Устранение неполадок с отсутствующими общими ресурсами SYSVOL и NETLOGON на контроллерах домена Windows

В этой статье описаны действия по устранению неполадок для использования на контроллерах домена Windows 2000, в которых отсутствуют общие ресурсы netlogon и sysvol.

Применимо к: Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 257338

Сводка

Служба репликации файлов (FRS) — это многопоточное подсистема репликации с несколькими master, которая заменяет службу LMREPL в Windows NT 3.x и 4.0. Контроллеры домена и серверы Windows 2000 используют FRS для репликации системных политик и сценариев входа для windows 2000 и клиентов нижнего уровня.

FRS также может реплицировать содержимое между серверами Windows 2000, на котором размещены те же отказоустойчивые корневые или дочерние реплики DFS.

Дополнительная информация

Отсутствующие общие папки netlogon и sysvol обычно встречаются на контроллерах домена реплика в существующем домене, но также могут возникать на первом контроллере домена в новом домене. Следующие действия больше направлены на сценарий реплика контроллера домена, но их можно применить к первому контроллеру домена в домене, игнорируя шаги репликации.

1. Объекты NTDS Connection существуют в ds каждого партнера по репликации.

   NTDS Connections — это односторонние подключения, которые используются службой каталогов для репликации Active Directory и службой репликации файлов (FRS) для репликации части системной политики файловой системы в папке SYSVOL. Средство проверки согласованности знаний (KCC) отвечает за создание объектов подключения NTDS для формирования хорошо связанной топологии между контроллерами домена в домене и лесу. Вместо автоматических подключений администраторы также могут создавать объекты подключения вручную.

   Используйте оснастку "Сайты и службы" (Dssite.msc), чтобы проверить объекты подключения, существующие между проблемным компьютером и существующими контроллерами домена. Для репликации между компьютерами \\M1 и \\M2 объект \\M1 должен иметь объект входящего подключения из \\M2, а \\M2 — объект входящего подключения из \\M1. Используйте "Подключение к контроллеру домена..." команда в Dssite.msc для просмотра и сравнения перспективы каждого контроллера домена объектов подключения внутри домена.

   Если для нового элемента реплика не существует объектов подключения, используйте команду Проверить топологию репликации в Dssite.msc, чтобы заставить KCC создать необходимые объекты автоматического подключения (после этого нажмите клавишу F5, чтобы обновить представление).

   Если KCC не может создавать автоматические подключения, администраторы должны вмешаться, создав объекты подключения вручную для контроллеров домена, которые не имеют входящих или исходящих подключений к другим контроллерам домена в домене или из них. Часто создание одного рабочего объекта подключения вручную позволяет KCC создавать нужные объекты автоматического подключения. Во избежание конфигурации, блокирующей репликацию, следует удалить дубликаты ручных и (или) автоматических подключений с одного контроллера домена в домене.

2. Репликация Active Directory выполняется между новыми и существующими контроллерами домена в домене.

   Используйте Repadmin.exe, чтобы убедиться, что репликация Active Directory выполняется между исходным и целевым контроллерами домена в одном домене в запланированном интервале репликации. Интервалы репликации по умолчанию — пять минут между контроллерами домена на одном сайте и один раз в три часа между контроллерами домена на разных сайтах (не менее 15 минут).

   REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
   REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
   

   Репликация FRS зависит от Active Directory для репликации необходимых сведений конфигурации между контроллерами домена в домене. Если репликация является подозрительной, проверьте события репликации в Просмотр событий после установки для записи "события репликации" в HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\ значение 5 на потенциальных исходных компьютерах (\\M1) и конечном компьютере (\\M2), а затем принудительно выполните репликацию из \\M1 в \\M2 в \\M1 с помощью команды "реплицировать сейчас" в Dssite.msc или ее эквивалента в REPLMON.

3. Сервер, используемый для источника папки Active Directory и SYSVOL, должен сам создать общие папки NETLOGON и SYSVOL.

   После того как программа Dcpromo.exe перезагрузит компьютер, FRS сначала пытается получить SYSVOL с компьютера, определенного в разделе реестра "Набор реплик" в разделе реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName

   Примечание.

   Этот ключ является временным и удаляется после получения sysVOL или успешной репликации сведений в разделе SYSVOL.

   Выпуск 2195 Ntfrs.exe предотвращает репликацию с этого исходного сервера, задерживая репликацию SYSVOL до тех пор, пока FRS не сможет попытаться выполнить репликацию от входящего партнера по репликации в домене через автоматический или ручной объект подключения NTDS.

   Все потенциальные исходные контроллеры домена в домене должны сами совместно использовать общие папки NETLOGON и SYSVOL и применять политику домена и контроллеров домена по умолчанию.

   Структура каталогов SYSVOL:

   • domain
     • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
     • Политики
       • {GUID}
         • Adm
         • МАШИНА
         • ПОЛЬЗОВАТЕЛЬ
       • {GUID}
         • Adm
         • МАШИНА
         • ПОЛЬЗОВАТЕЛЬ
       • {etc.,}
     • Сценарии
   • Промежуточной
   • промежуточные области
     • MyDomainName.com
   • Сценарии
   • sysvol(sysvol share)
     • MyDomainName.com
       • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
       • Политики
         • {GUID}
           • Adm
           • МАШИНА
           • ПОЛЬЗОВАТЕЛЬ
         • {GUID}
           • Adm
           • МАШИНА
           • ПОЛЬЗОВАТЕЛЬ
         • {etc.,}
       • скрипты (общая папка NETLOGON)

4. Группе "Контроллеры домена предприятия" должно быть предоставлено право "доступ к этому компьютеру из сети" в политике контроллеров домена по умолчанию в подразделении контроллеров домена.

   Репликация Active Directory во время использования программы Dcpromo.exe использует учетные данные, указанные в мастере установки Active Directory. После перезапуска репликация выполняется в контексте учетной записи компьютера контроллера домена. Все исходные контроллеры домена в домене должны успешно реплицироваться и применить политику, предоставляющую группе "Корпоративные контроллеры домена" право "Доступ к этому компьютеру из сети". Для быстрой проверки найдите событие 1704s в журнале приложений потенциальных исходных контроллеров домена. Для подробной проверки выполните анализ конфигурации безопасности в шаблоне Basicdc.inf (требуется определение переменных среды для SYSVOL, DSLOG и DSIT) и проверьте выходные данные журнала.

   Право "доступ к этому компьютеру из сети" часто отсутствует в доменах Windows NT 4.0, которые обновлены до Windows 2000. Эта проблема приводит к неудачной репликации Active Directory и FRS с сообщениями об ошибке "Доступ запрещен".

5. Каждый контроллер домена должен иметь возможность разрешать (ping) полные имена компьютеров (%имя компьютера%.<доменное имя>) компьютеров, участвующих в наборе реплика.

   Для SYSVOL этот шаг означает проверку связи с полными именами компьютеров всех контроллеров домена в домене. Убедитесь, что адрес, возвращенный командой ping, соответствует IP-адресу, возвращаемого IPCONFIG в консоли каждого реплика партнера.

6. Служба FRS должна создать реактивную базу данных NTFRS.

   Выполните команду DIR \\<computername>\admin$\ntfrs\jet для каждого контроллера домена в домене, чтобы подтвердить наличие файла NTfrs.jdb. Дата и размер базы данных jet могут быть неверными во время выполнения службы NTFRS (по конструктору).

7. Каждый контроллер домена должен быть членом набора реплика SYSVOL.

   Запустите NTFRSUTL DS [COMPUTERNAME] для всех реплика набор элементов. Убедитесь, что все контроллеры домена в домене отображаются в разделе "SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)" в выходных данных NTFRSUTL. Набор реплик SYSVOL и его члены также могут отображаться в разделе cn="domain system volume",cn=file replication service,cn=system,dc=<FQDN> в оснастке User and Computers (Dsa.msc), если в меню Вид включен параметр "Дополнительные компоненты".

8. Каждый контроллер домена должен быть подписчиком набора реплика.

   Запустите NTFRSUTL DS [COMPUTERNAME] для всех реплика набор элементов. Объект подписчика отображается в томе системы домена (общий ресурс SYSVOL),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Контроллеры домена,DC=<FQDN>. Для выполнения этой команды требуется, чтобы объект компьютера существовал и реплицировался в. NTFRSUTL сообщает следующее, если объект подписчика отсутствует:

   SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN: cn=ntfrs  
   subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid:  
   5c44b60b-8f01-48c6-8604c630a695dcdd  
   Working: f:\winnt\ntfrs  
   Actual Working: f:\winnt\ntfrs  
   WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
   

9. Необходимо включить расписание репликации.

10. Логический диск, на котором размещен общий ресурс SYSVOL и промежуточная папка, имеет много свободного места на диске вышестоящий и подчиненных партнеров. Например, 50 процентов от объема содержимого, которое вы пытаетесь реплицировать, и в три раза больше, чем размер реплицируемого файла.

11. Проверьте целевую папку и промежуточную папку (отображается в разделе NTFRSUTL DS) нового реплика, чтобы узнать, реплицируются ли файлы. Файлы в промежуточной папке должны находиться в процессе перемещения в конечное расположение. То, что количество файлов в промежуточной или целевой папке постоянно изменяется, является хорошим признаком того, что файлы реплицируются в папку или перемещаются в целевую папку.