none
windows server 2012 R2组策略故障 RRS feed

  • 问题

  • 大家好,小弟的域环境最开始建立在两台虚拟机上,后来出于安全考虑,将主域控AD01计划迁移到物理服务,由于小弟的失误,当时直接将主域控AD01强性降级并删除了相关的虚拟机,后来在物理机上安装windows server 2012R2,并提升为域控制器后,发现组策略提示无法找到基线服务器,检查结果发现AD01没有正常共享sysvol和netlogo,后来根据网上的提供的方法对服务器进行了更改,最初一段时间组策略恢复正常,后来sysvol和netlogo共享又消失了,现在小弟已经束手无策了,请大大们如果有相关的解决方法,还望不吝赐教!

    以下为网上提供的方法

    SYSVOL的复制有几种状态,根据以上2个链接的官方资料,并对比自己的注册表,位置:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\MigratingSysVols
    发现我的Local State键值为3,即Eliminating状态,因为复制目前是异常,我手动把域控制器们的Local State状态改为0(0是start状态),并且重启了这些域控制器。
    重启后发现,复制已经迅速进行并完成了,并且在复制完成后
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\MigratingSysVols
    里多了一些状态键值,如下图:
    红圈部分是改为0后重启出现的,是复制的一些状态信息,复制完成之后Local State会变回0,之后检查dcdiag,发现报错消失了,在检查SYSVOL文件夹,发现文同步成功了。
    至此,问题算是告一段落。
    另,我发现,原本为c:\windows\sysvol的文件夹被重命名成了c:\windows\sysvol_dfsr ,应是从FRS升级成DFS同步的变更吧。

    QQ图片20130713225216.jpg

    以下为我的AD01的目录服务器诊断日志


    目录服务器诊断


    正在执行初始化设置:

       正在尝试查找主服务器...

       * 正在验证本地计算机 AD-Srv01 是否为目录服务器。 
       主服务器 = AD-Srv01

       * 正在连接到服务器 AD-Srv01 上的目录服务。

       * 已识别的 AD 林。 
       Collecting AD specific global data 
       * 正在收集站点信息。

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded 
       Iterating through the sites 
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn
       Getting ISTG and options for the site
       * 正在标识所有服务器。

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers 
       Getting information for the server CN=NTDS Settings,CN=AD-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=VDI-AD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=VDI-AD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=AD-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * 标识所有 NC 交叉引用。

       * 找到 4 DC。正在测试其中的 1。

       已完成收集初始化信息。


    正在进行所需的初始化测试

       
       正在测试服务器: Default-First-Site-Name\AD-SRV01

          开始测试: Connectivity

             * Active Directory LDAP Services Check
             Determining IP4 connectivity 
             * Active Directory RPC Services Check
             ......................... AD-SRV01 已通过测试 Connectivity



    正在执行主要测试

       
       正在测试服务器: Default-First-Site-Name\AD-SRV01

          开始测试: Advertising

             警告: 当我们尝试访问 AD-SRV01 时,DsGetDcName 返回了 \\AD-Srv02.Parkservice.com.cn

             的信息。

             服务器没有响应或被认为不适合。

             ......................... AD-SRV01 没有通过测试 Advertising

          用户请求忽略的测试: CheckSecurityError

          用户请求忽略的测试: CutoffServers

          开始测试: FrsEvent

             * 文件复制服务事件日志测试 
             ......................... AD-SRV01 已通过测试 FrsEvent

          开始测试: DFSREvent

             The DFS Replication Event Log. 
             跳过该测试,因为服务器正在运行 FRS。

             ......................... AD-SRV01 已通过测试 DFSREvent

          开始测试: SysVolCheck

             * 该文件复制服务 SYSVOL 已准备好测试 
             注册表查找无法确定 SYSVOL 的状态。返回的错误 是 0x0 “操作成功完成。”。检查 FRS 事件日志查看 SYSVOL

             是否已成功共享。 
             ......................... AD-SRV01 已通过测试 SysVolCheck

          开始测试: KccEvent

             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... AD-SRV01 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             Role Schema Owner = CN=NTDS Settings,CN=AD-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn
             Role Domain Owner = CN=NTDS Settings,CN=AD-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn
             Role PDC Owner = CN=NTDS Settings,CN=AD-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn
             Role Rid Owner = CN=NTDS Settings,CN=AD-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=AD-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn
             ......................... AD-SRV01 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             Checking machine account for DC AD-SRV01 on DC AD-SRV01.
             * SPN found :LDAP/AD-Srv01.Parkservice.com.cn/Parkservice.com.cn
             * SPN found :LDAP/AD-Srv01.Parkservice.com.cn
             * SPN found :LDAP/AD-SRV01
             * SPN found :LDAP/AD-Srv01.Parkservice.com.cn/PARKSERVICE
             * SPN found :LDAP/89622998-709c-41cd-82fd-16bb35b6921c._msdcs.Parkservice.com.cn
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/89622998-709c-41cd-82fd-16bb35b6921c/Parkservice.com.cn
             * SPN found :HOST/AD-Srv01.Parkservice.com.cn/Parkservice.com.cn
             * SPN found :HOST/AD-Srv01.Parkservice.com.cn
             * SPN found :HOST/AD-SRV01
             * SPN found :HOST/AD-Srv01.Parkservice.com.cn/PARKSERVICE
             * SPN found :GC/AD-Srv01.Parkservice.com.cn/Parkservice.com.cn
             ......................... AD-SRV01 已通过测试 MachineAccount

          开始测试: NCSecDesc

             * Security Permissions check for all NC's on DC AD-SRV01.
             * 安全权限检查

               DC=DomainDnsZones,DC=Parkservice,DC=com,DC=cn
                (NDNC,Version 3)
             * 安全权限检查

               DC=ForestDnsZones,DC=Parkservice,DC=com,DC=cn
                (NDNC,Version 3)
             * 安全权限检查

               CN=Schema,CN=Configuration,DC=Parkservice,DC=com,DC=cn
                (Schema,Version 3)
             * 安全权限检查

               CN=Configuration,DC=Parkservice,DC=com,DC=cn
                (Configuration,Version 3)
             * 安全权限检查

               DC=Parkservice,DC=com,DC=cn
                (Domain,Version 3)
             * 安全权限检查

               DC=VDI,DC=Parkservice,DC=com,DC=cn
                (Domain,Version 3)
             ......................... AD-SRV01 已通过测试 NCSecDesc

          开始测试: NetLogons

             * Network Logons Privileges Check
             无法连接到 NETLOGON 共享! (\\AD-SRV01\netlogon)

             [AD-SRV01] net use 或 LsaPolicy 操作失败,错误为 67,找不到网络名。。

             ......................... AD-SRV01 没有通过测试 NetLogons

          开始测试: ObjectsReplicated

             AD-SRV01 is in domain DC=Parkservice,DC=com,DC=cn
             Checking for CN=AD-SRV01,OU=Domain Controllers,DC=Parkservice,DC=com,DC=cn in domain DC=Parkservice,DC=com,DC=cn on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=AD-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn in domain CN=Configuration,DC=Parkservice,DC=com,DC=cn on 1 servers
                Object is up-to-date on all servers.
             ......................... AD-SRV01 已通过测试 ObjectsReplicated

          用户请求忽略的测试: OutboundSecureChannels

          开始测试: Replications

             * Replications Check
             * Replication Latency Check
                DC=DomainDnsZones,DC=Parkservice,DC=com,DC=cn
                   Latency information for 10 entries in the vector were ignored.
                      10 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=ForestDnsZones,DC=Parkservice,DC=com,DC=cn
                   Latency information for 11 entries in the vector were ignored.
                      11 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Schema,CN=Configuration,DC=Parkservice,DC=com,DC=cn
                   Latency information for 12 entries in the vector were ignored.
                      12 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Configuration,DC=Parkservice,DC=com,DC=cn
                   Latency information for 12 entries in the vector were ignored.
                      12 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=Parkservice,DC=com,DC=cn
                   Latency information for 11 entries in the vector were ignored.
                      11 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=VDI,DC=Parkservice,DC=com,DC=cn
                   Latency information for 5 entries in the vector were ignored.
                      4 were retired Invocations.  1 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
             ......................... AD-SRV01 已通过测试 Replications

          开始测试: RidManager

             * Available RID Pool for the Domain is 9601 to 1073741823
             * AD-Srv02.Parkservice.com.cn is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 8101 to 8600
             * rIDPreviousAllocationPool is 8101 to 8600
             * rIDNextRID: 8217
             ......................... AD-SRV01 已通过测试 RidManager

          开始测试: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: NtFrs
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... AD-SRV01 已通过测试 Services

          开始测试: SystemLog

             * The System Event log test
             发生了一个警告事件。EventID: 0x00001696

                生成时间: 08/19/2014   10:58:35

                事件字符串: 一个或更多 DNS 记录的动态注册和注销失败,错误如下: 

                没有为本地系统配置 DNS 服务器。

             发生了一个警告事件。EventID: 0x80004235

                生成时间: 08/19/2014   10:58:35

                事件字符串:

                Member Nic {f48e2ab3-558e-462b-b9fc-8e78199baf69} Disconnected.

             发生了一个警告事件。EventID: 0x80004235

                生成时间: 08/19/2014   10:58:35

                事件字符串:

                Member Nic {2a8b92d2-d2b4-41b3-8635-749f0dbbeea5} Disconnected.

             发生了一个错误事件。EventID: 0x00000469

                生成时间: 08/19/2014   11:01:05

                事件字符串:

                处理组策略失败,原因是缺少到域控制器的网络连接。这可能是暂时情况。一旦计算机连接到域控制器并且成功处理组策略,即会产生成功消息。如果几个小时内未显示成功消息,则请与管理员联系。

             发生了一个错误事件。EventID: 0x0000272C

                生成时间: 08/19/2014   11:01:51

                事件字符串:

                DCOM 无法使用任何配置的协议与计算机 AD-Srv02.Parkservice.com.cn 进行通信;请求人 PID     10f8 (C:\Windows\system32\ServerManager.exe)。

             发生了一个错误事件。EventID: 0x0000272C

                生成时间: 08/19/2014   11:01:51

                事件字符串:

                DCOM 无法使用任何配置的协议与计算机 AD-Srv02.Parkservice.com.cn 进行通信;请求人 PID     10f8 (C:\Windows\system32\ServerManager.exe)。

             发生了一个错误事件。EventID: 0x0000272C

                生成时间: 08/19/2014   11:01:51

                事件字符串:

                DCOM 无法使用任何配置的协议与计算机 AD-Srv02.Parkservice.com.cn 进行通信;请求人 PID     10f8 (C:\Windows\system32\ServerManager.exe)。

             发生了一个错误事件。EventID: 0x0000272C

                生成时间: 08/19/2014   11:01:51

                事件字符串:

                DCOM 无法使用任何配置的协议与计算机 AD-Srv02.Parkservice.com.cn 进行通信;请求人 PID     10f8 (C:\Windows\system32\ServerManager.exe)。

             ......................... AD-SRV01 没有通过测试 SystemLog

          用户请求忽略的测试: Topology

          用户请求忽略的测试: VerifyEnterpriseReferences

          开始测试: VerifyReferences

             系统对象参考(serverReference)

             CN=AD-SRV01,OU=Domain Controllers,DC=Parkservice,DC=com,DC=cn 和

             CN=AD-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn

             上的反向链接正确。 
             一些与 DC AD-SRV01 相关的对象存在问题: 
                [1] 问题: 缺少要求的数值

                 基本对象:

                CN=NTDS Settings,CN=AD-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Parkservice,DC=com,DC=cn

                 基本对象描述: “DSA 对象”

                 值对象属性名称: serverReferenceBL

                 值对象描述: “SYSVOL FRS 成员对象”

                 建议操作: 请参阅知识库文章: Q312862

                 
                [1] 问题: 缺少要求的数值

                 基本对象:

                CN=AD-SRV01,OU=Domain Controllers,DC=Parkservice,DC=com,DC=cn

                 基本对象描述: “DC 帐户对象”

                 值对象属性名称: frsComputerReferenceBL

                 值对象描述: “SYSVOL FRS 成员对象”

                 建议操作: 请参阅知识库文章: Q312862

                 
             ......................... AD-SRV01 没有通过测试 VerifyReferences

          用户请求忽略的测试: VerifyReplicas

       
          用户请求忽略的测试: DNS

          用户请求忽略的测试: DNS

       
       正在 DomainDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... DomainDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... DomainDnsZones 已通过测试 CrossRefValidation

       
       正在 ForestDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... ForestDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... ForestDnsZones 已通过测试 CrossRefValidation

       
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

       
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

       
       正在 Parkservice

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Parkservice 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Parkservice 已通过测试 CrossRefValidation

       
       正在 Parkservice.com.cn

        上运行企业测试
          用户请求忽略的测试: DNS

          用户请求忽略的测试: DNS

          开始测试: LocatorCheck

             GC 名称: \\VDI-AD02.VDI.Parkservice.com.cn

             Locator Flags: 0xe000f1fc
             PDC Name: \\AD-Srv02.Parkservice.com.cn
             Locator Flags: 0xe000f3fd
             Time Server Name: \\AD-Srv02.Parkservice.com.cn
             Locator Flags: 0xe000f3fd
             Preferred Time Server Name: \\AD-Srv02.Parkservice.com.cn
             Locator Flags: 0xe000f3fd
             KDC Name: \\AD-Srv02.Parkservice.com.cn
             Locator Flags: 0xe000f3fd
             ......................... Parkservice.com.cn 已通过测试 LocatorCheck

          开始测试: Intersite

             正在跳过站点 Default-First-Site-Name,该站点位于给定命令 行参数提供的范围之外。 
             ......................... Parkservice.com.cn 已通过测试 Intersite

    2014年8月19日 3:37

全部回复