爱站程序员基地一,SYSVOL复制方式为DFSR,netlogon sysvol恢复方式
1,故障拓扑
2,首先在AD01正常的DC上备份 sysvol和GPO,以防误操作
3,在AD02 执行 dcdiag /v 目录服务器诊断故障源(诊断虽然不能明确看出故障源点,但可缩小问题点,诊断结果要耐心看完…)
————————————————————————————————————————————————————-
目录服务器诊断
正在执行初始化设置:
正在尝试查找主服务器…
* 正在验证本地计算机 TESTAD02 是否为目录服务器。
主服务器 = TESTAD02
* 正在连接到服务器 TESTAD02 上的目录服务。
* 已识别的 AD 林。
Collecting AD specific global data
* 正在收集站点信息。
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=test,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),…….
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Getting ISTG and options for the site
* 正在标识所有服务器。
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=test,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),…….
The previous call succeeded….
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=TESTAD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* 标识所有 NC 交叉引用。
* 找到 2 DC。正在测试其中的 1。
已完成收集初始化信息。
正在进行所需的初始化测试
正在测试服务器: Default-First-Site-Name\\TESTAD02
开始测试: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
……………………. TESTAD02 已通过测试 Connectivity
正在执行主要测试
正在测试服务器: Default-First-Site-Name\\TESTAD02
开始测试: Advertising
警告: 当我们尝试访问 TESTAD02 时,DsGetDcName 返回了 \\\\TESTAD01.test.com 的信息。
服务器没有响应或被认为不适合。
……………………. TESTAD02 没有通过测试 Advertising
用户请求忽略的测试: CheckSecurityError
用户请求忽略的测试: CutoffServers
开始测试: FrsEvent
* 文件复制服务事件日志测试
跳过该测试,因为服务器正在运行 DFSR。
……………………. TESTAD02 已通过测试 FrsEvent
开始测试: DFSREvent
The DFS Replication Event Log.
SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
发生了一个警告事件。EventID: 0x80001396
生成时间: 03/30/2021 08:26:59
事件字符串:
由于出现错误,DFS 复制服务将停止 与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。该服务 将定期重试该连接。
其他信息:
错误: 1723 (RPC 服务器太忙,不能完成该操作。)
连接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
发生了一个警告事件。EventID: 0x80001396
生成时间: 03/30/2021 08:26:59
事件字符串:
由于出现错误,DFS 复制服务将停止 与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。该服务 将定期重试该连接。
其他信息:
错误: 9033 (请求由于关机而取消)
连接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
发生了一个错误事件。EventID: 0xC0001390
生成时间: 03/30/2021 08:28:35
事件字符串:
DFS 复制服务未能与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。 发生此错误可能是因为不可访问主机, 或者服务器上没有运行 DFS 复制服务。
伙伴 DNS 地址: TESTAD01.test.com
可选数据(如果可用):
伙伴 WINS 地址: TESTAD01
伙伴 IP 地址: 172.30.139.100
该服务将定期重试连接。
其他信息:
错误: 1722 (RPC 服务器不可用。)
连接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
发生了一个错误事件。EventID: 0xC0001390
生成时间: 03/30/2021 08:28:56
事件字符串:
DFS 复制服务未能与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。 发生此错误可能是因为不可访问主机, 或者服务器上没有运行 DFS 复制服务。
伙伴 DNS 地址: TESTAD01.test.com
可选数据(如果可用):
伙伴 WINS 地址: TESTAD01
伙伴 IP 地址: 172.30.139.100
该服务将定期重试连接。
其他信息:
错误: 1722 (RPC 服务器不可用。)
连接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
发生了一个错误事件。EventID: 0xC0001390
生成时间: 3/30/2021 08:35:23
事件字符串:
DFS 复制服务未能与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。 发生此错误可能是因为不可访问主机, 或者服务器上没有运行 DFS 复制服务。
伙伴 DNS 地址: TESTAD01.test.com
可选数据(如果可用):
伙伴 WINS 地址: TESTAD01
伙伴 IP 地址: 172.30.139.100
该服务将定期重试连接。
其他信息:
错误: 1722 (RPC 服务器不可用。)
连接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
发生了一个错误事件。EventID: 0xC0001390
生成时间: 03/30/2021 08:35:44
事件字符串:
DFS 复制服务未能与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。 发生此错误可能是因为不可访问主机, 或者服务器上没有运行 DFS 复制服务。
伙伴 DNS 地址: TESTAD01.test.com
可选数据(如果可用):
伙伴 WINS 地址: TESTAD01
伙伴 IP 地址: 172.30.139.100
该服务将定期重试连接。
其他信息:
错误: 1722 (RPC 服务器不可用。)
连接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
发生了一个错误事件。EventID: 0xC0001390
生成时间: 03/30/2021 08:51:45
事件字符串:
DFS 复制服务未能与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。 发生此错误可能是因为不可访问主机, 或者服务器上没有运行 DFS 复制服务。
伙伴 DNS 地址: TESTAD01.test.com
可选数据(如果可用):
伙伴 WINS 地址: TESTAD01
伙伴 IP 地址: 172.30.139.100
该服务将定期重试连接。
其他信息:
错误: 1722 (RPC 服务器不可用。)
连接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
生了一个错误事件。EventID: 0xC0001390
生成时间: 03/30/2021 08:52:06
事件字符串:
DFS 复制服务未能与复制组 Domain System Volume 的伙伴 TESTAD01 通讯。 发生此错误可能是因为不可访问主机, 或者服务器上没有运行 DFS 复制服务。
伙伴 DNS 地址: TESTAD01.test.com
可选数据(如果可用):
伙伴 WINS 地址: TESTAD01
伙伴 IP 地址: 172.30.139.100
该服务将定8000期重试连接。
其他信息:
错误: 1722 (RPC 服务器不可用。)
连接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929
复制组 ID: C7326F92-2855-4D8C-9F8B-7900AE318831
……………………. TESTAD02 没有通过测试 DFSREvent
开始测试: SysVolCheck
* 该文件复制服务 SYSVOL 已准备好测试
文件复制服务的 SYSVOL 已就绪
……………………. TESTAD02 已通过测试 SysVolCheck
开始测试: KccEvent
* The KCC Event log test
Found no KCC errors in \”Directory Service\” Event log in the last 15 minutes.
……………………. TESTAD02 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Role Domain Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Role PDC Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Role Rid Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Role Infrastructure Update Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
……………………. TESTAD02 已通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
Checking machine account for DC TESTAD02 on DC TESTAD02.
* SPN found :LDAP/TESTAD02.test.com/test.com
* SPN found :LDAP/TESTAD02.test.com
* SPN found :LDAP/TESTAD02
* SPN found :LDAP/TESTAD02.test.com/TEST
* SPN found :LDAP/69d995cb-c552-4380-b6de-a166f6f02ee9._msdcs.test.com
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/69d995cb-c552-4380-b6de-a166f6f02ee9/test.com
* SPN found :HOST/TESTAD02.test.com/test.com
* SPN found :HOST/TESTAD02.test.com
* SPN found :HOST/TESTAD02
* SPN found :HOST/TESTAD02.test.com/TEST
* SPN found :GC/TESTAD02.test.com/test.com
……………………. TESTAD02 已通过测试 MachineAccount
开始测试: NCSecDesc
* Security Permissions check for all NC\’s on DC TESTAD02.
* 安全权限检查
DC=ForestDnsZones,DC=test,DC=com
(NDNC,Version 3)
* 安全权限检查
DC=DomainDnsZones,DC=test,DC=com
(NDNC,Version 3)
* 安全权限检查
CN=Schema,CN=Configuration,DC=test,DC=com
(Schema,Version 3)
* 安全权限检查
CN=Configuration,DC=test,DC=com
(Configuration,Version 3)
* 安全权限检查
DC=test,DC=com
(Domain,Version 3)
……………………. TESTAD02 已通过测试 NCSecDesc
开始测试: NetLogons
* Network Logons Privileges Check
无法连接到 NETLOGON 共享! (\\\\TESTAD02\\netlogon)
[TESTAD02] net use 或 LsaPolicy 操作失败,错误为 67,找不到网络名。。
……………………. TESTAD02 没有通过测试 NetLogons
开始测试: ObjectsReplicated
TESTAD02 is in domain DC=test,DC=com
Checking for CN=TESTAD02,OU=Domain Controllers,DC=test,DC=com in domain DC=test,DC=com on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com in domain CN=Configuration,DC=test,DC=com on 1 servers
Object is up-to-date on all servers.
……………………. TESTAD02 已通过测试 ObjectsReplicated
用户请求忽略的测试: OutboundSecureChannels
开始测试: Replications
* Replications Check
* Replication Latency Check
DC=ForestDnsZones,DC=test,DC=com
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc\’s no longer replicating this nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DC=test,DC=com
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc\’s no longer replicating this nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DC=test,DC=com
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc\’s no longer replicating this nc. 0 had no latency information (Win2K DC).
CN=Configuration,DC=test,DC=com
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc\’s no longer replicating this nc. 0 had no latency information (Win2K DC).
DC=test,DC=com
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc\’s no longer replicating this nc. 0 had no latency information (Win2K DC).
……………………. TESTAD02 已通过测试 Replications
开始测试: RidManager
* Available RID Pool for the Domain is 2600 to 1073741823
* TESTAD02.test.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1600 to 2099
* rIDPreviousAllocationPool is 1600 to 2099
* rIDNextRID: 1600
……………………. TESTAD02 已通过测试 RidManager
开始测试: Services
* Checking Service: EventSystem
* Checking Service: RpcSs
* Checking Service: NTDS
* Checking Service: DnsCache
* Checking Service: DFSR
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: w32time
* Checking Service: NETLOGON
[TESTAD02] 上的 NETLOGON 服务已停止
……………………. TESTAD02 没有通过测试 Services
开始测试: SystemLog
* The System Event log test
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 08:53:57
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 08:59:12
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:04:27
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:09:42
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。 发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:14:57
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:20:12
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:25:27
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:30:42
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:35:57
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:41:12
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
发生了一个错误事件。EventID: 0x0000041E
生成时间: 03/30/2021 09:46:27
事件字符串:
处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
……………………. TESTAD02 没有通过测试 SystemLog
用户请求忽略的测试: Topology
用户请求忽略的测试: VerifyEnterpriseReferences
开始测试: VerifyReferences
系统对象参考(serverReference)
CN=TESTAD02,OU=Domain Controllers,DC=test,DC=com 和
CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
上的反向链接正确。
系统对象参考(serverReferenceBL)
CN=TESTAD02,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=test,DC=com
和
CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
上的反向链接正确。
系统对象参考(msDFSR-ComputerReferenceBL)
CN=TESTAD02,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=test,DC=com
和 CN=TESTAD02,OU=Domain Controllers,DC=test,DC=com 上的反向链接正确。
……………………. TESTAD02 已通过测试 VerifyReferences
用户请求忽略的测试: VerifyReplicas
用户请求忽略的测试: DNS
用户请求忽略的测试: DNS
正在 ForestDnsZones
上运行分区测试
开始测试: CheckSDRefDom
……………………. ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: Cro***efValidation
……………………. ForestDnsZones 已通过测试 Cro***efValidation
正在 DomainDnsZones
上运行分区测试
开始测试: CheckSDRefDom
……………………. DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: Cro***efValidation
……………………. DomainDnsZones 已通过测试 Cro***efValidation
正在 Schema
上运行分区测试
开始测试: CheckSDRefDom
……………………. Schema 已通过测试 CheckSDRefDom
开始测试: Cro***efValidation
……………………. Schema 已通过测试 Cro***efValidation
正在 Configuration
上运行分区测试
开始测试: CheckSDRefDom
……………………. Configuration 已通过测试 CheckSDRefDom
开始测试: Cro***efValidation
……………………. Configuration 已通过测试 Cro***efValidation
正在 test
上运行分区测试
开始测试: CheckSDRefDom
……………………. test 已通过测试 CheckSDRefDom
开始测试: Cro***efValidation
……………………. test 已通过测试 Cro***efValidation
正在 test.com
上运行企业测试
用户请求忽略的测试: DNS
用户请求忽略的测试: DNS
开始测试: LocatorCheck
GC 名称: \\\\TESTAD01.test.com
Locator Flags: 0xe00031bc
警告: DcGetDcName(PDC_REQUIRED) 调用失败,错误为 1355
无法找到主域控制器。
拥有 PDC 角色的服务器已关闭。
警告: DcGetDcName(TIME_SERVER) 调用失败,错误为 1355
无法找到时间服务器。
拥有 PDC 角色的服务器已关闭。
警告: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) 调用失败,错误为 1355
无法找到一个正常的时间服务器。
KDC Name: \\\\TESTAD01.test.com
Locator Flags: 0xe00031bc
……………………. test.com 没有通过测试 LocatorCheck
开始测试: Intersite
正在跳过站点 Default-First-Site-Name,该站点位于给定命令 行参数提供的范围之外。
……………………. test.com 已通过测试 Intersite
————————————————————————————————————————————————————-
4,根据报告找到问题源(Services服务检测,netlogon服务未启动,你的问题要见报告内容,问题不尽相同,解决问题的方式大致一样)
Services
* Checking Service: EventSystem
* Checking Service: RpcSs
* Checking Service: NTDS
* Checking Service: DnsCache
* Checking Service: DFSR
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: w32time
* Checking Service: NETLOGON
[TESTAD02] 上的 NETLOGON 服务已停止
……………………. TESTAD02 没有通过测试 Services
5,首先 在AD02 执行 net share (查看共享是否正常,发现sysvol,netlogon未共享,问题源找到)
6,在AD02 执行 net start netlogon
7, 在AD02 执行net share (netlogon sysvol共享正常)
8,验证复制关系是否正常,创建gpo(验证过程略过)
9,在AD02 执行 dcdiag /v 目录服务器诊断(任然有警告事件,24小时后执行此警告就会消除)
SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
发生了一个警告事件。EventID: 0x80001396
生成时间: 03/30/2021 08:26:59
二,SYSVOL复制方式为FRS,netlogon sysvol恢复方式
1,在AD01,先备份SYSVOL文件夹
2. 在AD02 有问题的域控制器上执行非授权恢复,停止FRS服务(net stop ntfrs),通过将以下的注册表项的值设置为DWORD值D2来配置BurFlags注册表项。
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\NtFrs\\Parameters\\Backup/Restore\\Process at Startup\\BurFlags
Name:BurFlags
Type:DWORD
Value:D2
5. AD02 执行 net start ntfrs (重启此域控制器上的FRS服务)
6. 按照以上的步骤和要求在所有有问题的域控制器上执行相同的操作(案例只有DC02有问题,以实际为准)
7. 如果在所有有问题的域控制器上都执行了操作以后,问题还存在的话,在好的的域AD01 控制器上执行授权恢复,停止FRS服务(net stop ntfrs)。
通过将以下的注注册表项的值设置为DWORD值D4来配置BurFlags注册表项。
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\NtFrs\\Parameters\\Backup/Restore\\Process at Startup\\BurFlagsName:BurFlags
Type:DWORD
Value:D4
在执行操作的域控制器上重启FRS服务 (net start ntfrs)。
8. 查看授权还原后的域控制器上的SYSVOL文件夹是否已经恢复
备注:极端问题,DC02 使用以上方法任然不能共享,参照DC01 SYSVOL目录结构,在DC02下创建对应目录结构,然后按照以上步骤即可,如有问题,可留言
