今天打开服务器,发现无法打开活动目录用户和计算机,很是郁闷。思考这两天没有对域控制器做什么动作啊,昨晚刚做了活动目录灾难恢复的实试。难道是SYSVOL与NELOGON共享丢失了?
看看日志里全是userenv 1045的报错。
怀着这个疑问,我查看了一个系统共享!果然是丢失了。
再看看SYSVOL资料夹,确实没有共享了,不过还好,文件都还在!
现在我们对注册表进行修改,将BurFlags的值改为D4的十六进制值。
做这个设定后,我们开始重启netlogon及ntfrs服务。
再看看,现在sysvol已经成功的共享了。。。
不过,郁闷的是netlogon未成功共享。所以我们还有步骤要走!经查看,发现SYSVOL里有相关策略与脚本都丢失了。为了避免其他问题,我决定将NETLOGON进行重建。(与策略与脚本相关的文件夹都没有,所以我们对目录缺少的目录进行重建)
在C:\WINDOWS\SYSVOL\domain目录下新建两个文件夹:Policies和.s
这两个文件夹名可千万不要错啊,笔者两台域控都出了问题,有一台因为一个文件夹名少了一个字母,笔者折腾了半天仍是不行。最后发现是文件名的问题,郁闷吧!细心就不会哟。
现在我们需要重启NTFRS服务对目前的目录进行自动完善。
把SYSVOL\SYSVOL\microsoft.com 与\sysvol\domain做一个链接
把sysvol\staging areas\microsoft.com 与sysvol\staging\domain做一个链接
在执行下列命令linkd时请确保你的系统有安装windows Resource Kits工具哟,不然将无法识别哟
改变BurFlags的值重新改变为D4
重启服务,完成目录重建工作
OK,两个目录已经成功的共享了。YES
通过此次故障排错,对于SYSVOL重建,个人觉得只要理解了其中的原理,认真分析还是很容易找到问题的关键的。我想在做重建中,最重要的莫过于两个目录之间的链接,这样一来便有了后来的NETLOGON资料夹。
当然解决了之前的问题之后,我们的日志里又出现了1030的报错。
对于这种问题,我个人觉得最简单的方法就是:
1.如果你之前有备份组策略的话,那现在你可以还原一下了。
2.如果你没有备份,只有重置原来的策略了。(我没有备份,所以我使用方法2)
使用dcgpofix /target:BOTH,将域及域控策略进行恢复。
结果居然是失败的,工具跟活动目录的版本不相符,算了使用/ignoreschema来还原吧
还原成功了!
整个步骤与思路:
1.如果SYSVOL缺少相关的目录,那我们就开始手动建立吧
2.特殊的文件,我们需要特别的工具来执行。
3.通过修改相关的注册表键值+重启ntfrs服务来实现自动完善文件。
4.修复SYSVOL与NETLOGON后,最容易出现组策略问题,所以做组策略备份是有必要的,实在不行你可以重置默认组策略。
|
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/364978,如需转载请自行联系原作者