AD灾难恢复后sysvol无法共享问题

其实这个问题,早就遇见过了,没怎么重视他。可是后来发现这个问题出现的频率还是很高的,转个文章以便留作后用
活动目录域AD灾难恢复后没有sysvol和NETLOGON共享:原来我们提到过 刚升级的额外域控制器没有自动共享sysvol与netlogon,今天再来看这个案例:WINDOWS 2000 AE SP4虚拟机上做测试,AD灾难恢复成功,第一次启动无法正常进入系统,能够进入安全系统,检查无误再次进入正常模式成功。检查共享,发现只有IPC默认共享。无SYSVOL和NETLOGON共享。C:\WINNT\SYSVOL下面只有一个DOMAIN目录,没有其他的。根据KB文章检查注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\backup/Restore\Process at Startup\BurFlags的值为00。停止了FRS服务,修改该值为D4,启动FRS服务,发现D4值被重置,无效。这台恢复的DC是一个主DC,生产环境有和其他4台DC通讯的。怎么解决?
回答:Sysvol内保存的主要是组策略的信息,在DC上更改某一级别的组策略后这一目录的内容会做响应更改,并在稍后复制到其他DC上。如果其他DC拥有完整的sysvol目录结构,那么内容还能被修复,否则可能将无法回复这部分信息。
请检查参考下面这篇KB检查您的sysvol目录内容是否完整:
Windows 2000 域控制器上丢失 SYSVOL 和 NETLOGON 共享疑难解答
http://support.microsoft.com/kb/257338/zh-cn

请在检查后说明您的SYSVOL目录受损情况,以便我们帮助您恢复其中的内容。也请检查其他DC,以便确定sysvol内容能否被恢复。
Netlogon共享应该会自动被重建,请尝试重启netlogon服务并观察共享是否被产生。具体的操作步骤如下:
1. 停止netlogon和NTFRS服务(net stop命令)。
2. 停止共享SYSVOL目录。
3. 重启netlogon和ntfrs服务。
4. 检查共享是否被建立了。
正常情况下,在 \\domain.com(您的域名)\SYSVOL\下的确只有一个domain.com的文件夹,该文件夹内保存的主要是组策略的信息,在DC上更改某一级别的组策略后这一目录的内容会做响应更改,并在稍后复制到其他DC上。只要是网络连接正常的DC都会互相复制sysvol的内容。您可以通过使用net share命令来查看sysvol和netlogon共享是否创建。

下面的这篇文章提供了详细的sysvol修复步骤,如果您的sysvol出现了问题,以参考步骤修复sysvol的结构:
Restoring and Rebuilding SYSVOL
http://technet2.microsoft.com/WindowsServer/en/library/21280b7f-9f14-4ff9-8c0d-ec0e555522f01033.mspx?mfr=true
上面这篇文章中涉及的一些工具可以从下面这个连接获得:
Windows Server 2003 Resource Kit Tools
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
-----------------------------------------------------
如何解决缺少 SYSVOL 和 NETLOGON 共享的问题
现有域中的副本域控制器上通常会出现缺少 SYSVOL 和 NETLOGON 共享的情况,但是新域中的第一个域控制器上也可能会出现这种情况。可以对副本域控制器执行下面这些步骤,也可以对域中的第一个域控制器执行除复制特定步骤以外的所有这些步骤。 • NTDS 连接对象存在于每个复制伙伴的 DS 中。

NTDS 连接是单向连接。目录服务使用这些连接复制 Active Directory,“文件复制服务”(FRS) 使用这些连接来复制 SYSVOL 文件夹中系统策略的文件系统部分。“知识一致性检查器”(KCC) 负责建立 NTDS 连接对象以在域和林中的域控制器之间形成连接良好的拓朴。如果没有自动连接,管理员还可以创建手动连接对象。

使用“站点和服务”(Dssite.msc) 管理单元检查问题计算机和现有域控制器之间存在的连接对象。要在计算机 \\M1 和 \\M2 之间进行复制,\\M1 必须具有来自 \\M2 的入站连接对象,并且 \\M2 必须具有来自 \\M1 的入站连接对象。使用 Dssites.msc 中的连接到域控制器命令查看和比较每个域控制器的域内连接对象的透视图。

如果新副本成员没有连接对象,请使用 Dssites.msc 中的检查复制拓朴命令强制 KCC 创建自动连接对象。执行完此操作后,请按 F5 键以刷新视图。

如果 KCC 无法建立自动连接,管理员必须为没有指向或来自域中其他域控制器的入站或出站连接的域控制器建立手动连接对象。如果您建立了单个有效的手动连接对象,KCC 可以成功建立自动连接对象。从域中同一个域控制器中删除重复的手动或自动连接以避免出现禁止复制的配置。有关此问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251250 ( http://support.microsoft.com/kb/251250/EN-US/) NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist  
• Active Directory 复制在域中的新域控制器和现有域控制器之间进行。

使用 Repadmin.exe 确认是否以计划的复制间隔在同一域中的源域控制器和目标域控制器之间进行 Active Directory 复制。同一站点中域控制器之间的默认复制间隔是 5 分钟,不同站点中域控制器之间的默认复制间隔是 3 个小时,最短是 15 分钟。
REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%

REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
FRS 复制依赖 Active Directory 在域中的域控制器之间复制配置信息。如果您认为复制有问题,请在事件查看器中检查复制事件。在潜在源计算机 (\\M1) 和目标计算机 (\\M2) 上将以下注册表项中的“复制事件”项设置为 5,然后执行此操作:
HKEY_LOCAL_MACHINE\System\CCS\Services\NTDS\Diagnostics\
设置此项后,使用 Dssites.msc 中的立即复制命令或 REPLMON 中的等效命令,从 \\M1 强制复制到 \\M2 并从 \\M2 强制复制到 \\M1。
• 用于寻找 Active Directory 和 SYSVOL 文件夹的源的服务器应该已经自已创建了 NETLOGON 和 SYSVOL 共享。

在 Dcpromo.exe 程序重新启动计算机后,FRS 首先会尝试从以下“副本集父服务器”注册表项中标识的计算机寻找 SYSVOL 共享的源:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\域名
注意:此项是临时的,在找到 SYSVOL 的源后或者成功复制了 SYSVOL 下的信息后,会将其删除。

Ntfrs.exe 的 2195 发行版禁止从此初始源服务器进行复制。这会延迟 SYSVOL 复制,直到 FRS 可以尝试通过自动或手动 NTDS 连接对象从域中的入站复制伙伴进行复制。

通常,域中所有潜在的源域控制器已经共享了 NETLOGON 和 SYSVOL 共享,并且已经应用了默认域和域控制器策略。

SYSVOL 文件夹结构: • domain • DO_NOT_REMOVE_NtFrs_PreInstall_Directory  
• Policies • {GUID} • Adm
• MACHINE
• USER

• {GUID} • Adm
• MACHINE
• USER

• {etc.,}
• scripts
• staging
• staging areas
• MyDomainName.com
• scripts
• sysvol(sysvol share)
• MyDomainName.com
• DO_NOT_REMOVE_NtFrs_PreInstall_Directory
• Policies
• {GUID} • Adm
• MACHINE
• USER

• {GUID} • Adm
• MACHINE
• USER

• {etc.,}

• scripts(NETLOGON share)


• 必须在域控制器组织单位中的默认域控制器策略中将“从网络访问这台计算机”权限授予“企业域控制器”组。

在使用 Dcpromo.exe 程序的过程中执行的 Active Directory 复制会使用“Active Directory 安装向导”中提供的凭据。重新启动时,会在域控制器的计算机帐户的上下文中进行复制。域中的所有源域控制器都必须成功复制并应用将“从网络访问这台计算机”权限授予“企业域控制器”组的策略。要进行快速验证,请在潜在源域控制器的应用程序日志中查找事件 1704。要进行详细验证,请针对 Basicdc.inf 模板运行安全配置分析并检查日志输出。请注意,这需要为 SYSVOL、DSLOG 和 DSIT 定义环境变量。 有关如何完成此操作的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
250454 ( http://support.microsoft.com/kb/250454/EN-US/) Error Returned Importing Security Template
在 Windows Server 2003 中,已经没有 Basicdc.inf 模板了。要重新应用默认设置或对当前设置与默认设置进行比较,请使用“安装 security.inf”模板。
• 每个域控制器都必须能够解析 (ping) 加入副本集的计算机的完全限定计算机名称。

对于 SYSVOL,这意味着对域中所有域控制器的完全限定计算机名执行 ping 操作。确认 ping 命令返回的地址与每个副本集伙伴控制台中的 IPCONFIG 返回的 IP 地址一致。
• FRS 服务必须已经创建了 NTFRS jet 数据库。

针对域中的每个域控制器运行 DIR \\计算机名称\Admin$\NTFRS\Jet 命令,以确认 Ntfrs.jdb 文件是否存在。NTFRS 服务运行时,jet 数据库的数据和大小可能不正确。这种现象是设计所导致的。
• 每个域控制器都必须是 SYSVOL 副本集的成员。

在所有副本集成员上,运行 NTFRSUTL DS [计算机名称] 命令。确认域中的所有域控制器都显示在 NTFRSUTL 输出的“SET:DOMAIN SYSTEMVOLUME (SYSVOL SHARE)”部分下。在查看菜单下打开“高级功能”时,SYSVOL 副本集及其成员也可以显示在“用户和计算机 (Dsa.msc)”管理单元中的 cn="domain system volume",cn=file replication service,cn=system,dc=FQDN 下。
• 每个域控制器都必须是副本集的订户。

在所有副本集成员上,运行 NTFRSUTL DS [计算机名称] 命令。订户对象显示在 cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=DCNAME,OU=Domain Controllers,DC=FQDN 中。这要求计算机对象存在并且已经进行了复制。NTFRSUTL 可在缺少订户对象时生成以下消息:
SUBSCRIPTION:NTFRS SUBSCRIPTIONS DN :cn=ntfrs
subscriptions,cn=W2KPDC,ou=domain controllers,dc=d...Guid :
5c44b60b-8f01-48c6-8604c630a695dcdd
Working :f:\winnt\ntfrs
Actual Working:f:\winnt\ntfrs
WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
• 必须打开“复制计划”。
• 承载 SYSVOL 共享和暂存文件夹的逻辑驱动器在上游伙伴和下游伙伴中具有大量可用磁盘空间。例如,空间是您尝试复制的内容的 50% 以及所复制的最大文件大小的三倍。
• 请检查新副本的目标文件夹和暂存文件夹(显示在“NTFRSUTL DS”中),以查看是否正在复制文件。暂存文件夹中的文件必须在被移向最终位置的进程中。暂存文件夹或目标文件夹中文件数量的不断变化,真是一个很有用的信号,我们可以由此了解到文件正在目标文件夹中进行复制,或者正在向目标文件夹转换。
也可以手动解决此问题,即将sysvol的共享权限加入everyone即可

你可能感兴趣的:(职场,休闲,SYSVOL,共享问题,AD灾难恢复)