Windows 2012 SYSVOL複製失敗的處理

標籤：sysvol   組策略   4012   活動目錄   複製   

 題外話：曉原理、知架構、查日誌是排錯的三件法寶

今天在DC1上建立並連結了一個組策略對像，在用戶端重新整理時，卻報下面的錯誤：

“處理組策略失敗。Windows無法應用組策略對象LDAP….”如所示：

650) this.width=650;" width="552" height="109" title="clip_image001" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;" alt="clip_image001" src="http://img1.51cto.com/attachment/201409/30/9437529_1412069615SFHq.png" border="0" />

於是在用戶端用\\domain.com訪問，發現\\domain.com\SYSVOL\domain.com\policies下面沒有上面報錯的組策略對象。

650) this.width=650;" width="558" height="184" title="clip_image002" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;" alt="clip_image002" src="http://img1.51cto.com/attachment/201409/30/9437529_1412069617E5WP.png" border="0" />

這是怎麼一回事呢，ping domain.com發現位址解析到了DC2的IP，於是我訪問編輯組策略的DC1，發現上面是有這個對象的。

650) this.width=650;" width="439" height="91" title="clip_image003" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;" alt="clip_image003" src="http://img1.51cto.com/attachment/201409/30/9437529_1412069619uUXN.png" border="0" />

到這裡可以明顯看到，SYSVOL複製出現了問題(SYSVOL在win2008後通過DFSR服務進行複製），幾台網域控制站上的SYSVOL內容不一致，由於組策略對象的部分內容是放在SYSVOL裡面的，而應用此組策略時如果訪問到了DC2，由於裡面沒此GPO對象，肯定就會報錯。

於是進入DC1，開啟事件檢視器，在“應用程式和服務日誌\DFS Replication”下面發現了4012錯誤，裡面內容如下：

DFS 複寫服務已停止在以下本地路徑的檔案夾上進行複製: C:\Windows\SYSVOL\domain。 該伺服器已經與其他夥伴中斷連線 201 天， 這已超出了 MaxOfflineTimeInDays 參數(60)所允許的時間。 因此，DFS 複寫將該檔案夾中的資料看作已淘汰， 更正此錯誤之前，該伺服器不會複製此檔案夾。 若要恢複該檔案夾的複製，請使用 DFS 管理嵌入式管理單元 從複製組中刪除此伺服器，然後再將其添加到此組中。 這會導致伺服器執行首次同步處理任務，該任務會將過時的資料 替換為複製組其他成員中的最新資料。 其他資訊: 錯誤: 9061 (複製的檔案夾離線時間太長。) 已複製的檔案夾名稱: SYSVOL Share 已複製的檔案夾 ID: AD12EBEB-2E85-4BD3-A628-29EA5535B77B 複製組名稱: Domain System Volume 複製組 ID: B0987B25-DB56-4C9E-8EB5-325597966A24 成員 ID: C59B6E88-FC22-4A66-B78F-C8F2F0EBA70E

根據上面的建議，是將本伺服器從複製組先刪除再加入，並從其他成員複製資料，但這裡一定要注意，千萬不要根據上面的建議來做，因為現在網域服務器DC1上面有最新的資料，它應該是權威源，是資料從它複製到其他伺服器，所以我們應該把這台DC1手動設定成權威伺服器（也就是源頭），步驟如下：

步驟一：先禁用DC1的DFSR複製。 開啟ADSIEDIT.MSC，定位到 CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain> 這裡的<the server name>是要設定成的權威伺服器，也就是DC1，通常這是域中的PDC模擬器角色服務器，因為裡面有最新的SYSVOL內容，我這裡也是。 修改下面兩個值 msDFSR-Enabled=FALSE 意思是禁用複製               msDFSR-options=1 步驟二：禁用其他所有網域控制站的DFSR複製 與步驟一同樣的位置，選相應的網域服務器。 msDFSR-Enabled=FALSE 步驟三：進行一個AD複製，同步上面的值。 步驟四：啟動權威DC1上的DFSR服務，如果沒有啟動的話。 步驟五：在第一步同樣的位置啟用權威網域控制站的複製，這裡是DC1。 msDFSR-Enabled=TRUE 步驟六：再次進行AD複製。 步驟七：在dc1上運行DFSRDIAG POLLAD 步驟八：啟用其他非權威網域控制站上的DFSR服務和複製。 msDFSR-Enabled=TRUE 步驟九：在其他非權威DC 上運行DFSRDIAG POLLAD。

完成檢查日誌沒有再報錯，再在客戶運行組策略更新也正常了。

650) this.width=650;" width="525" height="93" title="clip_image004" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;" alt="clip_image004" src="http://img1.51cto.com/attachment/201409/30/9437529_1412069619rzUt.png" border="0" />

附：你可以在功能組件的遠端伺服器管理工具中安裝DFS管理工具，然後在管理工具中可以看到直觀的情況，還可以運行診斷報告。

650) this.width=650;" height="279" title="image" style="border:0px;" alt="image" src="http://img1.51cto.com/attachment/201409/30/9437529_1412070153qloZ.png" border="0" />

650) this.width=650;" height="421" title="image" style="border:0px;" alt="image" src="http://img1.51cto.com/attachment/201409/30/9437529_1412070155tDoG.png" border="0" />

本文出自 “老朱的IT基礎架構部落格” 部落格，請務必保留此出處http://12937895.blog.51cto.com/9437529/1559959

Windows 2012 SYSVOL複製失敗的處理