如何解决缺少 SYSVOL 和 NETLOGON 共享的问题 现有域中的副本域控制器上通常会出现缺少 SYSVOL 和 NETLOGON 共享的情况,但是新域中的第一个域控制器上也可能会出现这种情况。可以对副本域控制器执行下面这些步骤,也可以对域中的第一个域控制器执行除复制特定步骤以外的所有这些步骤。
?
NTDS 连接对象存在于每个复制伙伴的 DS 中。
NTDS 连接是单向连接。目录服务使用这些连接复制 Active Directory,“文件复制服务”(FRS) 使用这些连接来复制 SYSVOL 文件夹中系统策略的文件系统部分。“知识一致性检查器”(KCC) 负责建立 NTDS 连接对象以在域和林中的域控制器之间形成连接良好的拓朴。如果没有自动连接,管理员还可以创建手动连接对象。
使用“站点和服务”(Dssite.msc) 管理单元检查问题计算机和现有域控制器之间存在的连接对象。要在计算机 \\M1 和 \\M2 之间进行复制,\\M1 必须具有来自 \\M2 的入站连接对象,并且 \\M2 必须具有来自 \\M1 的入站连接对象。使用 Dssites.msc 中的连接到域控制器命令查看和比较每个域控制器的域内连接对象的透视图。
如果新副本成员没有连接对象,请使用 Dssites.msc 中的检查复制拓朴命令强制 KCC 创建自动连接对象。执行完此操作后,请按 F5 键以刷新视图。
如果 KCC 无法建立自动连接,管理员必须为没有指向或来自域中其他域控制器的入站或出站连接的域控制器建立手动连接对象。如果您建立了单个有效的手动连接对象,KCC 可以成功建立自动连接对象。从域中同一个域控制器中删除重复的手动或自动连接以避免出现禁止复制的配置。有关此问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251250 (http://support.microsoft.com/kb/251250/EN-US/) NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist
?
Active Directory 复制在域中的新域控制器和现有域控制器之间进行。
使用 Repadmin.exe 确认是否以计划的复制间隔在同一域中的源域控制器和目标域控制器之间进行 Active Directory 复制。同一站点中域控制器之间的默认复制间隔是 5 分钟,不同站点中域控制器之间的默认复制间隔是 3 个小时,最短是 15 分钟。
REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
FRS 复制依赖 Active Directory 在域中的域控制器之间复制配置信息。如果您认为复制有问题,请在事件查看器中检查复制事件。在潜在源计算机 (\\M1) 和目标计算机 (\\M2) 上将以下注册表项中的“复制事件”项设置为 5,然后执行此操作:
HKEY_LOCAL_MACHINE\System\CCS\Services\NTDS\Diagnostics\
设置此项后,使用 Dssites.msc 中的立即复制命令或 REPLMON 中的等效命令,从 \\M1 强制复制到 \\M2 并从 \\M2 强制复制到 \\M1。
?
用于寻找 Active Directory 和 SYSVOL 文件夹的源的服务器应该已经自已创建了 NETLOGON 和 SYSVOL 共享。
在 Dcpromo.exe 程序重新启动计算机后,FRS 首先会尝试从以下“副本集父服务器”注册表项中标识的计算机寻找 SYSVOL 共享的源:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\域名
注意:此项是临时的,在找到 SYSVOL 的源后或者成功复制了 SYSVOL 下的信息后,会将其删除。
Ntfrs.exe 的 2195 发行版禁止从此初始源服务器进行复制。这会延迟 SYSVOL 复制,直到 FRS 可以尝试通过自动或手动 NTDS 连接对象从域中的入站复制伙伴进行复制。
通常,域中所有潜在的源域控制器已经共享了 NETLOGON 和 SYSVOL 共享,并且已经应用了默认域和域控制器策略。
SYSVOL 文件夹结构:
?
domain
?
DO_NOT_REMOVE_NtFrs_PreInstall_Directory
?
Policies
?
{GUID}
?
Adm
?
MACHINE
?
USER
?
{GUID}
?
Adm
?
MACHINE
?
USER
?
{etc.,}
?
scripts
?
staging
?
staging areas
?
MyDomainName.com
?
scripts
?
sysvol(sysvol share)
?
MyDomainName.com
?
DO_NOT_REMOVE_NtFrs_PreInstall_Directory
?
Policies
?
{GUID}
?
Adm
?
MACHINE
?
USER
?
{GUID}
?
Adm
?
MACHINE
?
USER
?
{etc.,}
?
scripts(NETLOGON share)
?
必须在域控制器组织单位中的默认域控制器策略中将“从网络访问这台计算机”权限授予“企业域控制器”组。
在使用 Dcpromo.exe 程序的过程中执行的 Active Directory 复制会使用“Active Directory 安装向导”中提供的凭据。重新启动时,会在域控制器的计算机帐户的上下文中进行复制。域中的所有源域控制器都必须成功复制并应用将“从网络访问这台计算机”权限授予“企业域控制器”组的策略。要进行快速验证,请在潜在源域控制器的应用程序日志中查找事件 1704。要进行详细验证,请针对 Basicdc.inf 模板运行安全配置分析并检查日志输出。请注意,这需要为 SYSVOL、DSLOG 和 DSIT 定义环境变量。 有关如何完成此操作的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
250454 (http://support.microsoft.com/kb/250454/EN-US/) Error Returned Importing Security Template
在 Windows Server 2003 中,已经没有 Basicdc.inf 模板了。要重新应用默认设置或对当前设置与默认设置进行比较,请使用“安装 security.inf”模板。
?
每个域控制器都必须能够解析 (ping) 加入副本集的计算机的完全限定计算机名称。 |