NTFRS日志分析(13568&13508)

出现这个问题是由于在硬件的损坏，导致服务器未正确处理NTFS USN 日志。它记录了NTFS卷上的更改的内容，而FRS依赖于USN 日志来确定需要被复制到FRS的副本集的内容。这个错误可以通重新初始化USN 日志，使得FRS副本集的日志一致。

建议不要按照日志的提示进行操作，其实这种错误分二种情况：

第一种:所有域控中至少有一台是没记录错误ID：13568

1. 切换到CMD模式，运行net stop ntfrs命令停止FRS。

2. 运行Regedit 启动注册表编辑器，定位到以下位置：       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

3. 双击BurFlags，修改值为D2。（非授权还原）

5. 在CMD模式，输入 net start ntfrs 命令启动FRS。

第二种：所有域控都记录了错误ID：13568（单域单DC也属于这种情况）

1. 切换到CMD模式，运行net stop ntfrs命令停止FRS。

2. 运行Regedit 启动注册表编辑器，定位到以下位置：       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

3. 双击BurFlags，修改值为D4。（授权还原）

5. 在CMD模式，输入 net start ntfrs 命令启动FRS。

13508事件警告是一个普通的NTFRS事件，如果13509事件在13508警告之后被记录，那么就可以安全的

忽略该警告信息。我建议您做以下的测试，以便确定问题所在：

解决方法：

1. 在DC1 到Ping DC2 的FQDN，测试是否能够Ping通。

2. 检查事件查看器"文件复制服务"中是否有其他的错误信息。

3. 测试复制是否正常：

  可以在DC01上新建组策略，并在\domain\sysvol\domain\Policies\中发现对应的文件夹。

  等几分钟后，看DC2上的\domain\sysvol\domain\Policies\内是否也发现了同样的文件夹

如果此错误仅发生在重新启动服务器后，则很可能是该服务正试图在目录服务可用前进行身份验证。

本文出自 “邓方凯” 博客，转载请与作者联系！