《组策略找不到域服务器解决方法重建SYSVOL和NETLOGON共享.docx》由会员分享,可在线阅读,更多相关《组策略找不到域服务器解决方法重建SYSVOL和NETLOGON共享.docx(14页珍藏版)》请在金锄头文库上搜索。
1、故障:错误内容:在点AD上XXX.COM属性中的组策略时,跳出对话框显示“找不到XXX.COM的域控制器”,对话框中的内容为:“用于组策略操作的域控制器不可用。您可以在会话中取消这个操作,或再试用下列的域控制器选项:1、具有PDC模拟器操作主令牌的域控制器。2、由AD管理单元的域控制器。3、使用任何可用的域控制器。”前言对Windows活动目录有所了解的管理员应该对SYSVOL不陌生,它是用来存储域公共文件服务器副本的共享文件夹,例如我们用得最多的组策略设置、脚本等都是存在这个共享目录中的。如果组织内有多台域控制器,那么它们就在域中所有的域控制器之间通过FRS服务相互复制。而NETLOGON共
2、享则是SYSVOL目录中一个文件夹Scripts的共享名,顾名思义就是用来保存脚本信息的。SYSVOL文件夹的重要性不想多说,然而有的时候它就偏偏出问题,导致活动目录AD故障层出,通常组策略无法执行,在域控制器或成员机器上的事件日志中每隔5分钟就记录ID号为1058和1030的错误消息,让人很是恼火。而通常遇得最多的SYSVOL问题就是如下两种:1.SYSVOL和NETLOGON共享丢失。这种情况在辅助域控制器上通常会出现,但有时也在第一台域控制器上也可能会出现这种情况。另外,当对活动目录执行灾难还原后也有可能遇到这个情况2.管理员有意或无意的删除了整个或部分SYSVOL目录中的文件,这种情况
3、在管理员误操作时遇得比较多,我就曾遇到有人将SYSVOL迁移到E盘,然后误操作将E盘格式化OK,不管是什么原因导致出现以上两个问题,总之我将在这篇文章中着手解决这两个问题,希望对大家有帮助环境DC:在这里我就只用了一台DC做演示。如果你的环境中有多台DC,操作和本文章类似。操作步骤一、1.先来解决第一个常见问题,假设只是SYSVOL和NETLOGOGN共享丢失,但是文件夹结构尚在。这个问题比较好解决。为了模拟故障,我手动将SYSVOL共享取消了。如图1和22.打开注册表编辑器,找到如下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtF
4、rsParametersBackup/RestoreProcess at Startup然后在右边找到BurFlags,将其值改为D4(16进制)后退出,如图33.再分别运行如下命令重启相关服务,如图4Net stop netlogon & net start netlogonNet stop ntfrs & net start ntfrs4.这个时候我们再来看看SYSVOL共享有没有恢复。如图5、6所示,丢失的SYSVOL共享和NETLOGON共享已经成功恢复。(注:第2步修改的注册表键值会在第3步操作后自动清除回到默认值)二、在接下来的演示中,我将SYSVOL文件夹全部删除,然后大家分享一
5、下如何重建SYSVOL目录树中的内容和重建共享1.如图7所示,我已经手动将SYSVOL目录都删除来模拟故障2.由于操作系统并不会自动重建SYSVOL的目录结构,所以我们需要手动按照原有的实际结构来建立。SYSVOL 文件夹结构: domain DO_NOT_REMOVE_NtFrs_PreInstall_Directory Policies GUID Adm MACHINE USER GUID Adm MACHINE USER etc., scripts staging staging areas MyDomainN scripts sysvol(sysvol share) MyDomainN
6、 DO_NOT_REMOVE_NtFrs_PreInstall_Directory Policies GUID Adm MACHINE USER GUID Adm MACHINE USER etc., scripts(NETLOGON share)上面的文件夹结构是不是看花了?没关系,看我的具体操作:a.在windows目录下新建一个文件夹叫SYSVOLb.在c:windowssysvol目录下再新建一个文件夹:domain、staging、staging areas、sysvolc.在C:WINDOWSSYSVOLdomain目录下新建两个文件夹:Policies和Scriptsd.在C:W
7、INDOWSSYSVOLstaging目录下新建一个文件夹:domaine.在C:WINDOWSSYSVOLstaging areas目录下新建一个和域名相同的文件夹,例如我的是,那么就在该目录新建文件夹f. 和步骤e一样,在C:WINDOWSSYSVOLsysvol目录也新建一个和域名相同的文件夹,如C:WINDOWSSYSVOL,至此文件夹的结构被我们重建得差不多了。3.由于接下来我们需要用到两个小工具,所以要在域控制器上安装Windows 2003 Resource kit,下载地址为:http:/ stop ntfrs & net start ntfrs5.重启服务后,NTFRS服务会
8、自动帮我们完善前面的SYSVOL目录结构,例如添加相应目录的隐藏属性、增加DO_NOT_REMOVE_NtFrs_PreInstall_Directory隐藏文件夹等等。运行如下命令后,得出如图8的结果表示正常ntfrsutl ds |findstr /i root stage然后利用Linkd程序来挂接相应的目录,创建如下两个交接点: (注:交接点外表像文件夹而且运转也像文件夹(在 Windows Explorer 中无法将它们与普通文件夹区分开来),但它们不是文件夹。交接点包含了与另一文件夹的链接。程序打开它时,交接点会自动将程序重新定向至交接点所链接的文件夹。而重新定向对于用户和应用程序
9、是完全透明的。SYSVOL系统卷就是采用的这种文件夹结构)a. C:WINDOWSSYSVOLSYSVOL域名- (挂接到) C:WINDOWSSYSVOLDOMAIN b.C:WINDOWSSYSVOLstaging areas域名 -(挂接到)C:WINDOWSSYSVOLstagingdomain具体命令为:a. 在“开始“”运行”中输入”cmd”,然后在打开的”命令提示窗口”输入:Linkd %systemroot%SYSVOLSYSVOL %systemroot%SYSVOLDOMAIN 如图9所示Linkd %systemroot%SYSVOLstaging %systemroo
10、t%SYSVOLstagingdomain 如图10所示b. 最好再验证一下前面的挂接操作是否都成功了,如图11:6.打开注册表编辑器,找到如下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtFrsParametersCumulative Replica SetsGUID,其中GUID是类似f791c404-f37f-4634-9899d59d9397871e这样的字符串值。然后找到右边的BurFlags,同样将其修改为D4,完成后退出注册表编辑器,如图12(注:第6步修改的注册表键值会在第7步操作后自动清除回到默认值)7.运行如下命
11、令重启服务:Net stop ntfrs & net start ntfrs8.激动人心的时候来了,此时打开SYSVOL目录和输入net share命令,会发现SYSVOL和NETLOGON共享都重建出来了。如图13、149. 整个步骤进行到这里,似乎可以告一段落了。但是你在域控制器上仍有可能继续收到1058、1030的错误信息,如图15、16.这是为什么呢?输入UNC路径后,的确能看到SYSVOL和NETLOGON共享啊。如图17.10. 其实并不是我们操作错误,而是在这个演示中,我为了彻底重建SYSVOL目录将之前的删除了,所以同时也删除了所有的域策略,例如就删除了系统默认的两条策略“域安
12、全策略”和“域控制器安全策略”。因为GPO策略信息是以文件的形式保存在C:WINDOWSSYSVOL domainPolicies这个路径下的。尽管我们重建了SYSVOL目录,但是并没有重建策略文件,所以导致事件日志报错。当然,“域安全策略”和“域控制器安全策略”也就无法打开咯,如图1811. 如何解决上面的问题呢?我认为至少有3个方法可以解决:a.最简单也是最值得推荐的方法就是直接从别的域控制器上将以上的策略文件拷贝到该域控制的C:WINDOWSSYSVOLPolicies目录下。如图19。不要告诉我你没有其他域控制器,重新安装一台虚拟机总是可以的吧。(注:31B2F340-016D-11D
13、2-945F-00C04FB984F9是“域安全策略”的文件策略; 6AC1786C-016F-11D2-945F-00C04fB984F9是“域控制器安全策略”的策略文件)b.如果您以前曾通过GPMC备份过GPO,那么直接还原过去即可。这种方法是最没有副作用的。不止能还原系统默认的GPO,还能还原自定义的GPO设置。c.如果没有做过GPO的备份,又懒得从其他域控制器拷贝,那么还有一个办法是使用工具直接重建这两条策略,方法是安装Resource Kit后运行命令dcgpofix /target:both。这个命令会重新建立这两条策略到域控制器刚安装好时的默认状态,既然是重建那么你曾在这两条策略上做的设置都会清空,这点请注意。(注:运
