Problembehandlung bei fehlenden SYSVOL- und NETLOGON-Freigaben auf Windows-Domänencontrollern

In diesem Artikel werden die Schritte zur Problembehandlung beschrieben, die auf Windows 2000-Domänencontrollern verwendet werden müssen, bei denen netlogon- und sysvol-Freigaben fehlen.

Gilt für: Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer: 257338

Zusammenfassung

Der Dateireplikationsdienst (File Replication Service, FRS) ist eine Multithread-Replikations-Engine mit mehreren master, die den LMREPL-Dienst in Windows NT 3.x und 4.0 ersetzt. Windows 2000-Domänencontroller und -Server verwenden FRS zum Replizieren von Systemrichtlinien- und Anmeldeskripts für Windows 2000- und down-level-Clients.

FRS kann auch Inhalte zwischen Windows 2000-Servern replizieren, die dieselben fehlertoleranten DFS-Stammstrukturen oder untergeordnete Knotenreplikate hosten.

Weitere Informationen

Fehlende netlogon- und sysvol-Freigaben treten in der Regel auf Replikatdomänencontrollern in einer vorhandenen Domäne auf, können aber auch auf dem ersten Domänencontroller in einer neuen Domäne auftreten. Die folgenden Schritte beziehen sich eher auf das Replikatdomänencontrollerszenario, können jedoch auf den ersten Domänencontroller in der Domäne angewendet werden, indem die replikationsspezifischen Schritte ignoriert werden.

1. NTDS-Verbindungsobjekte sind im DS jedes Replikationspartners vorhanden.

   NTDS-Connections sind unidirektionale Verbindungen, die vom Verzeichnisdienst zum Replizieren von Active Directory und vom Dateireplikationsdienst (File Replication Service, FRS) verwendet werden, um den Dateisystemteil der Systemrichtlinie im SYSVOL-Ordner zu replizieren. Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) ist für das Erstellen von NTDS-Verbindungsobjekten verantwortlich, um eine gut verbundene Topologie zwischen Domänencontrollern in der Domäne und gesamtstruktur zu bilden. Anstelle automatischer Verbindungen können Administratoren auch manuelle Verbindungsobjekte erstellen.

   Verwenden Sie das Snap-In "Sites and Services" (Dssite.msc), um die Verbindungsobjekte zu untersuchen, die zwischen dem Problemcomputer und vorhandenen Domänencontrollern vorhanden sind. Damit die Replikation zwischen Computer \\M1 und \\M2 erfolgt, muss \\M1 über ein eingehendes Verbindungsobjekt von \\M2 und \\M2 über ein eingehendes Verbindungsobjekt von \\M1 verfügen. Verwenden Sie die Option "Verbindung mit Domänencontroller herstellen..." befehl in Dssite.msc, um die einzelnen Domänencontrollerperspektiven der domäneninternen Verbindungsobjekte anzuzeigen und zu vergleichen.

   Wenn keine Verbindungsobjekte für das neue Replikatelement vorhanden sind, verwenden Sie den Befehl Replikationstopologie überprüfen in Dssite.msc, um KCC zu erzwingen, die erforderlichen automatischen Verbindungsobjekte zu erstellen (drücken Sie F5, um die Ansicht anschließend zu aktualisieren).

   Wenn KCC keine automatischen Verbindungen herstellen kann, sollten Administratoren eingreifen, indem sie manuelle Verbindungsobjekte für Domänencontroller erstellen, die keine eingehenden oder ausgehenden Verbindungen mit oder von anderen Domänencontrollern in der Domäne haben. Das Erstellen eines einzelnen arbeitsfähigen manuellen Verbindungsobjekts ermöglicht es KCC häufig, die gewünschten automatischen Verbindungsobjekte zu erstellen. Doppelte manuelle und/oder automatische Verbindungen vom gleichen Domänencontroller in der Domäne sollten gelöscht werden, um eine Replikationsblockierungskonfiguration zu vermeiden.

2. Die Active Directory-Replikation findet zwischen den neuen und vorhandenen Domänencontrollern in der Domäne statt.

   Verwenden Sie Repadmin.exe, um zu bestätigen, dass die Active Directory-Replikation zwischen den Quell- und Zieldomänencontrollern in derselben Domäne im geplanten Replikationsintervall stattfindet. Die Standardreplikationsintervalle betragen fünf Minuten zwischen Domänencontrollern am gleichen Standort und einmal alle drei Stunden zwischen Domänencontrollern an verschiedenen Standorten (mindestens 15 Minuten).

   REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
   REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
   

   Die FRS-Replikation ist vom Active Directory abhängig, um die erforderlichen Konfigurationsinformationen zwischen Domänencontrollern in der Domäne zu replizieren. Wenn replikationsverdächtig ist, überprüfen Sie Replikationsereignisse in Ereignisanzeige, nachdem Sie den Eintrag "Replikationsereignisse" auf HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\ "5" auf potenziellen Quellcomputern (\\M1) und dem Zielcomputer (\\M2) festgelegt haben, und erzwingen Sie dann die Replikation von \\M1 auf \\M1, indem Sie den Befehl "jetzt replizieren" in Dssite.msc oder dessen Entsprechung in REPLMON verwenden.

3. Der Server, der für die Quelle des Active Directory- und SYSVOL-Ordners verwendet wird, sollte selbst NETLOGON- und SYSVOL-Freigaben erstellt haben.

   Nachdem das Dcpromo.exe Programm den Computer neu gestartet hat, versucht FRS zunächst, das SYSVOL von dem Computer zu beziehen, der im Registrierungsschlüssel "Replica Set Parent" unter identifiziert ist:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName

   Hinweis

   Dieser Schlüssel ist temporär und wird gelöscht, sobald SYSVOL abgerufen wurde oder die Informationen unter SYSVOL erfolgreich repliziert wurden.

   Das Release 2195 von Ntfrs.exe verhindert die Replikation von diesem ursprünglichen Quellserver und verzögert die SYSVOL-Replikation, bis FRS die Replikation von einem eingehenden Replikationspartner in der Domäne über ein automatisches oder manuelles NTDS-Verbindungsobjekt versuchen kann.

   Alle potenziellen Quelldomänencontroller in der Domäne sollten selbst die NETLOGON- und SYSVOL-Freigaben gemeinsam nutzen und die Standardrichtlinie für Domänen und Domänencontroller angewendet haben.

   SYSVOL-Verzeichnisstruktur:

   • domain
     • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
     • Richtlinien
       • {GUID}
         • Adm
         • MASCHINE
         • USER
       • {GUID}
         • Adm
         • MASCHINE
         • USER
       • {etc.,}
     • Skripts
   • Staging
   • Stagingbereiche
     • MyDomainName.com
   • Skripts
   • sysvol(sysvol share)
     • MyDomainName.com
       • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
       • Richtlinien
         • {GUID}
           • Adm
           • MASCHINE
           • USER
         • {GUID}
           • Adm
           • MASCHINE
           • USER
         • {etc.,}
       • Scripts(NETLOGON-Freigabe)

4. Der Gruppe "Unternehmensdomänencontroller" sollte der "Zugriff auf diesen Computer aus dem Netzwerk" direkt in der Standardrichtlinie für Domänencontroller auf der Organisationseinheit der Domänencontroller gewährt werden.

   Die Replikation von Active Directory während der Verwendung des Dcpromo.exe-Programms verwendet die Anmeldeinformationen, die im Active Directory-Installations-Assistenten angegeben sind. Beim Neustart erfolgt die Replikation im Kontext des Computerkontos des Domänencontrollers. Alle Quelldomänencontroller in der Domäne müssen erfolgreich replizieren und die Richtlinie anwenden, die der Gruppe "Unternehmensdomänencontroller" das Recht "Zugriff auf diesen Computer aus dem Netzwerk" gewährt. Zur schnellen Überprüfung suchen Sie im Anwendungsprotokoll potenzieller Quelldomänencontroller nach einem Ereignis 1704s . Führen Sie zur ausführlichen Überprüfung eine Sicherheitskonfigurationsanalyse für die Vorlage Basicdc.inf aus (erfordert das Definieren von Umgebungsvariablen für SYSVOL, DSLOG und DSIT, und untersuchen Sie die resultierende Protokollausgabe.

   In Windows NT 4.0-Domänen, die auf Windows 2000 aktualisiert wurden, fehlt häufig das Recht "Auf diesen Computer aus dem Netzwerk zugreifen". Dieses Problem führt dazu, dass die Active Directory- und FRS-Replikation mit der Fehlermeldung "Zugriff verweigert" nicht erfolgreich ist.

5. Jeder Domänencontroller muss in der Lage sein, die vollqualifizierten Computernamen (%Computername%) aufzulösen (pingen).<Domänenname>) von Computern, die an der Replikatgruppe teilnehmen.

   Für SYSVOL bedeutet dieser Schritt das Pingen des FQ-Computernamens aller Domänencontroller in der Domäne. Vergewissern Sie sich, dass die vom ping-Befehl zurückgegebene Adresse mit der IP-Adresse übereinstimmt, die von IPCONFIG in der Konsole jedes Replikatgruppenpartners zurückgegeben wird.

6. Der FRS-Dienst muss eine NTFRS-Jet-Datenbank erstellt haben.

   Führen Sie DIR \\<computername>\admin$\ntfrs\jet für jeden Domänencontroller in der Domäne aus, um das Vorhandensein der Datei NTfrs.jdb zu bestätigen. Das Datum und die Größe der Jet-Datenbank sind möglicherweise falsch, während der NTFRS-Dienst ausgeführt wird (standardmäßig).

7. Jeder Domänencontroller muss Mitglied der SYSVOL-Replikatmenge sein.

   Führen Sie NTFRSUTL DS [COMPUTERNAME] für alle Replikatgruppenmember aus. Vergewissern Sie sich, dass alle Domänencontroller in der Domäne unter dem Teil "SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)" der NTFRSUTL-Ausgabe angezeigt werden. Die SYSVOL-Replikatmenge und ihre Member können auch unter cn="domain system volume",cn=file replication service,cn=system,dc=<FQDN> im Snap-In User and Computers (Dsa.msc) angezeigt werden, wenn "Erweiterte Features" im Menü Ansicht aktiviert ist.

8. Jeder Domänencontroller muss ein Abonnent der Replikatmenge sein.

   Führen Sie NTFRSUTL DS [COMPUTERNAME] für alle Replikatgruppenmember aus. Das Abonnentenobjekt wird in cn=Domain System Volume (SYSVOL-Freigabe),cn=NTFRS-Abonnements,CN=%DCNAME%,OU=Domänencontroller,DC=<FQDN> angezeigt. Die Ausführung dieses Befehls erfordert, dass das Computerobjekt vorhanden ist und in repliziert wurde. NTFRSUTL meldet Folgendes, wenn das Abonnentenobjekt fehlt:

   SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN: cn=ntfrs  
   subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid:  
   5c44b60b-8f01-48c6-8604c630a695dcdd  
   Working: f:\winnt\ntfrs  
   Actual Working: f:\winnt\ntfrs  
   WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
   

9. Der Replikationszeitplan muss aktiviert sein.

10. Das logische Laufwerk, auf dem die SYSVOL-Freigabe und der Stagingordner gehostet werden, verfügt auf Upstream- und Downstreampartnern über viel verfügbaren Speicherplatz. Beispielsweise 50 Prozent der Menge an Inhalten, die Sie replizieren möchten, und dreimal die größte Dateigröße, die repliziert wird.

11. Überprüfen Sie den Zielordner und den Stagingordner (angezeigt in "NTFRSUTL DS") des neuen Replikats, um festzustellen, ob Dateien repliziert werden. Dateien im Stagingordner sollten gerade an den endgültigen Speicherort verschoben werden. Dass sich die Anzahl der Dateien im Staging- oder Zielordner ständig ändert, ist ein gutes Zeichen, da beide Dateien in repliziert oder in den Zielordner übergehen.