Cenário comum: um novo controlador de domínio (DC) foi promovido e os compartilhamentos SYSVOL/NETLOGON não apareceram. Este guia prático mostra como diagnosticar, entender os estados do DFS Replication (DFSR) e corrigir o problema com segurança.
Antes de começar
Descubra quem porta as FSMO (PDC Emulator é referência para GPO)
O PDC Emulator é a referência para edição de GPOs e vira “primary member” durante a migração ou re-inicialização do SYSVOL via DFSR, mas não é o “responsável” pela replicação em si.
netdom query fsmo
Verifique o estado do SYSVOL em todos os DCs
Use o WMI para consultar o estado do objeto “SYSVOL Share” em todos os controladores de domínio:
wmic /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo where "replicatedfoldername='SYSVOL Share'" get state
Mapa dos estados (DFSR)
|
State |
Significado (curto) |
|
0 |
Não inicializado |
|
1 |
Inicializado (parado) |
|
2 |
Sincronização inicial (initial sync) |
|
3 |
Auto?recovery (recuperação automática) |
|
4 |
Normal/Ativo (saudável; apenas deltas) |
|
5 |
Em erro (replicação parada) |
Enquanto o estado for 2 (initial sync), os compartilhamentos SYSVOL/NETLOGON não aparecem; ao chegar em 4, a replicação está normal e os compartilhamentos devem estar presentes.
Eventos do DFSR que “batem” com os estados
Verifique o compartilhamento do Sysvol e Netlogon em todos os DCs
Net share
Verifique o Backlog no DC Secundário
dfsrdiag Backlog ^
/SendingMember: ^
/ReceivingMember: ^
/RGName:"Domain System Volume" ^
/RFName:"SYSVOL Share"
Sinais de que está tudo certo
Observação sobre portas
Histórico: a porta TCP 5722 foi usada pelo DFSR em controladores de domínio Windows Server 2008/2008 R2. A partir do Windows Server 2012, o DFSR utiliza RPC (TCP 135) e portas dinâmicas altas (49152–65535). Em ambientes legados 2008/2008 R2, ainda é válido testar a 5722.
Estudo de caso: SYSVOL preso no state 2
Sintomas: replicação do SYSVOL parada no state 2 no DC primário e secundário. O DC primário havia sido restaurado de snapshot e ficou não?autoritativo.
Passo a passo aplicado:
1) Backup dos arquivos do SYSVOL.
2) Limpeza de DNS e “Active Directory Sites and Services”.
3) Testes de replicação do AD DS.
4) Parar o serviço DFSR em todos os DCs.
net stop dfsr
5) Tornar o DC principal como autoritativo via ADSI Edit:
ADSI Edit → CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR?LocalSettings,CN=,OU=Domain Controllers,DC=
Atribua no DC autoritativo:
Nos demais DCs:
6) Replicar o AD e subir apenas o autoritativo:
7) Validar 4602 no Event Viewer e, então, habilitar/ligar os demais DCs:
8) Monitorar o backlog até zerar
dfsrdiag Backlog ^
/SendingMember: ^
/ReceivingMember: ^
/RGName:"Domain System Volume" ^
/RFName:"SYSVOL Share"
Resultado: arquivos replicados, compartilhamento ativado e todos os DCs em state 4 (Normal/Ativo).
Apêndice — comandos úteis
Referências
Microsoft Learn — How to troubleshoot missing SYSVOL and Netlogon shares (KB 2958414, atualizado em 15/01/2025). Inclui o comando WMI para checar o state e a relação com eventos 4602/4614/4604/2213/4012. https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/troubleshoot-missing-sysvol-and-netlogon-shares
Microsoft Learn — Service overview and network port requirements (DFSR: 135, 5722 em 2008/2008 R2; portas dinâmicas 49152–65535 em 2012+). https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements
Se ainda precisar de apoio técnico, fale com um de nossos especialistas através do link https://www.01it.com.br/contato
