首页 > 服务器 > Web服务器 > 正文

如何解决Win Server 2003 域控制器上缺少SYSVOL和NETLOGON共享的

2024-09-01 13:44:42
字体:
来源:转载
供稿:网友

现有域中的副本域控制器上通常会出现缺少 SYSVOL 和 NETLOGON 共享的情况,但是新域中的第一个域控制器上也可能会出现这种情况。可以对副本域控制器执行下面这些步骤,也可以对域中的第一个域控制器执行除复制特定步骤以外的所有这些步骤。 • NTDS 连接对象存在于每个复制伙伴的 DS 中。

NTDS 连接是单向连接。目录服务使用这些连接复制 Active Directory,“文件复制服务”(FRS) 使用这些连接来复制 SYSVOL 文件夹中系统策略的文件系统部分。“知识一致性检查器”(KCC) 负责建立 NTDS 连接对象以在域和林中的域控制器之间形成连接良好的拓朴。如果没有自动连接,管理员还可以创建手动连接对象。

使用“站点和服务”(Dssite.msc) 管理单元检查问题计算机和现有域控制器之间存在的连接对象。要在计算机 //M1 和 //M2 之间进行复制,//M1 必须具有来自 //M2 的入站连接对象,并且 //M2 必须具有来自 //M1 的入站连接对象。使用 Dssites.msc 中的连接到域控制器命令查看和比较每个域控制器的域内连接对象的透视图。

如果新副本成员没有连接对象,请使用 Dssites.msc 中的检查复制拓朴命令强制 KCC 创建自动连接对象。执行完此操作后,请按 F5 键以刷新视图。

如果 KCC 无法建立自动连接,管理员必须为没有指向或来自域中其他域控制器的入站或出站连接的域控制器建立手动连接对象。如果您建立了单个有效的手动连接对象,KCC 可以成功建立自动连接对象。从域中同一个域控制器中删除重复的手动或自动连接以避免出现禁止复制的配置。有关此问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
251250 (http://support.microsoft.com/kb/251250/EN-US/) NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist  
• Active Directory 复制在域中的新域控制器和现有域控制器之间进行。

使用 Repadmin.exe 确认是否以计划的复制间隔在同一域中的源域控制器和目标域控制器之间进行 Active Directory 复制。同一站点中域控制器之间的默认复制间隔是 5 分钟,不同站点中域控制器之间的默认复制间隔是 3 个小时,最短是 15 分钟。 
REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%

REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER% 
FRS 复制依赖 Active Directory 在域中的域控制器之间复制配置信息。如果您认为复制有问题,请在事件查看器中检查复制事件。在潜在源计算机 (//M1) 和目标计算机 (//M2) 上将以下注册表项中的“复制事件”项设置为 5,然后执行此操作:
HKEY_LOCAL_MACHINE/System/CCS/Services/NTDS/Diagnostics/
设置此项后,使用 Dssites.msc 中的立即复制命令或 REPLMON 中的等效命令,从 //M1 强制复制到 //M2并从 //M2 强制复制到 //M1。 
• 用于寻找 Active Directory 和 SYSVOL 文件夹的源的服务器应该已经自已创建了 NETLOGON 和 SYSVOL 共享。

在 Dcpromo.exe 程序重新启动计算机后,FRS 首先会尝试从以下“副本集父服务器”注册表项中标识的计算机寻找 SYSVOL 共享的源:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NTFRS/Parameters/SysVol/域名
注意:此项是临时的,在找到 SYSVOL 的源后或者成功复制了 SYSVOL 下的信息后,会将其删除。

Ntfrs.exe 的 2195 发行版禁止从此初始源服务器进行复制。这会延迟 SYSVOL 复制,直到 FRS 可以尝试通过自动或手动 NTDS 连接对象从域中的入站复制伙伴进行复制。

通常,域中所有潜在的源域控制器已经共享了 NETLOGON 和 SYSVOL 共享,并且已经应用了默认域和域控制器策略。

SYSVOL 文件夹结构: • domain • DO_NOT_REMOVE_NtFrs_PreInstall_Directory  
• Policies • {GUID} • Adm 
• MACHINE 
• USER 
 
• {GUID} • Adm 
• MACHINE 
• USER 
 
• {etc.,} 
• scripts 
• staging 
• staging areas 
• MyDomainName.com 
• scripts 
• sysvol(sysvol share) 
• MyDomainName.com 
• DO_NOT_REMOVE_NtFrs_PreInstall_Directory 
• Policies 
• {GUID} • Adm 
• MACHINE 
• USER 
 
• {GUID} • Adm 
• MACHINE 
• USER 
 
• {etc.,} 
 
• scripts(NETLOGON share) 
 
 
• 必须在域控制器组织单位中的默认域控制器策略中将“从网络访问这台计算机”权限授予“企业域控制器”组。

在使用 Dcpromo.exe 程序的过程中执行的 Active Directory 复制会使用“Active Directory 安装向导”中提供的凭据。重新启动时,会在域控制器的计算机帐户的上下文中进行复制。域中的所有源域控制器都必须成功复制并应用将“从网络访问这台计算机”权限授予“企业域控制器”组的策略。要进行快速验证,请在潜在源域控制器的应用程序日志中查找事件 1704。要进行详细验证,请针对 Basicdc.inf 模板运行安全配置分析并检查日志输出。请注意,这需要为 SYSVOL、DSLOG 和 DSIT 定义环境变量。 有关如何完成此操作的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
250454 (http://support.microsoft.com/kb/250454/EN-US/) Error Returned Importing Security Template 
在 Windows Server 2003 中,已经没有 Basicdc.inf 模板了。要重新应用默认设置或对当前设置与默认设置进行比较,请使用“安装 security.inf”模板。 
• 每个域控制器都必须能够解析 (ping) 加入副本集的计算机的完全限定计算机名称。

对于 SYSVOL,这意味着对域中所有域控制器的完全限定计算机名执行 ping 操作。确认 ping 命令返回的地址与每个副本集伙伴控制台中的 IPCONFIG 返回的 IP 地址一致。 
• FRS 服务必须已经创建了 NTFRS jet 数据库。

针对域中的每个域控制器运行 DIR //计算机名称/Admin$/NTFRS/Jet 命令,以确认 Ntfrs.jdb 文件是否存在。NTFRS 服务运行时,jet 数据库的数据和大小可能不正确。这种现象是设计所导致的。 
• 每个域控制器都必须是 SYSVOL 副本集的成员。

在所有副本集成员上,运行 NTFRSUTL DS [计算机名称] 命令。确认域中的所有域控制器都显示在 NTFRSUTL 输出的“SET:DOMAIN SYSTEMVOLUME (SYSVOL SHARE)”部分下。在查看菜单下打开“高级功能”时,SYSVOL 副本集及其成员也可以显示在“用户和计算机 (Dsa.msc)”管理单元中的 cn="domain system volume",cn=file replication service,cn=system,dc=FQDN 下。 
• 每个域控制器都必须是副本集的订户。

在所有副本集成员上,运行 NTFRSUTL DS [计算机名称] 命令。订户对象显示在 cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=DCNAME,OU=Domain Controllers,DC=FQDN 中。这要求计算机对象存在并且已经进行了复制。NTFRSUTL 可在缺少订户对象时生成以下消息:
SUBSCRIPTION:NTFRS SUBSCRIPTIONS DN :cn=ntfrs
subscriptions,cn=W2KPDC,ou=domain controllers,dc=d...Guid :
5c44b60b-8f01-48c6-8604c630a695dcdd
Working :f:/winnt/ntfrs
Actual Working:f:/winnt/ntfrs
WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET! 
• 必须打开“复制计划”。 
• 承载 SYSVOL 共享和暂存文件夹的逻辑驱动器在上游伙伴和下游伙伴中具有大量可用磁盘空间。例如,空间是您尝试复制的内容的 50% 以及所复制的最大文件大小的三倍。 
• 请检查新副本的目标文件夹和暂存文件夹(显示在“NTFRSUTL DS”中),以查看是否正在复制文件。暂存文件夹中的文件必须在被移向最终位置的进程中。暂存文件夹或目标文件夹中文件数量的不断变化,真是一个很有用的信号,我们可以由此了解到文件正在目标文件夹中进行复制,或者正在向目标文件夹转换。

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表