重建SYSVOL和NETLOGON共享档

主讲人：技术顾问&MCT 广州魏强听课时间：2004-12-18讲座时间：1:55第一部分：常见AD排错工具：1、enable ndsi diagnostics log:hklm\system\currentcontrolset\services\ntds\diagnostics取值范围：0-3可在事件查看器目录服务中查看，3为上限,日志量相当大，应注意调整日志文件大小。

2、dcdiagdcdiag /v（详细输出）/c(开启所有项的测试) /a（对站点内所有DC进行测试）3、netdom对客户机加入域及信任关系管理Example:netdom query dcnetdom query fsmo5%-10%的错误是由于对网络结构的错误认识。

4、netdiagExample:netdiag /debug >netdiag041218.txt （加debug参数为最详细记录）notepad netdiag0411218.txt5%错误是由网络配置造成的第二部分：AD维护中三种常见故障：一、DNS配置相关故障1、综述：AD中DNS起到路标和指示灯的作用，至少50%的AD故障源于DNS. DNS中最重要的是SRV纪录而不是A纪录，通常SRV纪录对应有一个A纪录SRV Record example: _ldap._tcp,dc._.600 IN srv 0 10 0 389 用户登录域时通过dns服务器找寻dc的，_msdcs区域中包含所有dc的服务纪录，作用就是为了定位域控制器和全局编目服务器，win2k中若有多个域则只有根域中有该区域，子域中没有。

2、几个验证和修复工具（1）使用nslookup来记录dns记录是否完整（2）若dns记录缺失，可通过：a：重新启动Net Logon服务b：使用nltest.exe /seregdns （安装support tools工具后才会有）注意dns配置要求：允许动态更新，区域名称和AD域名相一致，dns服务器本身需要配置dns域名后缀3、实例演示：验证和修复dns故障2003中_msdcs区域作为独立一个区域存在，若出现机器登录域非常慢，90%是dns出了问题。

2008域控新建策略时，提示找不到网络名
首先确认Sysvol 文件夹是否存在，如果存在使用下列方法，可以恢复
一般情况下 Sysvol 文件夹是在c：\windows\ Sysvol。

也有可能在安装ad时，直接移动了Sysvol 文件夹到其他磁盘下
一、打开DC的注册表编辑器（regedit），修改键值如下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\ Backup/Restore\Process at Startup
刚打开注册表时，看不到Backup/Restore\Process at Startup这个键值，可以右键新建该键值，新建时提示已经有了这个键值了，此时刷新注册表，就可以看到系统原有的了
然后在右边找到BurFlags，将其值改为D4（16进制）
修改后，关闭注册表。

二、重启相关服务：先停止服务然后再重新启动服务如下图
再分别运行如下命令停止重启相关服务
Net stop netlogon
net start netlogon
Net stop ntfrs
net start ntfrs
三、查看共享，发现已经成功
此时故障恢复了
通过本次故障增加了我们的知识点关于策略管理的。

当域控服务器文件复制服务提示如下：文件复制服务有困难启用复制: 从LEOCODC2 到LEOCODC1 为c:\windows\sysvol\domain 用DNS 名称。

FRS 将继续重试。

以下是您看到此警告的一些原因。

[1] FRS 不能从此计算机正确解析此DNS 名称。

[2] FRS 不在 上运行。

[3] Active Directory 里此副件的拓扑信息还没有复制到所有域控制器。

这时候表示域策略无法同步，导致这情况发生推测为，主次域控无法分清。

解决的方法如下：1在域控制器LEOCODC1上设置如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Param eters\Backup/Restore\Process at StartupBurFlags=D4重新启动LEOCODC1的FRS服务,会出现如下提示：PS（顺序可能会有所颠倒）事件ID：13516类型：信息描述：文件复制服务不再阻止计算机SERVERDATA 成为域控制器。

系统卷已成功初始化，而且Netlogon 服务已经收到信息表明系统卷已经准备好共享为SYSVOL。

键入"net share" 以检查SYSVOL 共享。

检查额外域控制器日志：事件ID：13554类型：信息描述：文件复制服务成功地将下面的连接添加到副本集:"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)""server-data.****.new""server-data.****.new"在后面的事件日志消息中会显示更多的信息。

事件ID：13553类型：信息描述：文件复制服务成功地将计算机添加到如下的副本集:"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"与此事件相关的信息显示如下:计算机DNS 名称是"ServerData.****.new"副本集成员名称是"SERVERDATA"副本集根路径是"c:\windows\sysvol\domain"复制分段目录路径是"c:\windows\sysvol\staging\domain"复制工作目录路径是"c:\windows\ntfrs\jet"这时候将LEOCODC2域控制器上设置如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameter s\Backup/Restore\Process at StartupBurFlags=D2然后启动LEOCODC2的FRS，会出现如下提示：事件ID：13509类型：警告描述：经过多次重试之后，文件复制服务为c:\windows\sysvol\domain 启动了从SERVERDATA 到SERVER-DATA 服务。

Windows2012R2 企业域环境安装和配置域控制器防火域配置说明本文适用于企业级多域控环境中对硬件防火墙的配置概要：详细的域控需要开放的防火墙端口说明，如需要查阅端口清单，请下载本人百度文库中中一表格文件《域控防火墙端口清单》本文所推荐的端口是复杂域环境下，会涉及多种服务。

目录客户端（PC）到域控的端口清单 (3)域控的端口清单 (4)Active Directory（本地安全机构） (5)计算机浏览器 (5)DHCP 服务器 (6)分布式文件系统 (6)分布式文件系统复制 (6)分布式链接跟踪服务器 (7)分布式事务处理协调器 (7)DNS 服务器 (7)事件日志 (8)文件复制 (8)组策略 (8)HTTP SSL (9)Kerberos 密钥发行中心 (9)网络登录 (9)NetMeeting 远程桌面共享 (10)远程过程调用(RPC) (10)远程过程调用(RPC) 定位器 (11)服务器 (11)简单邮件传输协议(SMTP) (11)Systems Management Server 2.0 (12)终端服务 (12)Windows Internet 名称服务(WINS) (12)Windows 时间 (13)万维网发布服务 (13)客户端（PC）到域控的端口清单域控的端口清单Active Directory（本地安全机构）Active Directory 在LSASS 进程下运行，它包括用于Windows 2000 和Windows Server 2003 域控制器的身份验证引擎和复制引擎。

除了1024 和65535 之间的某一范围的临时TCP 端口外，域控制器、客户端计算机和应用程序服务器还需要通过特定硬编码端口与Active Directory 进行网络连接，除非使用隧道协议封装此通信。

封装的解决方案可能在同时使用第2 层隧道协议(L2TP) 和IPsec 的筛选路由器后面包含一个VPN 网关。

为一个域用户设置登陆脚本订阅字号2010-03-28 16:29:41| 分类：AD相关|如何为一个域用户设置登陆脚本？- BA T可否作为登陆脚本？- 在域用户“属性”中，应如何指定登陆脚本名？"D:\x.bat"还是"\\srv\x.bat"？还是其它？- 脚本应该放在何处？- 还有没有其它要注意的问题？”回答：1、bat可以作为登陆脚本执行，确切说一切可以在windows平台执行的东西都可以作为登陆脚本来用。

2、应该指定以\\server\……这样格式开头的路径。

因为client在登陆的时候执行脚本，其实是从服务器上下载到本地，然后执行。

这样的话，如果指定c:\这样的路径，client只会在本地的c盘查找，而不是到server上的路径去查找。

3、脚本可以放在一切client能够读取的位置。

通常这个位置处于\\server\netlogon的share下（在服务器上的位置是%systemroot%\sysvol\sysvol\domainname\scripts），但是如果你制订了策略，那么脚本默认的存放路径应该在%systemroot% \sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下，如果你放在别的位置，需要在脚本执行栏的位置输入绝对路径，格式同样需要以\\server\……开头。

4、其他的问题也很多了，一般来说就是脚本适用于策略的时候，客户端可能会执行不到。

一般来说可能会有一下的几个原因：a、脚本从名称到内容都尽可能的不要用特殊字符、长文件名（超过8个字符）、空格，比如&等。

这样的脚本在不同的os上可能执行会有问题。

b、脚本存放的位置和路径，请遵照上面的原则来做。

c、脚本的编写方面。

特别是适用net use 来map一个fileserver上的路径。

有可能在登陆之前，client上已经有网络盘的映射，如果恰好和你map的盘符一样，将有可能导致脚本执行失败，你可以在脚本的最前面加一句net use * /d /y来解决这个问题。

迁移FRS⾄DFSRSYSVOL截⾄2017年6⽉20⽇，Windows 2016 RS1系统为最后⼀版⽀持FRS，后续版本将不再包含该功能，详细见迁移状态简介The migration process proceeds through a number of states, during which SYSVOL replication transitions from using File Replication Service (FRS) to using Distributed File System Replication (DFS Replication).在从使⽤FRS到使⽤DFS的SYSVOL复制的迁移过程中经过⼏个状态如下：参考State Migration Process for SYSVOL ReplicationStart (State 0)在SYSVOL迁移前，FRS复制SYSVOL共享⽂件夹Prepared(State 1)FRS继续复制域使⽤的SYSVOL共享⽂件夹，⽽DFS复制则复制SYSVOL⽂件夹的副本。

SYSVOL⽂件夹的此副本不⽤于服务来⾃其他域控制器的请求。

Redirected (State 2)SYSVOL⽂件夹的DFS复制副本将负责处理来⾃其他域控制器的SYSVOL请求。

FRS继续复制原始的SYSVOL⽂件夹，但是DFS复制现在复制在重定向状态下使⽤域控制器的⽣产SYSVOL⽂件夹。

Eliminated(State 3)DFS复制继续处理所有SYSVOL复制。

Windows删除原始SYSVOL⽂件夹，FRS不再复制SYSVOL数据。

使⽤dfsrmig命令迁移从start状态置Eliminated状态，在变更为Eliminate状态之前，可以回滚⾄原状态。

在迁移过程中，每个域控制器的状态如下：State number Transition state name4Preparing5Waiting for initial synchronization6Redirecting7Eliminating8Undo redirecting9Undo preparing迁移状态⼤圆标⽰4个迁移状态，⼩圈标⽰域控制器状态回退状态迁移⾄Prepared状态参考执⾏如下任务，当完成时，FRS会持续复制域的SYSVOL共享⽂件夹，同时DFS复制⼀份SYSVOL共享⽂件夹的拷贝。

域——Server 2016迁移FRS 到DFSR22:20:27问题背景原只有一台域控制器是server 2016。

新搭建一台server 2016辅助域控制器，过程顺利，组策略都能正常使用。

后来通过ntdsutil工具夺取五个角色将新的域控设置为主域控制器。

设置完成之后组策略打不开了，GPO文件全没有了。

检查原域控制器，组策略一切正常。

也就是说sysvol不同步了。

Sysvol文件夹里面没有任何GPO信息，没有同步过来AD DS报NtFrs警告Sysvol共享正常FRS 迁移到DFSR概述Update June 20, 2017: It is done; Windows Server 2016 RS1 is the last version that will allow FRS - RS 3 no longer includes the binaries.（微软官方论坛的声明）其实我是用的这个server 2016还是支持FRS的，至于为啥不同步sysvol应该是另有他因。

旧版Windows Server（2000/2003）使用FRS复制同步SYSVOL。

从Windows Server 2008开始，Microsoft决定使用分布式文件系统复制（DFSR），如域功能级别（DFL）设置为Windows Server 2008级别，域复制SYSVOL文件夹通过DFSR 进行复制。

但是，如果客户未将DFL提升到至少Windows Server 2008域功能级别，DC域控之间复制仍然使用旧的FRS来复制SYSVOL。

与FRS相比，DFSR更加可靠和可扩展。

它解决了FRS多年来一直存在几个问题。

如果你想使用DFSR，我们该怎么办？您可以将FRS复制迁移到DFSR，也可以创建一个新域，将DFL至少是Windows Server 2008域功能级别。

正如您在上面的错误消息中所看到的，由于FRS已被弃用，您必须将域配置为从FRS迁移到DFSR。

如何使用登录脚本安装Symantec AntiVirus 企业版8.x 客户端情形您需要可帮助您设置Symantec AntiVirus 企业版8.x (Symantec AV) 客户端登录安装的详细文档。

解释通过使用由服务器安装程序复制到每个受保护的NetWare 服务器和Windows NT 服务器的登录脚本，可以将客户端安装过程自动化。

当允许运行脚本的用户登录到受保护的服务器上时，该脚本会调用程序检查客户端的版本号。

如果服务器上的客户端版本比用户硬盘上的客户端版本新，或者用户的硬盘上未安装客户端，则会运行与您指定的平台对应的客户端安装程序。

您可以设置选项以强制执行客户端安装或提示用户运行安装。

本文档提供了Symantec A V 默认安装的指导。

有关部署具有自定义功能的Symantec A V 安装的信息，请参阅文档：如何使用登录脚本部署自定义的Symantec Client Firewall 或Symantec AntiVirus 安装包（英文）。

注意：除非16 位客户端在Autoexec.bat 文件中指定了临时目录，否则不能在16 位客户端上执行登录脚本安装。

例如：set temp = c:\temp配置客户端登录安装1. 使用Symantec 系统中心启用登录安装。

2. 使用网络管理工具将用户与登录脚本相关联。

由于服务器安装程序会在NetWare 服务器上创建登录组(NortonAntiV irusUser)，在Windows NT 服务器上创建VPLOGON 共享，所以设置用户来运行脚本十分简单。

使用Symantec 系统中心启用登录安装1. 在Symantec 系统中心控制台中，用鼠标右键单击该服务器>“所有任务”> SymantecAntiV irus >“客户端登录扫描和安装”。

2. 单击“安装”选项卡。

3. 为每种计算机类型设置客户端登录安装选项（Windows NT 设置也用于Windows 2000）：∙自动安装：用户无法在登录时取消安装。