2008 AD组策略无法被应用及复制问题

环境：

两台 DC 均为 Win08 的系统，森林和域级别均为 2003 ， AD 的五个 FSMO 均在 DC-01 上，两个 DC 均为 GC ， GPO 操作对象为 DC-01 。

 

表面现象：

最早是发现某些服务器在重启之后，某些应用的服务无法启动，在服务的属性配置里面，是以某个域用户身份启动的。检查日志以后发现，这些登陆操作因为拒绝，所以没有成功启动。之前在一个 AD 全局的 GPO 上已经配置了允许以服务登陆的设置，并添加了相关的两个域用户。

理论上，不应该存在拒绝登陆的问题。

 

深入问题：

然后我在 AD 当中专门新建了一个名为“ logon as services ”的安全组和 OU 。新建了一条“ logon as services ”的组策略，应用到整个 AD 上。并将 AD 全局 GPO 上的这个配置项取消。使得整个 AD 都只应用这条单独建立的这条 GPO 。

但是在客户端无论是重启还是 gpupdate 命令，从日志能够看到，组策略应用成功，但是配置并没有生效。用 /force 也一样。

 

根本原因：

通过用 GP Result 检查，发现客户端应用的 GPO 来自与 DC-02 ，想到所有的操作都是在 DC-01 ，怀疑是两台 DC 的 GPO 模板复制有问题。打开两台 DC 存放 GPO 的文件夹，发现果然 DC-02 上的 GPO 的修改时间是好几个月以前的。

但奇怪的是，在 FRS 复制日志中没有发生 AD 复制相关的警告和报错。

 

解决方案：

通过执行了以下步骤，最终解决了这个问题：

1. 停止两台域控制器的 NTFRS 服务。

2. 将 DC-02 （有问题的）的注册表项 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup 的 BurFlags 值改为 D2

3. 将 DC-01 （正常的）的注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup 的 BurFlags 的值改为 D4 。

4. 重启两台域控制器的 NTFRS 服务。

5. 等待一段时间同步后，再强制进行活动目录站点的复制以及组策略的强制刷新。

 

另外，这里在提供一些类似问题解决办法的 KB 链接，虽然不是明确针对 Win08 的，但基本原理是一样的，了解相关的操作差异以后，一样能够得到帮助。

1. Using the BurFlags registry key to reinitialize File Replication Service replica sets

2. How to force a non-authoritative restore of the data in the Sysvol folder . a domain controller in Windows 2000 Server and in Windows Server 2003