DC降级不行。
在卸载AD过程中出现朝作失败:
未能按要求配置服务NETLOGON,等待的操作过时!
怎么办?
---------------------------------------------------------------
检查你的DNS的配置
---------------------------------------------------------------
Windows 2000 域控制器上丢失 SYSVOL 和 NETLOGON 共享疑难解答
适用于
概要
文件复制服务 (FRS) 是一个取代 Microsoft Windows NT 3.x 和 4.0 中的 LMREPL 服务的多线程、多主复制引擎。Microsoft Windows 2000 域控制器和服务器使用 FRS 为基于 Windows 2000 和更早版本的客户端复制系统策略和登录脚本。
FRS 还可以在承载相同的容错 DFS 根或子节点副本的 Windows 2000 服务器之间复制内容。
本文介绍在丢失了 netlogon 和 sysvol 共享的 Windows 2000 域控制器上使用的问题排查步骤。
更多信息
丢失 netlogon 和 sysvol 共享这一情况一般发生在现有域中的副本域控制器上,但是也可能会发生在某一新域的第一个域控制器上。下列步骤主要侧重于副本域控制器的情形,但如果忽略其中特定于复制的步骤,这些步骤也适用于域中的第一个域控制器的情形。
NTDS Connection(NTDS 连接)对象存在于每一个复制伙伴的 DS 中。
NTDS 连接是单向连接,Directory Service 可用它们复制 Active Directory,文件复制服务 (FRS) 可用它们复制 SYSVOL 文件夹中的系统策略的文件系统部分。“信息一致性检查器”(KCC) 负责构建 NTDS 连接对象,以便在域和目录林中的域控制器之间构成一个连接良好的拓扑结构。作为自动连接的替代方式,管理员还可以创建手动连接对象。
使用“站点和服务”(Dssite.msc) 管理单元检查有问题计算机和现有域控制器之间的连接对象。对于发生在计算机 \\M1 和 \\M2 之间的复制,\\M1 应该有一个来自 \\M2 的入站连接对象,并且 \\M2 应该有一个来自 \\M1 的入站连接对象。使用 Dssites.msc 中的“连接到域控制器...”命令,查看并比较从域控制器的角度看的域内连接对象。
对于新的副本成员如果不存在连接对象,请使用 Dssites.msc 中的检查复制拓扑命令,强制 KCC 构建必需的自动连接对象(然后按 F5 键刷新视图)。
如果 KCC 不能构建自动连接,管理员应该介入,为与域中的其他域控制器没有入站或出站连接的域控制器构建手动连接对象。通常,构建单个能用的手动连接对象后即可让 KCC 构建您希望的自动连接对象。应删除来自域中的同一域控制器的重复手动和/或自动连接,以避免出现下面的 Microsoft 知识库文章中描述的复制堵塞配置:
251250 NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist
Active Directory 复制将在域中新的和现有的域控制器之间进行。
使用 Repadmin.exe 确认 Active Directory 复制是否正在以计划的复制间隔在同一域中的源和目标域控制器之间进行。在同一站点中域控制器之间的默认复制间隔是 5 分钟,不同站点中的域控制器之间的默认复制间隔是每三小时一次(最低 15 分钟)。
REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%
FRS 复制依赖 Active Directory 在域中的域控制器之间复制必需的配置信息。如果怀疑复制有问题,请在潜在的源计算机 (\\M1) 和目标计算机 (\\M2) 上把
HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\
中的“replication events”项设置为“5”后检查事件查看器中的复制事件,然后用 Dssites.msc 中的“立即复制”命令或 REPLMON 中与之等效的命令强制执行从 \\M1 到 \\M2 和从 \\M2 到 \\M1 的复制。
用于为 Active Directory 和 SYSVOL 文件夹提供源的服务器自己应该已经创建了 NETLOGON 和 SYSVOL 共享。
在 Dcpromo.exe 程序重启计算机后,FRS 首先尝试从“Replica Set Parent”注册表项中确定的计算机为 SYSVOL 提供源,此注册表项位于下面的路径下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\域名
备注:此项是临时的,一旦为 SYSVOL 提供了源或者已成功复制了 SYSVOL 下的信息,将删除此项。
Ntfrs.exe 的 2195 版可防止自此初始源服务器的复制,将 SYSVOL 复制推迟到 FRS 能够尝试通过自动或手动 NTDS 连接对象自域中的一个入站复制伙伴执行复制时。
域中所有潜在的源控制器本身应该已经共享了 NETLOGON 和 SYSVOL 共享区并已应用了默认的域和域控制器策略。
SYSVOL 目录结构:
domain
DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Policies
{GUID}
Adm
MACHINE
USER
{GUID}
Adm
MACHINE
USER
{etc.,}
scripts
staging
staging areas
MyDomainName.com
scripts
sysvol(sysvol share)
MyDomainName.com
DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Policies
{GUID}
Adm
MACHINE
USER
{GUID}
Adm
MACHINE
USER
{etc.,}
scripts(NETLOGON share)
有关以初始副本作为源所带来的问题方面的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的文章:
250545 SYSVOL Directory Is Slow to Synchronize, Delays Creation of SYSVOL Share and Domain Controller Registration
在域控制器 OU 上的默认域控制器策略中,应授予“Enterprise Domain Controllers”组“从网络访问这台计算机”的权限。
在使用 Dcpromo.exe 程序期间 Active Directory 的复制使用在 Active Directory 安装向导中指定的凭证。重新启动时,复制在域控制器的计算机帐户上下文中进行。域中的所有源域控制器都必须成功地复制并应用向“Enterprise Domain Controllers”组授予“从网络访问这台计算机”这一权限的策略。如想快速验证,请在潜在的源域控制器的应用程序日志中查找事件 1704。如想详细验证,请对照 Basicdc.inf 模板执行安全配置分析(要求分别为 SYSVOL、DSLOG 和 DSIT 定义其环境变量)
250454 Error Returned Importing the BASICDC Security Template in Security Configuration Editor
并且检查生成的日志输出。
从 Windows NT 4.0 升级到 Windows 2000 的域中往往会丢失“从网络访问这台计算机”权限,从而导致 Active Directory 和 FRS 复制失败并伴有“访问被拒绝”这样的错误消息。
每一个域控制器必须能够解析 (ping) 参与副本集的计算机的完全合格计算机名称(%计算机名称%.<域名>)
对于 SYSVOL,这意味着对域中所有域控制器的完全合格计算机名称执行 ping 命令。确认由 ping 命令返回的地址是否与在每一个副本集复制伙伴的控制台中由 IPCONFIG 返回的 IP 地址匹配。
FRS 服务必须已经创建了 NTFRS jet 数据库。
对域中的每一个域控制器运行“DIR \<计算机名>\admin$\ntfrs\jet”,以确认 NTfrs.jdb 文件是否存在。当 NTFRS 服务正在运行时,jet 数据库的日期和大小可能不正确(设计使然)。
每一个域控制器都必须是 SYSVOL 副本集的一个成员。
在所有的副本集成员上运行“NTFRSUTL DS [COMPUTERNAME]”。确认域中的所有域控制器是否显示在 NTFRSUTL 输出的“SET:DOMAIN SYSTEMVOLUME (SYSVOL SHARE)”部分下。当“高级功能”在视图菜单下启用时,SYSVOL 副本集及其成员也可以显示在“用户和计算机”(Dsa.msc) 管理单元中的 cn="domain system volume"、cn=file replication service、cn=system、dc=
1<fqdn> 下。
2每一个域控制器都必须是此副本集的订阅服务器。
3
4在所有的副本集成员上运行“NTFRSUTL DS [COMPUTERNAME]”。订阅服务器对象出现在 cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<fqdn> 中。这要求机器对象存在而且已复制。NTFRSUTL 在订阅服务器丢失时将报告下面的内容:
5SUBSCRIPTION:NTFRS SUBSCRIPTIONS DN :cn=ntfrs subscriptions,cn=W2KPDC,ou=domain controllers,dc=d...Guid :
65c44b60b-8f01-48c6-8604c630a695dcdd
7Working :f:\winnt\ntfrs
8Actual Working:f:\winnt\ntfrs
9WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
10
11必须启用“复制计划”。
12承载 SYSVOL 共享和暂存文件夹的逻辑驱动器在上游和下游复制伙伴上拥有足够的可用磁盘空间。例如,您要尝试复制的内容的总量的 50% 和正在复制的最大文件大小的三倍。
13检查新副本的目标文件夹和暂存文件夹(显示在“NTFRSUTL DS”中),看文件是否在被复制。在暂存文件夹中的文件应处于移动到最终位置的过程中。暂存或目标文件夹中文件数量不断变化是一个好的信号,标志着文件正在复制或转移到目标文件夹中。
14备注:Ntfrsutl.exe 是 Windows 2000 Resource Kit 中包括的一个工具。</fqdn></fqdn>