none
域控SYSVOL 目录Policies 目录文件突然减少 RRS feed

  • 问题

  • 我这里有100多台域控。系统版本有一部分2012R2有一部分是08R2, 架构级别都是08R2,使用FSR复制。

    问题,这两天不知哪台域控出问题, 域控中 SYSVOL\Domain\Policies  文件突然变少,策略正常有350多条,Policies 应该也有这么多个文件夹。 不知哪台域控异常,主域控pdc及共它域控被同步成只有20多条文件目录。

    1。我们应该如何查找问题源,因为所有复制都是交叉进行的,是否有日志可以找到Policies 目录文件被删的日志。

    2。有对部份域控进行备份,我应如何快速恢复SYSVOL\Domain\Policies  下的文件,到所有的域控制器上,使其影响减小。


    2018年11月5日 3:55

全部回复

  • 尊敬的客户,您好!
    问题1:我们应该如何查找问题源,因为所有复制都是交叉进行的,是否有日志可以找到Policies 目录文件被删的日志。
    如果您对此文件夹设置了审核策略,我们可以在事件查看器中的安全日志中来检查一下目录文件夹如何丢失的。如果没有设置过这样的审核策略就无法查看到。以下参考文档说明了如何给文件或者文件夹设置审核策略,我们可以尝试给一个测试文件设置一下审核策略,如果没问题,再给SYSVOL文件夹设置审核策略,以便后期有需要的话查看日志。

    问题2:有对部份域控进行备份,我应如何快速恢复SYSVOL\Domain\Policies  下的文件,到所有的域控制器上,使其影响减小。
    根据您的描述,请问我们环境中域控制器的AD复制正常吗?如果正常的话,请问您说的文件复制方式是FSR, 请问是FRS的复制方式吗?
    如果是的话,建议我们按照以下的方式恢复SYSVOL文件夹试试:
    1. 找一台SYSVOL文件夹完好的域控制器。
    2. 先备份SYSVOL文件夹。
    3. 在有问题的域控制器上执行非授权恢复(此域控制器的复制伙伴的SYSVOL是正常的),停止FRS服务,通过将以下注册表项的值设置为DWORD值D2来配置BurFlags注册表项。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags

    Name:BurFlags
    Type:DWORD
    Value:D2

    5. 重启此域控制器上的FRS服务。
    6. 按照以上的步骤和要求在所有有问题的域控制器上执行相同的操作。
    7. 如果在所有有问题的域控制器上都执行了操作以后,问题还存在的话,在好的域控制器上执行授权恢复,停止FRS服务。通过将以下注册表项的值设置为DWORD值D4来配置BurFlags注册表项。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags
    Name:BurFlags
    Type:DWORD
    Value:D4
    在执行操作的域控制器上重启FRS服务。
    8. 查看授权还原后的域控制器上的SYSVOL文件夹是否已经恢复。


    参考文档:

    Apply a basic audit policy on a file or folder
    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder

    Using the BurFlags registry key to reinitialize File Replication Service
    https://support.microsoft.com/zh-cn/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

    Backing Up and Restoring an FRS-Replicated SYSVOL Folder
    https://docs.microsoft.com/en-us/windows/desktop/VSS/backing-up-and-restoring-an-frs-replicated-sysvol-folder
    Best Regards,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.





    2018年11月7日 10:44
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?

    最后,感谢您的理解和支持,祝愿您工作愉快!

    Best Regards,
    Daisy Zhou



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2018年11月9日 9:43
  • 尊敬的客户,您好
    我想确定一下您的问题是否解决了呢?如果有什么不清楚的地方,欢迎您随时咨询我们!
    感谢您的理解与支持,祝您工作愉快!
    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月14日 8:57