現有域中的副本域控制器上通常會出現缺少 SYSVOL 和 NETLOGON 共享的情況,但是新域中的第一個域控制器上也可能會出現這種情況。可以對副本域控制器執行下面這些步驟,也可以對域中的第一個域控制器執行除復制特定步驟以外的所有這些步驟。 • NTDS 連接對象存在於每個復制伙伴的 DS 中。
NTDS 連接是單向連接。目錄服務使用這些連接復制 Active Directory,“文件復制服務”(FRS) 使用這些連接來復制 SYSVOL 文件夾中系統策略的文件系統部分。“知識一致性檢查器”(KCC) 負責建立 NTDS 連接對象以在域和林中的域控制器之間形成連接良好的拓樸。如果沒有自動連接,管理員還可以創建手動連接對象。
使用“站點和服務”(Dssite.msc) 管理單元檢查問題計算機和現有域控制器之間存在的連接對象。要在計算機 \\M1 和 \\M2 之間進行復制,\\M1 必須具有來自 \\M2 的入站連接對象,並且 \\M2 必須具有來自 \\M1 的入站連接對象。使用 Dssites.msc 中的連接到域控制器命令查看和比較每個域控制器的域內連接對象的透視圖。
如果新副本成員沒有連接對象,請使用 Dssites.msc 中的檢查復制拓樸命令強制 KCC 創建自動連接對象。執行完此操作後,請按 F5 鍵以刷新視圖。
如果 KCC 無法建立自動連接,管理員必須為沒有指向或來自域中其他域控制器的入站或出站連接的域控制器建立手動連接對象。如果您建立了單個有效的手動連接對象,KCC 可以成功建立自動連接對象。從域中同一個域控制器中刪除重復的手動或自動連接以避免出現禁止復制的配置。有關此問題的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
251250 (http://support.microsoft.com/kb/251250/EN-US/) NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist
• Active Directory 復制在域中的新域控制器和現有域控制器之間進行。
使用 Repadmin.exe 確認是否以計劃的復制間隔在同一域中的源域控制器和目標域控制器之間進行 Active Directory 復制。同一站點中域控制器之間的默認復制間隔是 5 分鐘,不同站點中域控制器之間的默認復制間隔是 3 個小時,最短是 15 分鐘。
REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
FRS 復制依賴 Active Directory 在域中的域控制器之間復制配置信息。如果您認為復制有問題,請在事件查看器中檢查復制事件。在潛在源計算機 (\\M1) 和目標計算機 (\\M2) 上將以下注冊表項中的“復制事件”項設置為 5,然後執行此操作:
HKEY_LOCAL_MACHINE\System\CCS\Services\NTDS\Diagnostics\
設置此項後,使用 Dssites.msc 中的立即復制命令或 REPLMON 中的等效命令,從 \\M1 強制復制到 \\M2 並從 \\M2 強制復制到 \\M1。
• 用於尋找 Active Directory 和 SYSVOL 文件夾的源的服務器應該已經自已創建了 NETLOGON 和 SYSVOL 共享。
在 Dcpromo.exe 程序重新啟動計算機後,FRS 首先會嘗試從以下“副本集父服務器”注冊表項中標識的計算機尋找 SYSVOL 共享的源:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\域名
注意:此項是臨時的,在找到 SYSVOL 的源後或者成功復制了 SYSVOL 下的信息後,會將其刪除。
Ntfrs.exe 的 2195 發行版禁止從此初始源服務器進行復制。這會延遲 SYSVOL 復制,直到 FRS 可以嘗試通過自動或手動 NTDS 連接對象從域中的入站復制伙伴進行復制。
通常,域中所有潛在的源域控制器已經共享了 NETLOGON 和 SYSVOL 共享,並且已經應用了默認域和域控制器策略。
SYSVOL 文件夾結構: • domain • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
• Policies • {GUID} • Adm
• MACHINE
• USER
• {GUID} • Adm
• MACHINE
• USER
• {etc.,}
• scripts
• staging
• staging areas
• MyDomainName.com
• scripts
• sysvol(sysvol share)
• MyDomainName.com
• DO_NOT_REMOVE_NtFrs_PreInstall_Directory
• Policies
• {GUID} • Adm
• MACHINE
• USER
• {GUID} • Adm
• MACHINE
• USER
• {etc.,}
• scripts(NETLOGON share)
• 必須在域控制器組織單位中的默認域控制器策略中將“從網絡訪問這台計算機”權限授予“企業域控制器”組。
在使用 Dcpromo.exe 程序的過程中執行的 Active Directory 復制會使用“Active Directory 安裝向導”中提供的憑據。重新啟動時,會在域控制器的計算機帳戶的上下文中進行復制。域中的所有源域控制器都必須成功復制並應用將“從網絡訪問這台計算機”權限授予“企業域控制器”組的策略。要進行快速驗證,請在潛在源域控制器的應用程序日志中查找事件 1704。要進行詳細驗證,請針對 Basicdc.inf 模板運行安全配置分析並檢查日志輸出。請注意,這需要為 SYSVOL、DSLOG 和 DSIT 定義環境變量。 有關如何完成此操作的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
250454 (http://support.microsoft.com/kb/250454/EN-US/) Error Returned Importing Security Template
在 Windows Server 2003 中,已經沒有 Basicdc.inf 模板了。要重新應用默認設置或對當前設置與默認設置進行比較,請使用“安裝 security.inf”模板。
• 每個域控制器都必須能夠解析 (ping) 加入副本集的計算機的完全限定計算機名稱。
對於 SYSVOL,這意味著對域中所有域控制器的完全限定計算機名執行 ping 操作。確認 ping 命令返回的地址與每個副本集伙伴控制台中的 IPCONFIG 返回的 IP 地址一致。
• FRS 服務必須已經創建了 NTFRS jet 數據庫。
針對域中的每個域控制器運行 DIR \\計算機名稱\Admin$\NTFRS\Jet 命令,以確認 Ntfrs.jdb 文件是否存在。NTFRS 服務運行時,jet 數據庫的數據和大小可能不正確。這種現象是設計所導致的。
• 每個域控制器都必須是 SYSVOL 副本集的成員。
在所有副本集成員上,運行 NTFRSUTL DS [計算機名稱] 命令。確認域中的所有域控制器都顯示在 NTFRSUTL 輸出的“SET:DOMAIN SYSTEMVOLUME (SYSVOL SHARE)”部分下。在查看菜單下打開“高級功能”時,SYSVOL 副本集及其成員也可以顯示在“用戶和計算機 (Dsa.msc)”管理單元中的 cn="domain system volume",cn=file replication service,cn=system,dc=FQDN 下。
• 每個域控制器都必須是副本集的訂戶。
在所有副本集成員上,運行 NTFRSUTL DS [計算機名稱] 命令。訂戶對象顯示在 cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=DCNAME,OU=Domain Controllers,DC=FQDN 中。這要求計算機對象存在並且已經進行了復制。NTFRSUTL 可在缺少訂戶對象時生成以下消息:
SUBSCRIPTION:NTFRS SUBSCRIPTIONS DN :cn=ntfrs
subscriptions,cn=W2KPDC,ou=domain controllers,dc=d...Guid :
5c44b60b-8f01-48c6-8604c630a695dcdd
Working :f:\winnt\ntfrs
Actual Working:f:\winnt\ntfrs
WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
• 必須打開“復制計劃”。
• 承載 SYSVOL 共享和暫存文件夾的邏輯驅動器在上游伙伴和下游伙伴中具有大量可用磁盤空間。例如,空間是您嘗試復制的內容的 50% 以及所復制的最大文件大小的三倍。
• 請檢查新副本的目標文件夾和暫存文件夾(顯示在“NTFRSUTL DS”中),以查看是否正在復制文件。暫存文件夾中的文件必須在被移向最終位置的進程中。暫存文件夾或目標文件夾中文件數量的不斷變化,真是一個很有用的信號,我們可以由此了解到文件正在目標文件夾中進行復制,或者正在向目標文件夾轉換。