排查 Windows 域控制器上缺少 SYSVOL 和 NETLOGON 共享的问题

  • 项目

本文介绍在缺少 netlogon 和 sysvol 共享的 Windows 2000 域控制器上使用的故障排除步骤。

适用于: Windows Server 2008 R2 Service Pack 1
原始 KB 编号: 257338

注意

本文适用于 Windows 2000。 对 Windows 2000 的支持将于 2010 年 7 月 13 日结束。 Windows 2000 支持终止解决方案中心是从 Windows 2000 规划迁移策略的起点。 有关详细信息,请参阅 Microsoft 支持部门 生命周期策略

摘要

文件复制服务 (FRS) 是一个多线程、多主副本引擎,用于替换 Windows NT 3.x 和 4.0 中的 LMREPL 服务。 Windows 2000 域控制器和服务器使用 FRS 复制 Windows 2000 和下层客户端的系统策略和登录脚本。

FRS 还可以在托管相同容错 DFS 根或子节点副本的 Windows 2000 服务器之间复制内容。

更多信息

缺少 netlogon 和 sysvol 共享通常发生在现有域中副本 (replica) 域控制器上,但也可能发生在新域中的第一个域控制器上。 以下步骤更多针对副本 (replica) 域控制器方案,但可以通过忽略特定于复制的步骤应用于域中的第一个域控制器。

  1. NTDS Connection 对象存在于每个复制伙伴的 DS 中。

    NTDS Connections是目录服务用于复制 Active Directory 的单向连接,文件复制服务 (FRS) 复制 SYSVOL 文件夹中系统策略的文件系统部分。 知识一致性检查器 (KCC) 负责生成 NTDS 连接对象,以在域和林中的域控制器之间形成连接良好的拓扑。 管理员还可以创建手动连接对象,而不是自动连接。

    使用“站点和服务” (Dssite.msc) 管理单元检查问题计算机与现有域控制器之间存在的连接对象。 若要在计算机 \\M1 和 \\M2 之间进行复制,\\M1 应具有来自 \\M2 的入站连接对象,\\M2 应具有来自 \\M1 的入站连接对象。 使用“连接到域控制器...”用于查看和比较域内连接对象的每个域控制器透视的命令。

    如果新副本 (replica) 成员不存在连接对象,请使用 Dssite.msc 中的“检查复制拓扑”命令强制 KCC 生成必要的自动连接对象, (按 F5 在之后) 刷新视图。

    如果 KCC 无法生成自动连接,管理员应通过为与域中其他域控制器之间没有入站或出站连接的域控制器生成手动连接对象进行干预。 通常,生成单个工作手动连接对象允许 KCC 生成所需的自动连接对象。 应删除来自域中同一域控制器的重复手动和/或自动连接,以避免复制阻止配置。

  2. Active Directory 复制正在域中的新域控制器和现有域控制器之间进行。

    使用 Repadmin.exe 确认在计划的复制间隔内在同一域中的源和目标域控制器之间正在进行 Active Directory 复制。 同一站点中的域控制器之间的默认复制间隔为 5 分钟,不同站点中的域控制器之间每 3 小时一次,) (至少 15 分钟。

    REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%

    FRS 复制依赖于 Active Directory 在域中的域控制器之间复制所需的配置信息。 如果复制可疑,请在 (\\M1) 的潜在源计算机上将“复制事件”条目HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\设置为 5 后,检查事件查看器中的复制事件,并将目标计算机 (\\M2) ,然后使用 Dssite.msc 中的“立即复制”命令或 REPLMON 中的等效项强制从 \\M1 复制到 \\M2 和 \\M2 到 \\M1。

  3. 用于源 Active Directory 和 SYSVOL 文件夹的服务器应已创建 NETLOGON 和 SYSVOL 共享本身。

    Dcpromo.exe 程序重启计算机后,FRS 首先尝试从以下“副本集父级”注册表项中标识的计算机源 SYSVOL:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName

    注意

    此密钥是临时的,在 SYSVOL 获取源或成功复制 SYSVOL 下的信息后会被删除。

    Ntfrs.exe 的 2195 版本会阻止从此初始源服务器复制,从而延迟 SYSVOL 复制,直到 FRS 可以通过自动或手动 NTDS 连接对象尝试从域中的入站复制伙伴复制。

    域中的所有潜在源域控制器本身应已共享 NETLOGON 和 SYSVOL 共享,并应用了默认域和域控制器策略。

    SYSVOL 目录结构:

    • domain
      • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
      • 策略
        • {GUID}
          • Adm
          • USER
        • {GUID}
          • Adm
          • USER
        • {etc.,}
      • 脚本
    • 分期
    • 暂存区域
      • MyDomainName.com
    • 脚本
    • sysvol (sysvol share)
      • MyDomainName.com
        • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
        • 策略
          • {GUID}
            • Adm
            • USER
          • {GUID}
            • Adm
            • USER
          • {etc.,}
        • 脚本 (NETLOGON 共享)

  4. 在域控制器 OU 的默认域控制器策略中,应向“企业域控制器”组授予“从网络访问此计算机”权限。

    在使用 Dcpromo.exe 程序期间复制 Active Directory 将使用 Active Directory 安装向导中指定的凭据。 重启后,复制会在域控制器的计算机帐户的上下文中进行。 域中的所有源域控制器都必须成功复制并应用授予“企业域控制器”组“从网络访问此计算机”权限的策略。 若要快速验证,请在潜在源域控制器的应用程序日志中查找事件 1704s 。 若要进行详细验证,请针对 Basicdc.inf 模板运行安全配置分析, (需要为 SYSVOL、DSLOG 和 DSIT 定义环境变量,并检查生成的日志输出。

    升级到 Windows 2000 的 Windows NT 4.0 域上通常缺少“从网络访问此计算机”权限。 此问题会导致 Active Directory 和 FRS 复制失败,并显示“拒绝访问”错误消息。

  5. 每个域控制器必须能够解析 (ping) 完全限定的计算机名 (%computer name%。<> 参与副本 (replica) 集的计算机的域名) 。

    对于 SYSVOL,此步骤意味着 ping 域中的所有域控制器的 FQ 计算机名称。 确认 ping 命令返回的地址与 IPCONFIG 在每个副本 (replica) 设置合作伙伴的主机上返回的 IP 地址匹配。

  6. FRS 服务必须已创建 NTFRS jet 数据库。

    针对域中的每个域控制器运行 DIR \\<computername>\admin$\ntfrs\jet ,以确认是否存在 NTfrs.jdb 文件。 当 NTFRS 服务按设计) 运行 (时,jet 数据库的日期和大小可能不正确。

  7. 每个域控制器必须是 SYSVOL 副本 (replica) 集的成员。

    NTFRSUTL DS [COMPUTERNAME]在所有副本 (replica) 集成员上运行。 确认域中的所有域控制器都显示在 NTFRSUTL 输出的“SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE) ”部分下。 在“视图”菜单下启用“高级功能”时,SYSVOL 副本集及其成员还可以显示在“用户和计算机” (Dsa.msc) 管理单元中的 cn=“域系统卷”、cn=文件复制服务、cn=system、dc=<FQDN> 下。

  8. 每个域控制器必须是副本 (replica) 集的订阅者。

    NTFRSUTL DS [COMPUTERNAME]在所有副本 (replica) 集成员上运行。 订阅服务器对象显示在 cn=域系统卷 (SYSVOL 共享) ,cn=NTFRS 订阅,CN=%DCNAME%,OU=域控制器,DC=<FQDN>。 运行此命令需要计算机对象存在且已复制。 当订阅服务器对象缺失时,NTFRSUTL 会报告以下内容:

    SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN: cn=ntfrs  
subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid:  
5c44b60b-8f01-48c6-8604c630a695dcdd  
Working: f:\winnt\ntfrs  
Actual Working: f:\winnt\ntfrs  
WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!

  9. 必须启用复制计划。

  10. 托管 SYSVOL 共享和暂存文件夹的逻辑驱动器在上游和下游合作伙伴上具有大量可用磁盘空间。 例如,尝试复制的内容量的 50%和复制的最大文件大小的三倍。

  11. 检查新副本 (replica) “NTFRSUTL DS”) 中显示的目标文件夹和暂存文件夹 (,以查看文件是否正在复制。 暂存文件夹中的文件应正在移动到最终位置。 暂存或目标文件夹中的文件数不断变化是一个好兆头,因为其中任一个文件正在复制或转换到目标文件夹。

注意

Ntfrsutl.exe 是 Windows 2000 资源工具包中包含的实用工具。