组策略找不到域服务器解决方法重建SYSVOL和NETLOGON共享

Windows Server 2008 R2之四管理Sysvol文件夹Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。

同时，存放在Sysvol 文件夹中的信息，会复制到域中所有DC上。

以下是Sysvol文件夹示例图Domain文件夹：是策略的实体，是策略和脚本存放地。

Staging Areas：交换区，它用来存放多台DC之间交换（复制）的信息。

DC上的相关信息（GPO）首先将要复制到的信息放在这个文件夹，然后相互复制。

Staging Areas和Sysvol是一个挂节点。

它挂节到它对应的实体文件夹。

同时系统会将C:\Windows\Sysvol建立名为SysVOL的共享，C:\Windows\Sysvol\\Scripts 建立名为Netlogon的共享。

由于用户登录（计算机）时，会首先在SYSVOL文件查找GPO和启动脚本。

同时，为了保证系统的正常运行，必须为SYSVOL保留足够的空间缓存。

我们可以通过文件复制服务日志进行监控。

实验要求：1、重建Netlogon和Sysvol共享（即这两个共享由于某种原因不存在时，如何重建共享）2、移动SysVOL文件夹3、为Staging Areas分配更多的额外空间实验环境：本实验是在做完Windows Server 2008 R2之二从介质安装AD DS的基础上进行，即域有两台安装好的DC，Win2008R2CNDC,WIN2008R2CNDC01.整个实验是在Win2008R2CNDC上完成操作步骤：在操作之前，强烈建议将系统进行备份。

一、重建Netlogon和Sysvol共享（假设文件夹结构内容正常，只是共享丢失）1、运行Regedit，打开注册表编辑器，找到如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Re store\Process at Startup然后在右边找到BurFlags，将其值改为D2（16进制）最常见的值 BurFlags 注册表项是：D 2，也称为非授权模式还原D 4，也称为的授权模式还原2、再分别运行如下命令停止重启相关服务Net stop netlogon & net start netlogonNet stop ntfrs & net start ntfrs3、查看共享恢复正常二、移动Sysvol文件夹在实际中，可能由于空间不足等原因，我们需要将Sysvol文件夹移到其它磁盘。

2008域控新建策略时，提示找不到网络名
首先确认Sysvol 文件夹是否存在，如果存在使用下列方法，可以恢复
一般情况下 Sysvol 文件夹是在c：\windows\ Sysvol。

也有可能在安装ad时，直接移动了Sysvol 文件夹到其他磁盘下
一、打开DC的注册表编辑器（regedit），修改键值如下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Res tore\Process at Startup
刚打开注册表时，看不到Backup/Restore\Process at Startup这个键值，可以右键新建该键值，新建时提示已经有了这个键值了，此时刷新注册表，就可以看到系统原有的了然后在右边找到BurFlags，将其值改为D4（16进制）
修改后，关闭注册表。

二、重启相关服务：先停止服务然后再重新启动服务如下图
再分别运行如下命令停止重启相关服务
Net stop netlogon
net start netlogon
Net stop ntfrs
net start ntfrs
三、查看共享，发现已经成功
此时故障恢复了
通过本次故障增加了我们的知识点关于策略管理的。

在win2003的域环境下，组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题，使管理员的日常维护效率大大提高，但世间万物皆有利弊，同样人也一样会犯错误，在日常的维护工作中，由于管理员的疏忽操作导致的各种问题比比皆是。

下面我们就来讨论一种看似比较棘手的情况。

在win2003中，当某个域中的用户或本地用户被策略拒绝了本地登陆的权限，当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”，使得用户无法登陆本地计算机，同样也不能登陆域，通常遇到这种问题，我们的解决办法是，用管理员账号登陆域控制器，修改一下策略，把此用户从“拒绝本地登录”列表中删除即可，但如果由于人为的操作失误，管理员把所以用户的本地登陆权限都禁止了，导致了域中所有用户都不能本地登陆域内计算机（包括域管理员以及本地管理员），这种情况就比较棘手了，我们用什么方法能解决这看似不能解决的问题呢？通过查询相关资料以及测试，我们知道所有策略的设置都保存在域控制器（DC）的windows文件夹下的sysvol文件夹下，以GUID为文件夹名，其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GU ID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中，这是一个文本文件，能通过记事本编辑，要解除对所有用户本地登录限制，我们只需修改这个文本文件，把拒绝登陆的相关信息删除就OK了，而在默认情况下，存放策略设置的sysvol这个文件夹在DC上是被共享的，那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹，远程修改GptTmpl.inf文件，从而解除本地登陆限制呢，下面我们就用虚拟机来做个实验，来模拟一下这样的网络环境，看看能不能达到我们预想的效果。

通过查询资料得知：➢默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9➢默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9实验的拓扑环境如下：先部署一个域 ，用物理机做DNS，IP为192.168.11.1域中有两台计算机，Florence为DC，Berlin为加入域的一台成员服务器，Perth为一台工作站。

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版，单网卡，连接LAN1。

这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。

网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。

提示：Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :The error was: "DNS name does not exist."(error code 0x0000232B RCODE_NAME_ERROR)The query was for the SRV record for _ldap._tcp.dc._Common causes of this error include the following:- The DNS SRV record is not registered in DNS.- One or more of the following zones do not include delegation to itschild zone:com. (the root zone)For information about correcting this problem, click Help.在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。

2008域控新建策略时，提示找不到网络名
首先确认Sysvol 文件夹是否存在，如果存在使用下列方法，可以恢复
一般情况下 Sysvol 文件夹是在c：\windows\ Sysvol。

也有可能在安装ad时，直接移动了Sysvol 文件夹到其他磁盘下
一、打开DC的注册表编辑器（regedit），修改键值如下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\ Backup/Restore\Process at Startup
刚打开注册表时，看不到Backup/Restore\Process at Startup这个键值，可以右键新建该键值，新建时提示已经有了这个键值了，此时刷新注册表，就可以看到系统原有的了
然后在右边找到BurFlags，将其值改为D4（16进制）
修改后，关闭注册表。

二、重启相关服务：先停止服务然后再重新启动服务如下图
再分别运行如下命令停止重启相关服务
Net stop netlogon
net start netlogon
Net stop ntfrs
net start ntfrs
三、查看共享，发现已经成功
此时故障恢复了
通过本次故障增加了我们的知识点关于策略管理的。

同一个局域网，没有加入域，如何访问域共享
答:
那你需要知道其中一个被授权访问的域用户的账户和密码，在访问时输入路径，然后在弹出提示框时输入账户和密码就能得到相应域用户的权限，希望我的回答对你有帮助。

操作步骤：执行开始——运行在黑色的框中输入\\域服务器IP地址(192.168.1.3)
回车输入用户名和密码，就好。

然后把所有需要用到的文件夹，映射到本地网络驱动器就好。

文件夹填写域共享里面需要访问的文件路径，点击完成。

试图登陆，但是网络登陆服务没有启动”是怎么回事？
1:原因：服务器上网络服务没有开启。

参考以下方法启动此服务。

解决方法：点“开始->运行”，在弹框中输入“services.msc”回车，打开服务窗口，在右边服务列表窗口中，找到“Netlogon”服务，双击打开它的设置窗口，检查服务状态，如果是“停止”，就点击“启动”按钮，开启它。

点“确定”保存设置即可。

这样，客户端电脑就能顺利使用网络打印机了。

2：原因：Netlogon服务没有启用
解决方法：打开计算机管理/服务找到NETLOGON设置成自动点右键启用就可以
了。

故障：错误内容：在点AD上属性中的组策略时，跳出对话框显示“找不到的域控制器”，对话框中的内容为：“用于组策略操作的域控制器不可用。

您可以在会话中取消这个操作，或再试用下列的域控制器选项：1、具有PDC模拟器操作主令牌的域控制器。

2、由AD管理单元的域控制器。

3、使用任何可用的域控制器。

”前言对Windows活动目录有所了解的管理员应该对SYSVOL不陌生，它是用来存储域公共文件服务器副本的共享文件夹，例如我们用得最多的组策略设置、脚本等都是存在这个共享目录中的。

如果组织内有多台域控制器，那么它们就在域中所有的域控制器之间通过FRS服务相互复制。

而NETLOGON共享则是SYSVOL目录中一个文件夹Scrip ts的共享名,顾名思义就是用来保存脚本信息的。

SYSVOL文件夹的重要性不想多说，然而有的时候它就偏偏出问题，导致活动目录AD故障层出，通常组策略无法执行，在域控制器或成员机器上的事件日志中每隔5分钟就记录ID号为1058和1030的错误消息，让人很是恼火。

而通常遇得最多的SYSVOL问题就是如下两种：1. SYSVOL和NETLOGON共享丢失。

这种情况在辅助域控制器上通常会出现，但有时也在第一台域控制器上也可能会出现这种情况。

另外，当对活动目录执行灾难还原后也有可能遇到这个情况2. 管理员有意或无意的删除了整个或部分SYSVOL目录中的文件,这种情况在管理员误操作时遇得比较多，我就曾遇到有人将SYSVOL迁移到E盘，然后误操作将E盘格式化OK，不管是什么原因导致出现以上两个问题，总之我将在这篇文章中着手解决这两个问题，希望对大家有帮助环境DC：在这里我就只用了一台DC做演示。

如果你的环境中有多台DC，操作和本文章类似。

操作步骤一、1. 先来解决第一个常见问题，假设只是SYSVOL和NETLOGOGN共享丢失，但是文件夹结构尚在。

这个问题比较好解决。

为了模拟故障，我手动将SYSVOL共享取消了。

网管经验共享：组策略相关故障排错经验谈对于网络管理员来讲，关于组策略的问题可能听到最多的抱怨就是:“我设置了一个策略，为什么它不生效?”。

对于一些比较大的网络环境，组策略可以减轻网管人员的管理工作，但其出问题的几率还是比较大的。

这一方面是由于我们在日常操作时不慎引起的，另一方面是由于策略相互影响而造成最终的结果与设想不一致。

组策略应用要点 这里，笔者给出几点微软不推荐的做法： 1.不要删除两条默认的策略(默认域策略和默认域控制器策略)，很多问题的发生都是由删除这两条默认策略而引起的。

而且要使用组策略管理控制台(GPMC)工具备份这两条默认策略，用于将来还原。

如果直接通过GPMC删除默认策略时，我们会发现是行不通的，但是，稍有经验的读者知道如何删除它们。

既然是一个不推荐的做法，希望大家不要删除它们。

2.组策略是不能够链接在用户组上的。

有很多初次接触活动目录的管理员，经常设想将组策略生效于某一用户组，这是行不通的。

组策略不是为用户组设定的策略，而是一组策略的集合，只能链接在站点、组织单元和域上面。

3.组策略的生效问题 (1)生效顺序 正常生效顺序:本地策略→站点策略→域策略→父OU策略→子OU 策略。

我们使用时，在出现登录对话框前，会有“应用安全策略”的提示，这也就是本地策略生效的过程。

发生冲突时，最新的策略设置会覆盖其他设置。

计算机设置高于用户设置(即使用户设置是后设置的)。

父容器组策略设置与子容器设置发生冲突，子容器中组策略的设置将最终生效。

同一容器的多个策略按照优先权顺序进行生效。

所以，当在一个容器上面链了多个GPO时，不妨仔细看看它们的顺序，很有可能问题是顺序不当引起的。

(2)生效时间 默认情况下，非域控制器的计算机每90分钟刷新一次策略，其中含有随机的30分钟时间偏移量，时间偏移量保证了多个计算机不会同时连接到同一个域控制器上面。

域控制器每5分钟刷新一次，保证了紧急更新的组策略设置(安全性设置)能够得到及时执行，可以在 “域控制器组策略重新刷新时间间隔”里面更改(如图1)。