2008 AD组策略无法被应用及复制问题

版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://bisheng.blog.51cto.com/409831/130503

环境：

两台DC均为Win08的系统，森林和域级别均为2003，AD的五个FSMO均在DC-01上，两个DC均为GC，GPO操作对象为DC-01。

表面现象：

最早是发现某些服务器在重启之后，某些应用的服务无法启动，在服务的属性配置里面，是以某个域用户身份启动的。检查日志以后发现，这些登陆操作因为拒绝，所以没有成功启动。之前在一个AD全局的GPO上已经配置了允许以服务登陆的设置，并添加了相关的两个域用户。

理论上，不应该存在拒绝登陆的问题。

深入问题：

然后我在AD当中专门新建了一个名为“logon as services”的安全组和OU。新建了一条“logon as services”的组策略，应用到整个AD上。并将AD全局GPO上的这个配置项取消。使得整个AD都只应用这条单独建立的这条GPO。

但是在客户端无论是重启还是gpupdate命令，从日志能够看到，组策略应用成功，但是配置并没有生效。用/force也一样。

根本原因：

通过用GP Result检查，发现客户端应用的GPO来自与DC-02，想到所有的操作都是在DC-01，怀疑是两台DC的GPO模板复制有问题。打开两台DC存放GPO的文件夹，发现果然DC-02上的GPO的修改时间是好几个月以前的。

但奇怪的是，在FRS复制日志中没有发生AD复制相关的警告和报错。

解决方案：

通过执行了以下步骤，最终解决了这个问题：

1.停止两台域控制器的NTFRS服务。

2.将DC-02（有问题的）的注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup的BurFlags值改为D2

3.将DC-01（正常的）的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup的BurFlags的值改为D4。

4.重启两台域控制器的NTFRS服务。

5.等待一段时间同步后，再强制进行活动目录站点的复制以及组策略的强制刷新。

另外，这里在提供一些类似问题解决办法的KB链接，虽然不是明确针对Win08的，但基本原理是一样的，了解相关的操作差异以后，一样能够得到帮助。

1. Using the BurFlags registry key to reinitialize File Replication Service replica sets

2. How to force a non-authoritative restore of the data in the Sysvol folder . a domain controller in Windows 2000 Server and in Windows Server 2003

 

 

本文出自 51CTO.COM技术博客