garantindo que todos os controladores tenham uma cópia idêntica dos arquivos importantes.
Tolerância a falhas: Se um controlador de domínio falhar, os outros controladores podem fornecer os arquivos da SYSVOL para os clientes, garantindo a continuidade das operações.
Gerenciada pelo serviço FRS ou DFS: A replicação da SYSVOL é gerenciada pelo serviço de replicação de arquivos (FRS) em versões mais antigas do Windows Server, ou pelo serviço de sistema de arquivos distribuídos (DFS) em versões mais recentes.
Acessível por meio de um caminho UNC: Os arquivos da SYSVOL podem ser acessados por meio de um caminho Universal Naming Convention (UNC), como \dominio.local\SYSVOL.
Segurança: A SYSVOL é protegida por permissões NTFS e pode ser configurada para replicação segura usando o protocolo Kerberos.
Importância:
Funcionalidade essencial do domínio: A SYSVOL é crucial para o funcionamento adequado do Active Directory e de seus recursos, como políticas de grupo.
Gerenciamento centralizado: A SYSVOL fornece um local centralizado para armazenar e gerenciar arquivos importantes que precisam ser distribuídos para todos os computadores do domínio.
Consistência e confiabilidade: A replicação automatizada garante que todos os controladores de domínio tenham uma cópia consistente dos arquivos, aumentando a confiabilidade e a disponibilidade.
Em resumo: a SYSVOL é uma pasta compartilhada crucial em controladores de domínio do Active Directory que armazena e replica automaticamente arquivos importantes para o funcionamento e gerenciamento do domínio.
Problemas de replicação da SYSVOL:
Importante: Os próximos passos só serão aplicáveis se os dados SYSVOL estiverem sendo replicados usando a Replicação Distribuída do File System (DFSR). Esse tem sido o método preferencial para replicar dados SYSVOL desde o Windows Server 2008.
No entanto, é possível que o método mais antigo, FRS (File Replication Service), ainda esteja em uso se o domínio existir por muito tempo. Para determinar se o DFSR está em uso, execute dfsrmig /getmigrationstate de um prompt de comando elevado em um controlador de domínio (DC). Se o estado de migração for "Eliminated", o DFSR está em uso.
A hierarquia de pastas SYSVOL, presente em todos os DCs do Active Directory, é usada para armazenar dois conjuntos importantes de dados:
Arquivos de modelo de Diretiva de Grupo: Eles são armazenados em pastas separadas abaixo de \\SYSVOL\<domain>\Policies.
Scripts de logon, logoff, inicialização e desligamento usados por máquinas no domínio: Eles são armazenados em \\SYSVOL\<domain>\scripts. A própria pasta scripts é compartilhada como NETLOGON.
Esses dados são replicados entre DCs, mas a replicação SYSVOL ocorre separadamente da replicação do Active Directory. É possível que um falhe enquanto o outro está totalmente funcional. Em algumas situações, a replicação SYSVOL pode falhar e não conseguir ser retomada sem intervenção manual. As etapas a seguir executam uma sincronização autorizada do SYSVOL.
Em uma sincronização autorizada, o DFSR inicializa o SYSVOL usando a cópia do próprio DC dos dados do SYSVOL. Isso se torna a cópia de origem do SYSVOL para o domínio. Uma sincronização autorizada será necessária se o DC com a cópia mais atualizada dos dados do SYSVOL for o DC no qual o DFSR parou de funcionar. Isso é implicitamente verdadeiro se houver apenas um DC no domínio.
As instruções para executar uma sincronização não autoritária de dados SYSVOL usando DFSR podem ser encontradas em Como executar uma sincronização não autorizada de dados SYSVOL usando DFSR (Distributed File System Replication, replicação de file system distribuído).
Nota: Este artigo não especifica qual DC deve ser escolhido como autorizado. Fazer isso pode levar algum tempo, especialmente em um domínio grande. Envolve examinar os dados SYSVOL em cada DC e determinar qual deles tem os dados mais completos e atualizados. O processo abaixo começa depois que um DC autorizado é escolhido.
Para executar uma sincronização autorizada de dados SYSVOL usando DFSR, execute estas etapas:
- No DC autorizado, inicie o console ADSI Edit (adsiedit.msc).
- Se Default naming context já estiver listado no painel esquerdo, vá para a próxima etapa. Caso contrário, execute as seguintes etapas para se conectar ao contexto de nomenclatura padrão:
- Clique com o botão direito do mouse no cabeçalho ADSI Edit no painel esquerdo e selecione Connect to...
- Selecione o botão de opção chamado Select a known Naming Context e selecione Default naming context na lista suspensa.
- Clique em OK. O contexto de nomenclatura padrão agora deve aparecer no painel esquerdo do console.
- No contexto de nomenclatura padrão, navegue até DC=domain > OU=Domain Controllers > CN=servername > CN=DFSR-LocalSettings > CN=Domain System Volume. Nesta etapa, servername representa o nome do DC que foi escolhido como autoritativo.
- Clique com o botão direito do mouse em CN=SYSVOL Subscription e selecione Properties.
- Clique duas vezes no atributo msDFSR-Enabled e defina seu valor como FALSE.
- Clique duas vezes no atributo msDFSR-Options e defina seu valor como 1.
- Clique em OK para fechar a janela de propriedades.
Repita as etapas 3 a 5, mas não a etapa 6, substituindo servername pelo nome de todos os outros DC no domínio. Em outras palavras, navegue até o objeto CN=SYSVOL Subscription de cada um dos outros DCs e defina seu atributo msDFSR-Enabled como FALSE. Não altere o valor do atributo msDFSR-Options .
Force a replicação do Active Directory em todo o domínio. Isso pode levar algum tempo, dependendo do tamanho e da topologia de replicação do domínio.
Em cada DC no domínio, execute dfsrdiag pollad em um prompt de comando elevado.
No DC autorizado, inicie o Visualizador de Eventos e confirme se o registro de eventos da Replicação DFS contém o evento 4114. Esse evento indica que o SYSVOL não está mais sendo replicado. (Este evento estará presente em todos os DCs, mas não é necessário verificar todos eles.)
Em ADSI Edit, navegue até o local na etapa 3 e defina o atributo msDFSR-Enabled como TRUE.
No DC autorizado, execute dfsrdiag pollad Em um prompt de comando elevado.
Verifique o log de eventos de replicação do DFS no DC autorizado para o evento 4602. Esse evento confirma que ocorreu uma sincronização autorizada do SYSVOL neste DC.
Repita a etapa 8, mas defina o atributo msDFSR-Enabled de cada DC como TRUE desta vez. Como antes, não altere o valor do atributo msDFSR-Options .
Force a replicação do Active Directory em todo o domínio.
Em todos os DCs, exceto o autorizado, execute dfsrdiag pollad uma última vez.
Em pelo menos um dos DCs não autorizados, confirme se os eventos 4614 e 4604 aparecem no log de eventos de replicação do DFS. Esses eventos indicam que esses DCs realizaram uma sincronização não autorizada do SYSVOL.
As etapas acima garantem que uma sincronização não autoritária do SYSVOL seja realizada em todos os outros DCs depois que a sincronização autorizada for executada no DC autorizado. Isso evita possíveis conflitos que surgem nos dados do SYSVOL.