Risolvere i problemi relativi alle condivisioni SYSVOL e NETLOGON mancanti nei controller di dominio Windows

Questo articolo descrive i passaggi per la risoluzione dei problemi da usare nei controller di dominio windows 2000 che mancano di condivisioni netlogon e sysvol.

Si applica a: Windows Server 2008 R2 Service Pack 1
Numero KB originale: 257338

Riepilogo

Il servizio replica file (FRS) è un motore di replica multithreading multimaster che sostituisce il servizio LMREPL in Windows NT 3.x e 4.0. I controller di dominio e i server Windows 2000 usano FRS per replicare i criteri di sistema e gli script di accesso per i client Windows 2000 e di livello inferiore.

FrS può anche replicare il contenuto tra server Windows 2000 che ospitano le stesse radici DFS a tolleranza di errore o repliche di nodi figlio.

Ulteriori informazioni

Le condivisioni netlogon e sysvol mancanti si verificano in genere nei controller di dominio di replica in un dominio esistente, ma possono verificarsi anche nel primo controller di dominio di un nuovo dominio. I passaggi seguenti sono più diretti allo scenario del controller di dominio di replica, ma possono essere applicati al primo controller di dominio nel dominio ignorando i passaggi specifici della replica.

1. Gli oggetti connessione NTDS esistono nel DS di ogni partner di replica.

   I Connections NTDS sono connessioni unidirezionali usate dal servizio directory per replicare Active Directory e dal servizio replica file (FRS) per replicare la parte del file system dei criteri di sistema nella cartella SYSVOL. Knowledge Consistency Checker (KCC) è responsabile della compilazione di oggetti connessione NTDS per formare una topologia ben connessa tra i controller di dominio nel dominio e nella foresta. Al posto delle connessioni automatiche, gli amministratori possono anche creare oggetti di connessione manuali.

   Usare lo snap-in "Siti e servizi" (Dssite.msc) per esaminare gli oggetti di connessione esistenti tra il computer problema e i controller di dominio esistenti. Affinché la replica venga eseguita tra il computer \\M1 e \\M2, \\M1 deve avere un oggetto connessione in ingresso da \\M2 e \\M2 un oggetto connessione in ingresso da \\M1. Usare "Connetti al controller di dominio..." in Dssite.msc per visualizzare e confrontare ogni prospettiva dei controller di dominio degli oggetti connessione all'interno del dominio.

   Se non sono presenti oggetti di connessione per il nuovo membro di replica, usare il comando Controlla topologia di replica in Dssite.msc per forzare KCC a compilare gli oggetti di connessione automatica necessari (premere F5 per aggiornare la visualizzazione in seguito).

   Se KCC non è in grado di creare connessioni automatiche, gli amministratori devono intervenire creando oggetti di connessione manuali per i controller di dominio che non dispongono di connessioni in ingresso o in uscita da o verso altri controller di dominio nel dominio. Spesso, la creazione di un singolo oggetto di connessione manuale funzionante consente a KCC di compilare gli oggetti di connessione automatica desiderati. Le connessioni manuali e/o automatiche duplicate dallo stesso controller di dominio nel dominio devono essere eliminate per evitare una configurazione di blocco della replica.

2. La replica di Active Directory viene eseguita tra i controller di dominio nuovi ed esistenti nel dominio.

   Usare Repadmin.exe per verificare che la replica di Active Directory venga eseguita tra i controller di dominio di origine e di destinazione nello stesso dominio nell'intervallo di replica pianificato. Gli intervalli di replica predefiniti sono cinque minuti tra i controller di dominio nello stesso sito e una volta ogni tre ore tra i controller di dominio in siti diversi (minimo 15 minuti).

   REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
   REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
   

   La replica frs dipende da Active Directory per replicare le informazioni di configurazione necessarie tra i controller di dominio nel dominio. Se la replica è sospetta, esaminare gli eventi di replica in Visualizzatore eventi dopo aver impostato la voce "eventi di replica" in HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\ su 5 nei computer di origine potenziali (\\M1) e nel computer di destinazione (\\M2), forzando quindi la replica da \\M1 a \\M2 e \\M2 a \\M1 usando il comando "replica ora" in Dssite.msc o il relativo equivalente in REPLMON.

3. Il server utilizzato per l'origine della cartella Active Directory e SYSVOL deve avere creato le condivisioni NETLOGON e SYSVOL.

   Dopo il riavvio del computer da parte del programma Dcpromo.exe, FRS tenta innanzitutto di eseguire l'origine di SYSVOL dal computer identificato nella chiave del Registro di sistema "Set di repliche padre" in:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName

   Nota

   Questa chiave è temporanea e viene eliminata dopo l'origine SYSVOL o la replica delle informazioni in SYSVOL.

   La versione 2195 di Ntfrs.exe impedisce la replica da questo server di origine iniziale, ritardando la replica SYSVOL fino a quando FRS non può tentare la replica da un partner di replica in ingresso nel dominio tramite un oggetto connessione NTDS automatico o manuale.

   Tutti i controller di dominio di origine potenziali nel dominio devono avere condiviso le condivisioni NETLOGON e SYSVOL e applicato i criteri predefiniti di dominio e controller di dominio.

   Struttura di directory SYSVOL:

   • dominio
     • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
     • Criteri
       • {GUID}
         • Ammiraglio
         • MACCHINA
         • UTENTE
       • {GUID}
         • Ammiraglio
         • MACCHINA
         • UTENTE
       • {etc.,}
     • Script
   • Gestione temporanea
   • aree di staging
     • MyDomainName.com
   • Script
   • sysvol(sysvol share)
     • MyDomainName.com
       • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
       • Criteri
         • {GUID}
           • Ammiraglio
           • MACCHINA
           • UTENTE
         • {GUID}
           • Ammiraglio
           • MACCHINA
           • UTENTE
         • {etc.,}
       • scripts (condivisione NETLOGON)

4. Al gruppo "Controller di dominio aziendali" deve essere concesso il diritto "Accedere a questo computer dalla rete" nei criteri dei controller di dominio predefiniti nell'unità organizzativa controller di dominio.

   La replica di Active Directory durante l'uso del programma Dcpromo.exe usa le credenziali specificate nell'Installazione guidata Active Directory. Al riavvio, la replica si verifica nel contesto dell'account computer del controller di dominio. Tutti i controller di dominio di origine nel dominio devono eseguire correttamente la replica e applicare i criteri che concedono al gruppo "Controller di dominio aziendali" il diritto "Accedi al computer dalla rete". Per una verifica rapida, cercare l'evento 1704s nel registro applicazioni di potenziali controller di dominio di origine. Per una verifica dettagliata, eseguire l'analisi della configurazione della sicurezza nel modello Basicdc.inf (è necessario definire le variabili di ambiente per SYSVOL, DSLOG e DSIT ed esaminare l'output del log risultante.

   Il diritto "Accedi a questo computer dalla rete" è spesso mancante nei domini di Windows NT 4.0 aggiornati a Windows 2000. Questo problema causa l'esito negativo della replica di Active Directory e FRS con messaggi di errore "accesso negato".

5. Ogni controller di dominio deve essere in grado di risolvere (ping) i nomi di computer completi (%nome computer%.<nome> di dominio) dei computer che partecipano al set di repliche.

   Per SYSVOL, questo passaggio significa effettuare il ping del nome del computer FQ di tutti i controller di dominio nel dominio. Verificare che l'indirizzo restituito dal comando ping corrisponda all'indirizzo IP restituito da IPCONFIG nella console di ogni partner del set di repliche.

6. Il servizio FRS deve aver creato un database jet NTFRS.

   Eseguire DIR \\<computername>\admin$\ntfrs\jet su ogni controller di dominio nel dominio per confermare la presenza del file NTfrs.jdb. La data e le dimensioni del database jet potrebbero non essere corrette durante l'esecuzione del servizio NTFRS (per impostazione predefinita).

7. Ogni controller di dominio deve essere un membro del set di repliche SYSVOL.

   Eseguire NTFRSUTL DS [COMPUTERNAME] su tutti i membri del set di repliche. Verificare che tutti i controller di dominio nel dominio siano visualizzati nella parte "SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)" dell'output NTFRSUTL. Il set di replica SYSVOL e i relativi membri possono essere visualizzati anche nello snap-in Cn="volume del sistema di dominio",cn=servizio di replica file,cn=system,dc=<FQDN> nello snap-in Utente e computer (Dsa.msc) quando "Funzionalità avanzate" è abilitato nel menu Visualizza .

8. Ogni controller di dominio deve essere un sottoscrittore del set di repliche.

   Eseguire NTFRSUTL DS [COMPUTERNAME] su tutti i membri del set di repliche. L'oggetto Sottoscrittore viene visualizzato in cn=domain system volume (condivisione SYSVOL),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<FQDN>. Per eseguire questo comando è necessario che l'oggetto computer esista e sia stato replicato in . NTFRSUTL segnala quanto segue quando l'oggetto sottoscrittore è mancante:

   SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN: cn=ntfrs  
   subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid:  
   5c44b60b-8f01-48c6-8604c630a695dcdd  
   Working: f:\winnt\ntfrs  
   Actual Working: f:\winnt\ntfrs  
   WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
   

9. La pianificazione della replica deve essere abilitata.

10. L'unità logica che ospita la condivisione SYSVOL e la cartella di gestione temporanea ha molto spazio su disco disponibile nei partner upstream e downstream. Ad esempio, il 50% della quantità di contenuto che si sta tentando di replicare e tre volte la dimensione massima del file da replicare.

11. Controllare la cartella di destinazione e la cartella di staging (visualizzata in "NTFRSUTL DS") della nuova replica per verificare se i file sono in fase di replica. I file nella cartella di gestione temporanea devono essere in corso di spostamento nella posizione finale. Il fatto che il numero di file nella cartella di staging o di destinazione sia in continua evoluzione è un buon segno perché entrambi i file vengono replicati o sottoposti a transizione alla cartella di destinazione.