Windows 2000 域控制器上丢失 SYSVOL 和 NETLOGON 共享疑难解答

Windows 2000 域控制器上丢失 SYSVOL 和 NETLOGON 共享疑难解答 文章编号: 257338 - 查看本文应用于的产品 概要 文件复制服务 (FRS) 是一个取代 Microsoft Windows NT 3.x 和 4.0 中的 LMREPL 服务的多线程、多主复制引擎。Microsoft Windows 2000 域控制器和服务器使用 FRS 为 Windows 2000 和更早版本的客户端复制系统策略和登录脚本。  FRS 还可以在承载相同的容错 DFS 根目录或子节点副本的 Windows 2000 服务器之间复制内容。  本文介绍要在丢失 netlogon 和 sysvol 共享的 Windows 2000 域控制器上使用的疑难解答步骤。 更多信息 丢失 netlogon 和 sysvol 共享这一情况一般发生在现有域中的副本域控制器上，但是也可能会发生在某一新域的第一个域控制器上。以下步骤主要侧重于副本域控制器的情形，但如果忽略特定于复制的步骤，则这些步骤也适用于域中的第一个域控制器。 NTDS 连接对象存在于每一个复制伙伴的 DS 中。  NTDS 连接是单向连接，Directory Service 可用它们复制 Active Directory，文件复制服务 (FRS) 可用它们复制 SYSVOL 文件夹中系统策略的文件系统部分。“信息一致性检查器”(KCC) 负责构建 NTDS 连接对象，以便在域和目录林中的域控制器之间形成一个连接良好的拓扑结构。作为自动连接的替代方式，管理员还可以创建手动连接对象。  使用“站点和服务”(Dssite.msc) 管理单元检查有问题的计算机和现有域控制器之间的连接对象。对于发生在计算机 \\M1 和 \\M2 之间的复制，\\M1 应该有一个来自 \\M2 的入站连接对象，并且 \\M2 应该有一个来自 \\M1 的入站连接对象。使用 Dssite.msc 中的“连接到域控制器...”命令，查看并比较从域控制器的角度看的域内连接对象。  对于新的副本成员如果不存在连接对象，请使用 Dssite.msc 中的“检查复制拓扑”命令，强制 KCC 构建必需的自动连接对象（然后按 F5 键刷新视图）。  如果 KCC 不能构建自动连接，管理员应该介入，为那些与域中的其他域控制器没有入站或出站连接的域控制器构建手动连接对象。通常，构建一个能用的手动连接对象后即可允许 KCC 构建所需的自动连接对象。应删除来自域中同一域控制器的重复手动和/或自动连接，以避免出现下面 Microsoft 知识库文章中描述的复制阻塞配置： 251250 重复的 NTDS 连接对象存在时记录 NTFRS 事件 ID 13557 Active Directory 复制将在域中新的和现有的域控制器之间进行。  使用 Repadmin.exe 确认 Active Directory 复制是否正在以计划的复制间隔在同一域中的源域控制器和目标域控制器之间进行。在同一站点中域控制器之间的默认复制间隔是 5 分钟，不同站点中域控制器之间的默认复制间隔是每三小时一次（最低 15 分钟）。  REPADMIN /SHOWREPS %UPSTREAMCOMPUTER% REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%  FRS 复制依赖 Active Directory 在域中的域控制器之间复制必需的配置信息。如果怀疑复制有问题，请在潜在的源计算机 (\\M1) 和目标计算机 (\\M2) 上把 HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\ 中的“replication events”项设置为“5”，然后检查事件查看器中的复制事件，接下来使用 Dssite.msc 中的“立即复制”命令或 REPLMON 中与之等效的命令强制执行从 \\M1 到 \\M2 和从 \\M2 到 \\M1 的复制过程。 用于为 Active Directory 和 SYSVOL 文件夹提供源的服务器自己应当已创建了 NETLOGON 和 SYSVOL 共享。  在 Dcpromo.exe 程序重启计算机后，FRS 首先尝试从“Replica Set Parent”注册表项中标识的计算机为 SYSVOL 提供源，此注册表项位于下面的路径下： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName 注意：此项是临时的，一旦为 SYSVOL 提供了源或者已成功复制了 SYSVOL 下的信息，将删除此项。  2195 版的 Ntfrs.exe 阻止从该初始源服务器进行的复制，会将 SYSVOL 复制推迟到 FRS 能够尝试通过自动或手动 NTDS 连接对象从域中的一个入站复制伙伴执行复制以后进行。  域中所有潜在的源域控制器本身应该已经共享了 NETLOGON 和 SYSVOL 共享，并已应用了默认的域和域控制器策略。  SYSVOL 目录结构：  domain DO_NOT_REMOVE_NtFrs_PreInstall_Directory Policies {GUID} Adm MACHINE USER {GUID} Adm MACHINE USER {etc.,} scripts staging staging areas MyDomainName.com scripts sysvol(sysvol share) MyDomainName.com DO_NOT_REMOVE_NtFrs_PreInstall_Directory Policies {GUID} Adm MACHINE USER {GUID} Adm MACHINE USER {etc.,} scripts(NETLOGON share) 在域控制器 OU 上的默认域控制器策略中，应授予“企业域控制器”组“从网络访问这台计算机”的权限。  在使用 Dcpromo.exe 程序期间 Active Directory 的复制使用在 Active Directory 安装向导中指定的凭证。重新启动时，复制在域控制器的计算机帐户的上下文中进行。域中的所有源域控制器都必须成功地复制并应用向“企业域控制器”组授予“从网络访问这台计算机”这一权限的策略。若要快速验证，请在潜在源域控制器的应用程序日志中查找事件 1704。若要详细验证，请对照 Basicdc.inf 模板运行安全配置分析（要求分别为 SYSVOL、DSLOG 和 DSIT 定义环境变量） 250454 尝试使用 Windows 2000 中的“安全配置和分析”管理单元导入安全模板时收到“The data is invalid”（数据无效）错误信息 并检查生成的日志输出。  在升级到 Windows 2000 的 Windows NT 4.0 域上经常会丢失“从网络访问这台计算机”权限，从而导致 Active Directory 和 FRS 复制失败，并出现“access denied”（访问被拒绝）错误信息。 每一个域控制器都必须能够解析 (ping) 参与副本集的计算机的完全限定计算机名（%计算机名%.<域名>）。  对于 SYSVOL，这意味着对域中所有域控制器的完全限定计算机名执行 ping 命令。确认由 ping 命令返回的地址是否与在每一个副本集复制伙伴的控制台中由 IPCONFIG 返回的 IP 地址匹配。 FRS 服务必须已经创建了 NTFRS jet 数据库。 对域中的每一个域控制器运行“DIR \\\admin$\ntfrs\jet”，以确认 Ntfrs.jdb 文件存在。当 NTFRS 服务正在运行时，jet 数据库的日期和大小可能不正确（设计使然）。 每一个域控制器都必须是 SYSVOL 副本集的一个成员。  在所有的副本集成员上运行“NTFRSUTL DS [COMPUTERNAME]”。确认域中的所有域控制器是否显示在 NTFRSUTL 输出的“SET:DOMAIN SYSTEMVOLUME (SYSVOL SHARE)”部分下。当在视图菜单下启用“高级功能”时，SYSVOL 副本集及其成员也可以显示在“用户和计算机”(Dsa.msc) 管理单元中的 cn="domain system volume",cn=file replication service,cn=system,dc= 下。 每一个域控制器都必须是此副本集的订阅服务器。  在所有的副本集成员上运行“NTFRSUTL DS [COMPUTERNAME]”。订阅服务器对象出现在 cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC= 中。这要求机器对象存在而且已复制。NTFRSUTL 在订阅服务器对象丢失时将报告下面的内容： SUBSCRIPTION:NTFRS SUBSCRIPTIONS DN :cn=ntfrs subscriptions,cn=W2KPDC,ou=domain controllers,dc=d...Guid : 5c44b60b-8f01-48c6-8604c630a695dcdd Working :f:\winnt\ntfrs Actual Working:f:\winnt\ntfrs WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET! 必须启用复制计划。 承载 SYSVOL 共享和暂存文件夹的逻辑驱动器在上游和下游复制伙伴上拥有足够的可用磁盘空间。例如，要尝试复制的内容总量的 50% 和正在复制的最大文件大小的三倍。 检查新副本的目标文件夹和暂存文件夹（显示在“NTFRSUTL DS”中），看文件是否在被复制。暂存文件夹中的文件应当是正在向最终位置移动。暂存或目标文件夹中文件数量不断变化是一个好现象，这表示文件正在复制或转移到目标文件夹中。 注意：Ntfrsutl.exe 是 Windows 2000 Resource Kit 中的一个实用程序。 属性 文章编号: 257338 - 最后修改: 2006年10月10日 - 修订: 4.0 这篇文章中的信息适用于: Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Datacenter Server 关键字：  kbhowto kbtshoot kbnetwork KB257338 Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。 所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。