標籤:windows server 2012 輔助域控 netlogon sysvol
公司建立域控由於分公司需要輔助域控,就建立了一台額外域控,但是該域控建好後發現組策略不生效,檢查sysvol檔案夾一片空白,肯定是沒有從主域控複製過來,使用dcdiag檢查,有下面報錯
目錄伺服器診斷
正在執行初始化設定:
正在嘗試尋找主伺服器...
* 正在驗證本機電腦 cansinesv02 是否為目錄伺服器。
主伺服器 = cansinesv02
* 正在串連到伺服器 cansinesv02 上的目錄服務。
* 已識別的 AD 林。
Collecting AD specific global data
* 正在收集網站資訊。
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=cansine,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
Getting ISTG and options for the site
* 正在標識所有伺服器。
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=cansine,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=CANSINESV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* 標識所有 NC 交叉引用。
* 找到 2 DC。正在測試其中的 1。
已完成收集初始化資訊。
進行中所需的初始化測試
正在測試伺服器: Default-First-Site-Name\CANSINESV02
開始測試: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... CANSINESV02 已通過測試 Connectivity
正在執行主要測試
正在測試伺服器: Default-First-Site-Name\CANSINESV02
開始測試: Advertising
警告: 當我們嘗試訪問 CANSINESV02 時,DsGetDcName 返回了 \\cansinesv01.cansine.com
的資訊。
伺服器沒有響應或被認為不適合。
......................... CANSINESV02 沒有通過測試 Advertising
使用者請求忽略的測試: CheckSecurityError
使用者請求忽略的測試: CutoffServers
開始測試: FrsEvent
* 檔案複寫服務 (FRS)事件記錄測試
跳過該測試,因為伺服器正在運行 DFSR。
......................... CANSINESV02 已通過測試 FrsEvent
開始測試: DFSREvent
The DFS Replication Event Log.
SYSVOL 共用後的最近 24 小時內出現了警告或錯誤事件。 失敗的 SYSVOL 複製問題可能導致組策略問題。
發生了一個警告事件。EventID: 0x80001780
產生時間: 04/25/2017 09:34:30
事件字串:
DFS 複寫服務未能更新 Active Directory 網域服務中的配置。 該服務將定期重試此操作。
其他資訊:
物件類別: msDFSR-LocalSettings
對象 DN: CN=DFSR-LocalSettings,CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com
錯誤: 2 (系統找不到指定的檔案。)
網域控制站: cansinesv01.cansine.com
輪詢周期: 60
發生了一個警告事件。EventID: 0x80001A94
產生時間: 04/25/2017 09:34:30
事件字串:
DFS 複寫服務檢測到,沒有為複製組 Domain System Volume 配置任何串連。沒有為此複製組複製任何資料。
其他資訊:
複製組 ID: A2B3C0F4-6F86-4D84-BD56-07925A7F400D
成員 ID: E64FADA9-4460-4505-A2B1-F3A3CD4709C5
發生了一個警告事件。EventID: 0x80001206
產生時間: 04/25/2017 09:34:33
事件字串:
DFS 複寫服務在本地路徑 C:\Windows\SYSVOL\domain 上啟動了 SYSVOL,並且正在等待 執行初始複製。複製的檔案夾在與其夥伴 cansinesv01.cansine.com 進行複製之前, 將保持首次同步處理狀態。如果伺服器正在升級為網域控制站, 則在解決該問題之前,網域控制站將不會進行播發, 也不會發揮如同網域控制站的功能。 如果指定的夥伴也處於此首次同步處理狀態,或者如果此伺服器或 同步夥伴遇到共用衝突,則可能發生這種情況。 如果在從檔案複寫服務 (FRS)(RFS)到 DFS 複寫的 SYSVOL 遷移過程中 發生此事件,則在解決此問題之前,將不複製更改。 這可能導致該伺服器上的 SYSVOL 檔案夾與其他網域控制站不同步。
其他資訊:
已複製檔案夾名: SYSVOL Share
已複製檔案夾 ID: 2AACD329-0A7E-4E60-B860-89DEEDF92A2D
複製組名: Domain System Volume
複製組 ID: A2B3C0F4-6F86-4D84-BD56-07925A7F400D
成員 ID: E64FADA9-4460-4505-A2B1-F3A3CD4709C5
唯讀: 0
發生了一個警告事件。EventID: 0x80001780
產生時間: 04/25/2017 09:39:32
事件字串:
DFS 複寫服務未能更新 Active Directory 網域服務中的配置。 該服務將定期重試此操作。
其他資訊:
物件類別: msDFSR-LocalSettings
對象 DN: CN=DFSR-LocalSettings,CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com
錯誤: 2 (系統找不到指定的檔案。)
網域控制站: cansinesv01.cansine.com
輪詢周期: 60
......................... CANSINESV02 已通過測試 DFSREvent
開始測試: SysVolCheck
* 該檔案複寫服務 (FRS) SYSVOL 已準備好測試
註冊表尋找無法確定 SYSVOL 的狀態。返回的錯誤 是 0x0 “操作成功完成。”。檢查 FRS 事件記錄查看 SYSVOL
是否已成功共用。
......................... CANSINESV02 已通過測試 SysVolCheck
開始測試: KccEvent
* The KCC Event log test
Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
......................... CANSINESV02 已通過測試 KccEvent
開始測試: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
Role Domain Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
Role PDC Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
Role Rid Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
Role Infrastructure Update Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
......................... CANSINESV02 已通過測試 KnowsOfRoleHolders
開始測試: MachineAccount
Checking machine account for DC CANSINESV02 on DC CANSINESV02.
* SPN found :LDAP/cansinesv02.cansine.com/cansine.com
* SPN found :LDAP/cansinesv02.cansine.com
* SPN found :LDAP/CANSINESV02
* SPN found :LDAP/cansinesv02.cansine.com/CANSINE
* SPN found :LDAP/912b5709-ed13-4ce5-baf0-23135e64968b._msdcs.cansine.com
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/912b5709-ed13-4ce5-baf0-23135e64968b/cansine.com
* SPN found :HOST/cansinesv02.cansine.com/cansine.com
* SPN found :HOST/cansinesv02.cansine.com
* SPN found :HOST/CANSINESV02
* SPN found :HOST/cansinesv02.cansine.com/CANSINE
* SPN found :GC/cansinesv02.cansine.com/cansine.com
......................... CANSINESV02 已通過測試 MachineAccount
開始測試: NCSecDesc
* Security Permissions check for all NC‘s on DC CANSINESV02.
* 安全許可權檢查
DC=DomainDnsZones,DC=cansine,DC=com
(NDNC,Version 3)
* 安全許可權檢查
DC=ForestDnsZones,DC=cansine,DC=com
(NDNC,Version 3)
* 安全許可權檢查
CN=Schema,CN=Configuration,DC=cansine,DC=com
(Schema,Version 3)
* 安全許可權檢查
CN=Configuration,DC=cansine,DC=com
(Configuration,Version 3)
* 安全許可權檢查
DC=cansine,DC=com
(Domain,Version 3)
......................... CANSINESV02 已通過測試 NCSecDesc
開始測試: NetLogons
* Network Logons Privileges Check
無法串連到 NETLOGON 共用! (\\CANSINESV02\netlogon)
[CANSINESV02] net use 或 LsaPolicy 操作失敗,錯誤為 67,找不到網路名稱。。
......................... CANSINESV02 沒有通過測試 NetLogons
開始測試: ObjectsReplicated
CANSINESV02 is in domain DC=cansine,DC=com
Checking for CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com in domain DC=cansine,DC=com on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=CANSINESV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com in domain CN=Configuration,DC=cansine,DC=com on 1 servers
Object is up-to-date on all servers.
......................... CANSINESV02 已通過測試 ObjectsReplicated
發現是沒有netlogon和sysvol共用,通過微軟知識庫查詢到問題,需要更改註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters中的
SysvolReady索引值更改為1。
原文地址
https://support.microsoft.com/en-us/help/947022/the-netlogon-share-is-not-present-after-you-install-active-directory-domain-services-on-a-new-full-or-read-only-windows-server-2008-based-domain-controller
改完後,將netlogon和dfsr這兩個服務重啟一下,發現問題解決。
本文出自 “天楓的個人世界” 部落格,請務必保留此出處http://tf123.blog.51cto.com/514377/1919167
windows 2012建立額外域控沒有netlogon和SYSVOL共用的解決辦法