Rozwiązywanie problemów z brakującymi udziałami SYSVOL i NETLOGON na kontrolerach domeny z systemem Windows 2000

Streszczenie

Usługa replikacji plików (FRS, File Replication Service) jest wielowątkowym aparatem replikacji wielu wzorców, który zastępuje usługę LMREPL w systemach Microsoft Windows NT w wersji 3.x i 4.0. Kontrolery domeny i serwery z systemem Windows 2000 używają usługi FRS do replikacji zasad systemowych i skryptów logowania dla klientów z systemem Windows 2000 i starszymi wersjami systemu Windows.


Za pomocą usługi FRS można również replikować zawartość między serwerami z systemem Windows 2000, które obsługują te same odporne na uszkodzenia repliki katalogów głównych systemu DFS lub węzłów podrzędnych.


W tym artykule opisano procedury rozwiązywania problemów wykonywane na kontrolerach domeny z systemem Windows 2000 w przypadku braku udziałów netlogon i sysvol.

Więcej informacji

Problemy związane z brakiem udziałów netlogon i sysvol zazwyczaj występują na replikach kontrolerów domeny w istniejącej domenie, jednak mogą również występować na pierwszym kontrolerze domeny w nowej domenie. Następujące kroki są związane raczej ze scenariuszem repliki kontrolera domeny, jednak mogą być również wykonane na pierwszym kontrolerze domeny w domenie po zignorowaniu kroków specyficznych dla replikacji.

 1. Obiekty połączeń NTDS istnieją w usłudze katalogowej (DS) partnera replikacji.


  Połączenia NTDS są jednokierunkowymi połączeniami używanymi przez usługę katalogową do replikacji usługi Active Directory i usługę FRS do replikacji części systemu plików związanej z zasadami systemowymi w folderze SYSVOL. Usługa KCC (Knowledge Consistency Checker) jest odpowiedzialna za konstruowanie obiektów połączeń NTDS w celu utworzenia rozbudowanej topologii połączeń między kontrolerami domeny w domenie i lesie. Zamiast połączeń automatycznych administratorzy mogą również tworzyć obiekty połączeń ręcznych.


  Korzystając z przystawki „Lokacje i usługi” (Dssite.msc), należy zbadać istniejące obiekty połączeń między komputerem, na którym występuje ten problem, oraz kontrolerami domeny. Aby wykonać replikację między komputerami \\M1 i \\M2, komputer \\M1 powinien dysponować obiektem połączenia przychodzącego z komputera \\M2, a komputer \\M2 powinien dysponować obiektem połączenia przychodzącego z komputera \\M1. Korzystając z polecenia „Podłącz do kontrolera domeny...” w przystawce Dssite.msc, można przeglądać i porównywać obiekty połączeń wewnątrz domeny z perspektywy poszczególnych kontrolerów domeny.


  Jeżeli nie istnieją żadne obiekty połączeń dla nowego członka repliki, należy użyć polecenia Sprawdź topologię replikacji w przystawce Dssite.msc, aby zmusić usługę KCC do skonstruowania niezbędnych obiektów połączeń automatycznych (następnie należy nacisnąć klawisz F5, aby odświeżyć widok).


  Jeżeli usługa KCC nie może skonstruować połączeń automatycznych, administratorzy powinni interweniować, konstruując obiekty połączeń ręcznych dla kontrolerów domeny bez połączeń przychodzących lub wychodzących, skierowanych do lub od kontrolerów domeny w domenie. Skonstruowanie pojedynczego roboczego obiektu połączenia ręcznego często umożliwia usłudze KCC skonstruowanie żądanych obiektów połączeń automatycznych. Duplikaty połączeń ręcznych i/lub automatycznych z tego samego kontrolera domeny w domenie powinny być usunięte w celu uniknięcia konfiguracji powodującej blokowanie replikacji, udokumentowanej w następującym artykule w bazie wiedzy Microsoft Knowledge Base:
  251250 NTFRS event ID 13557 is recorded when duplicate NTDS connection objects exist

 2. Replikacja usługi Active Directory jest wykonywana między nowymi oraz istniejącymi kontrolerami domeny w domenie.


  Korzystając z narzędzia Repadmin.exe, należy potwierdzić, że replikacja usługi Active Directory jest wykonywana między źródłowymi i docelowymi kontrolerami domeny w tej samej domenie w zaplanowanym interwale replikacji. Domyślne interwały replikacji to pięć minut między kontrolerami domeny w tej samej lokacji i trzy godziny między kontrolerami domeny w różnych lokacjach (minimum 15 minut).


  REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
  REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%


  Replikacja usługi FRS jest zależna od replikowania niezbędnych informacji konfiguracyjnych przez usługę Active Directory między kontrolerami domeny w domenie. Jeżeli można przypuszczać, że wystąpiły błędy podczas replikacji, należy zbadać zdarzenia związane z replikacją w Podglądzie zdarzeń po skonfigurowaniu wpisu „zdarzeń replikacji” w kluczu

  HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\
  z wartością „5” na potencjalnych komputerach źródłowych (\\M1) i na komputerze docelowym (\\M2), a następnie wymuszeniu replikacji z \\M1 do \\M2 i \\M2 do \\M1 przy użyciu polecenia „Replikuj teraz” w przystawce Dssite.msc lub odpowiedniego polecenia w programie REPLMON.
 3. Serwer pełniący funkcję źródła folderu usługi Active Directory i SYSVOL powinien samodzielnie utworzyć udziały NETLOGON i SYSVOL.


  Po ponownym uruchomieniu komputera przez program Dcpromo.exe usługa FRS w pierwszej kolejności usiłuje wykorzystać jako źródło udział SYSVOL na komputerze identyfikowanym w kluczu rejestru „Replica Set Parent” w następującej lokalizacji:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\NazwaDomeny
  UWAGA: Ten klucz tymczasowy jest usuwany po wykorzystaniu źródłowego udziału SYSVOL lub pomyślnym replikowaniu informacji w udziale SYSVOL.


  Wersja 2195 programu Ntfrs.exe uniemożliwia replikację z tego wstępnego serwera źródłowego, opóźniając replikację udziału SYSVOL aż do chwili, kiedy usługa FRS może podjąć próbę replikacji z partnera replikacji przychodzącej w domenie za pośrednictwem obiektu automatycznego lub ręcznego połączenia NTDS.


  Wszystkie potencjalne źródłowe kontrolery domeny w domenie powinny samodzielnie udostępnić udziały NETLOGON i SYSVOL oraz zastosować domyślne zasady domeny i kontrolerów domeny.


  Struktura katalogu SYSVOL:
  • domena
   • DO_NOT_REMOVE_NtFrs_PreInstall_Directory (Katalog instalacji wstępnej NtFrs – nie usuwać)
   • Policies (zasady)
    • identyfikator {GUID}
     • Adm
     • MACHINE
     • USER
    • identyfikator {GUID}
     • Adm
     • MACHINE
     • USER
    • {itd.,}
   • scripts (skrypty)
  • staging (przemieszczanie)
  • staging areas (obszary przemieszczania)
   • NazwaMojejDomeny.com
  • scripts (skrypty)
  • sysvol(sysvol share)
   • NazwaMojejDomeny.com
    • DO_NOT_REMOVE_NtFrs_PreInstall_Directory (Katalog instalacji wstępnej NtFrs – nie usuwać)
    • Policies (zasady)
     • identyfikator {GUID}
      • Adm
      • MACHINE
      • USER
     • identyfikator {GUID}
      • Adm
      • MACHINE
      • USER
     • {itd.,}
    • scripts(NETLOGON share)
 4. Grupie „Kontrolery domeny przedsiębiorstwa” należy udzielić prawa „Uzyskiwanie dostępu do tego komputera z sieci” w domyślnych zasadach kontrolerów domeny w odniesieniu do jednostki organizacyjnej (OU) kontrolerów domeny.


  Replikacja usługi Active Directory podczas korzystania z programu Dcpromo.exe jest związana z wykorzystaniem poświadczeń określonych w Kreatorze instalacji usługi Active Directory. Po ponownym uruchomieniu replikacja jest wykonywana w kontekście konta komputera kontrolera domeny. Wszystkie źródłowe kontrolery domeny w domenie muszą pomyślnie replikować i zastosować zasady udzielające grupie „Kontrolery domeny przedsiębiorstwa” prawa „Uzyskiwanie dostępu do tego komputera z sieci”. Aby umożliwić szybką weryfikację, należy odszukać zdarzenie 1704s w dzienniku aplikacji potencjalnych źródłowych kontrolerów domeny. W celu szczegółowej weryfikacji należy wykonać szczegółową analizę konfiguracji zabezpieczeń w odniesieniu do szablonu Basicdc.inf. Wymagane jest zdefiniowanie zmiennych środowiskowych dla SYSVOL, DSLOG i DSIT zgodnie z zaleceniami zamieszczonymi w następującym artykule:
  250454 You receive the "The data is invalid" error message when you try to import a security template by using the Security Configuration and Analysis snap-in in Windows 2000

  Następnie należy zbadać dziennik wynikowy.


  Prawo „Uzyskiwanie dostępu do tego komputera z sieci” często nie jest udzielane w przypadku domen systemu Windows NT 4.0 uaktualnianych do systemu Windows 2000, dlatego próba replikacji usług Active Directory i FRS kończy się niepowodzeniem i wyświetlane są komunikaty o błędach związane z „odmową dostępu”.


 5. Każdy kontroler domeny musi być zdolny do rozpoznawania (ping) w pełni kwalifikowanych nazw komputerów (%nazwa komputera%.<nazwa domeny>) uwzględnionych w zestawie replik.


  W przypadku udziału SYSVOL oznacza to badanie (ping) w pełni kwalifikowanej (FQ) nazwy komputera wszystkich kontrolerów domeny w domenie. Należy potwierdzić, że adres zwrócony przez polecenie ping jest zgodny z adresem IP zwróconym przez polecenie IPCONFIG na konsoli każdego partnera uwzględnionego w zestawie replik.
 6. Usługa FRS musi wcześniej utworzyć bazę danych JET usługi NTFRS.

  Należy uruchomić aparat „DIR \\<nazwa_komputera>\admin$\ntfrs\jet” w odniesieniu do każdego kontrolera domeny w domenie, aby potwierdzić dostępność pliku NTfrs.jdb. Dane i rozmiar bazy danych JET mogą być niepoprawne wtedy, gdy usługa NTFRS jest uruchomiona (jest to zgodne z projektem oprogramowania).
 7. Każdy kontroler domeny musi być członkiem zestawu replik udziału SYSVOL.


  Należy wykonać polecenie „NTFRSUTL DS [NAZWA_KOMPUTERA]” w odniesieniu do wszystkich członków zestawu replik. Należy potwierdzić, że wszystkie kontrolery domeny w domenie są uwzględnione w części „SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)” danych wyjściowych polecenia NTFRSUTL. Elementy reprezentujące zestaw replik udziału SYSVOL i członków tego zestawu mogą być również wyświetlane w węźle cn="domain system volume",cn=file replication service,cn=system,dc=<FQDN> w przystawce Użytkownicy i komputery (Dsa.msc), jeżeli opcja „Funkcje zaawansowane” jest włączona w menu Widok.
 8. Każdy kontroler domeny musi być subskrybentem zestawu replik.


  Należy wykonać polecenie „NTFRSUTL DS [NAZWA_KOMPUTERA]” w odniesieniu do wszystkich członków zestawu replik. Obiekt subskrybenta jest widoczny w węźle cn=wolumin systemowy domeny (udział SYSVOL),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<FQDN>. Wymagane jest utworzenie i replikowanie obiektu komputera. Raport polecenia NTFRSUTL zawiera następujące informacje w przypadku braku obiektu subskrybenta:
  SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN : cn=ntfrs subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid :
  5c44b60b-8f01-48c6-8604c630a695dcdd
  Working : f:\winnt\ntfrs
  Actual Working: f:\winnt\ntfrs
  WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET! (Kontroler WIN2K-PDC nie jest członkiem zestawu replik!)
 9. Konieczne jest włączenie harmonogramu replikacji.
 10. Na dysku logicznym obsługującym udział SYSVOL i folder przemieszczania dostępna jest duża ilość wolnego miejsca na partnerach na wyższym i niższym poziomie. Na przykład 50 procent replikowanej zawartości i trzykrotnie więcej niż rozmiar największego replikowanego pliku.
 11. Należy sprawdzić folder docelowy i folder przemieszczania (wyświetlany przez polecenie „NTFRSUTL DS”) nowej repliki, aby upewnić się, że pliki są replikowane. Pliki w folderze przemieszczania powinny być przenoszone do ostatecznej lokalizacji. Liczba plików w folderze przemieszczania lub folderze docelowym powinna zmieniać się nieustannie, potwierdzając replikowanie plików lub przenoszenie plików do folderu docelowego.
UWAGA: Narzędzie Ntfrsutl.exe uwzględniono w zestawie Windows 2000 Resource Kit.
Właściwości

Identyfikator artykułu: 257338 — ostatni przegląd: 06.06.2006 — zmiana: 1

Opinia