2008 AD组策略无法被应用及复制问题

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://bisheng.blog.51cto.com/409831/130503

环境:

两台DC均为Win08的系统,森林和域级别均为2003,AD的五个FSMO均在DC-01上,两个DC均为GC,GPO操作对象为DC-01。

表面现象:

最早是发现某些服务器在重启之后,某些应用的服务无法启动,在服务的属性配置里面,是以某个域用户身份启动的。检查日志以后发现,这些登陆操作因为拒绝,所以没有成功启动。之前在一个AD全局的GPO上已经配置了允许以服务登陆的设置,并添加了相关的两个域用户。

理论上,不应该存在拒绝登陆的问题。

深入问题:

然后我在AD当中专门新建了一个名为“logon as services”的安全组和OU。新建了一条“logon as services”的组策略,应用到整个AD上。并将AD全局GPO上的这个配置项取消。使得整个AD都只应用这条单独建立的这条GPO。

但是在客户端无论是重启还是gpupdate命令,从日志能够看到,组策略应用成功,但是配置并没有生效。用/force也一样。

根本原因:

通过用GP Result检查,发现客户端应用的GPO来自与DC-02,想到所有的操作都是在DC-01,怀疑是两台DC的GPO模板复制有问题。打开两台DC存放GPO的文件夹,发现果然DC-02上的GPO的修改时间是好几个月以前的。

但奇怪的是,在FRS复制日志中没有发生AD复制相关的警告和报错。

解决方案:

通过执行了以下步骤,最终解决了这个问题:

1.停止两台域控制器的NTFRS服务。

2.将DC-02(有问题的)的注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup的BurFlags值改为D2

3.将DC-01(正常的)的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup的BurFlags的值改为D4。

4.重启两台域控制器的NTFRS服务。

5.等待一段时间同步后,再强制进行活动目录站点的复制以及组策略的强制刷新。

另外,这里在提供一些类似问题解决办法的KB链接,虽然不是明确针对Win08的,但基本原理是一样的,了解相关的操作差异以后,一样能够得到帮助。

1. Using the BurFlags registry key to reinitialize File Replication Service replica sets

2. How to force a non-authoritative restore of the data in the Sysvol folder . a domain controller in Windows 2000 Server and in Windows Server 2003

 

 

本文出自 51CTO.COM技术博客

你可能感兴趣的:(职场,应用,休闲)