04
2022
08
16:53:33

如何在域中重新生成 SYSVOL 树及其内容

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/group-policy/rebuild-sysvol-tree-and-content-in-a-domain


本文介绍如何使用 Burflags 注册表项在常见 Active Directory 目录服务域中的所有域控制器上重建系统卷 (SYSVOL) 树的每个域控制器副本。

适用于:  Windows Server 2012R2
原始 KB 编号:   315457

windows-server/group-policy/rebuild-sysvol-tree-and-content-in-a-domain#introduction" aria-labelledby="introduction" style="box-sizing: inherit; outline-color: inherit; background-color: rgba(0, 0, 0, 0); cursor: pointer; overflow-wrap: normal; text-decoration-line: none; outline-style: initial; outline-width: 0px; font-family: docons; font-size: 1rem; speak: none; font-variant-numeric: normal; font-variant-east-asian: normal; text-align: center; direction: ltr; -webkit-font-smoothing: antialiased; font-weight: 400; line-height: 16px; display: inline-block; width: 1px; transition: opacity 0.1s linear 0s; position: absolute; left: 0px; transform: translateY(-50%) scale(1); top: 1.38125rem; clip: rect(1px, 1px, 1px, 1px); clip-path: inset(50%); height: 1px; opacity: 0; border: 0px; margin: -1px; padding: 0px; overflow: hidden;">简介

术语 SYSVOL 是指一组文件和文件夹,它们驻留在域中每个域控制器的本地硬盘上,并且由文件复制服务 (FRS) 。 网络客户端通过以下共享文件夹访问 SYSVOL 树的内容:

  • NETLOGON

  • SYSVOL

我们建议采用本文中所述的过程作为还原域的 SYSVOL 树及其内容的最后手段。 只有在无法使 FRS 在域中各个域控制器上正常工作时,才使用此过程。 只有在执行批量重启比排查并解决复制不一致问题更快时,才使用此过程,解决时间是一个关键因素。

 重要

在此过程过程中,域控制器不会为身份验证请求提供服务。 只有在再次共享 SYSVOL 和 NETLOGON 文件夹时,域控制器才对请求进行身份验证。 此过程不应在高峰时段执行。

 备注

请参阅本文的如何临时稳定域 SYSVOL 树部分,了解如何临时稳定域 SYSVOL 树,直到可以完成如何跨企业环境重建域 SYSVOL 副本集部分的所有步骤。

强烈建议使用监视工具监视 FRS 性能和运行状况。 通过使用监视工具,可以防止需要副本集权威和非权威还原。 此外,通过使用监视工具,您可以深入了解 FRS 失败的根本原因。

监视工具为可下载的监视工具。

提供 FRS 副本集的运行状况分级和历史信息,是衡量 FRS 副本集运行情况的强大工具。 该部署工具是一个复杂的监控系统,它使用 Windows Management Instrumentation (WMI) 提供程序、数据收集服务、Microsoft SQL Server 桌面引擎 (MSDE) 数据库和功能强大的用户界面。

准则

 重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 若要详细了解如何备份和还原注册表,请参阅如何在 Windows 中备份和还原注册表

使用以下准则配置 Burflags 注册表项:

  • 如果启动 FRS 时 Burflags 注册表项设置为 D4,则 FRS 最初将 SYSVOL 树的本地副本上的文件和文件夹视为副本集的权威文件。 只能使用 D4 设置初始化 FRS 副本集的一个成员。

  • 如果启动 FRS 时 Burflags 注册表项设置为 D2,则 FRS 将执行来自直接复制或可传递复制合作伙伴(托管副本集内文件和文件夹的权威副本)的文件和文件夹的完全同步。

  • 在启动 FRS 时,Burflags 注册表项设置为 D4 时,即使未实际还原系统状态,该配置也称作 FRS 副本集内容的"权威还原"。 将 D4 设置视为重新构建新域中第一个域控制器的 FRS 部分。

  • 在启动 FRS 时,Burflags 注册表项设置为 D2 时,该配置称为非权威还原,即使未发生系统状态还原。 将 D2 设置视为重新构建副本域控制器的 FRS 部分,就像域控制器是新的一样。

  • 在每个权威或非权威还原计算机完成初始化后,FRS 将变为多主机感知。

  • 如果在单个域控制器上将 Burflags 设置为 D4,并且该域中的所有其他域控制器上的 Burflags 设置为 D2,可以在该域中重新生成 SYSVOL 树。 此批量重新生成过程称为中心、分支或批量 FRS 重启。

以下部分列出了 SYSVOL 副本集批量重启的有效用法:

  • 当前不一致的 FRS 副本集的成员对 SYSVOL 树中所有文件和文件夹执行完全同步的速度比成员可以处理驻留在上游复制合作伙伴的传出日志中的更改的积压工作要快。

  • FRS 副本集内大多数成员都有错误,例如journal_wrap错误。 有关错误的详细信息journal_wrap,请参阅如何排查 Sysvol journal_wrap DFS副本集上的错误。

  • 副本集大多数成员的 ID 表包含副本集内应托管的文件的不完整说明。

  • FRS 数据库文件由于意外删除、文件系统错误或数据库文件错误(包括 JET 数据库验证工具标识的损坏)而受到威胁。

  • FRS 副本集中的大部分成员无法复制文件和文件夹,批量 D4 或 D2 配置是一种将所有成员重新初始化为新成员的方法。

 备注

  • 如果 FRS 在单个成员上为错误状态,则只能对单个成员将 BurFlags 设置为 D2。

  • 如果由于安全问题而重新生成 SYSVOL 树,或者如果有问题的拓扑已影响 FRS 副本集内文件和文件夹的一致性,则只能看到临时好处。 例如,当复制的内容上存在过多的下游合作伙伴或发生了过多的更改时,会出现此情况。 在这种情况下,我们建议您解决任何基础问题的根本原因。 否则,第一次导致重新构建 SYSVOL 树的问题可能会再次发生。

  • 若要重新生成 SYSVOL 树,我们建议域中所有基于 Windows 2000 的域控制器都安装了 Windows 2000 Service Pack 3 (SP3) 或更高版本的 NTFRS.exe 文件。 如果你的 NTFRS.exe 文件版本低于 Windows 2000 Service Pack 3,请安装最新的 Windows 2000 Service Pack。

如何跨企业环境重新生成域 SYSVOL 副本集

本节介绍如何在企业环境中重新构建域 SYSVOL 副本集。

步骤摘要

以下列表总结了在集线器或分支重启中执行的步骤:

  1. 停止域中所有域控制器上的 FRS。

  2. 将应驻留在 SYSVOL 树中的所有文件和文件夹移动到引用域控制器上的临时文件夹。 临时文件夹应位于 SYSVOL 树所在的同一分区中。

    在分区内移动文件时,不会更改文件。 因此,它们保留其原始安全设置。 在分区内或分区之间移动或复制的文件或文件夹将继承目标父目录的安全性。 因此,GPO 管理的任何自定义代表可能会因此丢失。 此外,组策略 (SYSVOL) 上的访问控制列表将设置为从父文件夹继承权限。 因此,当您使用 GPMC 打开 GPO 时,您可能会收到以下错误消息:

    SYSVOL 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致

    如果您有权修改 GPO 安全性,请在收到此 错误消息时选择 "确定"。 此操作修改组策略对象的 Sysvol 部分上的 ACL,并使它们与 Active Directory 组件上的 ACL 一致。 在这种情况下,组策略将删除 Sysvol 文件夹中的继承属性。

  3. 验证域中每个域控制器上的连接点和所需文件夹。

  4. 使用 D4 注册表项集重新启动引用域控制器上的 FRS。

  5. 在设置了 D2 注册表项的域中的所有其他域控制器上重新启动 FRS。

  6. 在引用域控制器上,将所有文件和文件夹移动到副本集的根文件夹。 默认情况下,此文件夹是 C: \ Windows \ Sysvol \ 域文件夹。

  7. 监视域中所有域控制器的文件和文件夹的一致性。

 备注

如果已重新启动任何副本集的成员,同时将 Burflags 注册表项设置为 D4,请重新启动副本集的所有其他成员上的 FRS,同时将 Burflags 注册表项设置为 D2。 此配置可阻止已变形的文件夹。

当 Burflags 注册表项设置为 D2 或 D4,并重新启动 FRS 时,原始 (GUID 或 OrigGUID) 更改。 如果要跟踪特定活动的源,可以在设置 Burflags 注册表项之前运行文件复制服务诊断工具 (FRSDiag) 以获取 GUID2Name。

详细步骤列表

以下列表显示了在集线器或分支重启中执行的详细步骤:

  1. 在域中的所有域控制器上,停止 FRS,然后将 FRS 的服务启动类型值设置为 Disabled

  2. 在单个域控制器上,将 SYSVOL 副本集配置为权威副本集。 此引用域控制器将包含副本集的所有其他成员的 SYSVOL 树的权威副本。 例如,域中的其他域控制器将直接或可传递地从此引用域控制器进行复制。

    根据连接和物理服务器资源选择参考域控制器。 在所有后续步骤中,此域控制器将被称为"引用域控制器"。

    若要将 SYSVOL 副本集配置为权威副本集,请按照以下步骤操作:

    1. 转到"开始", 选择 "运行",键入 regedit, 然后选择"确定 "。

    2. 找到下面的注册表子项,然后选择 BurFlags 项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID

      GUID 是域系统卷副本集的 GUID,显示在以下注册表子项中: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

    3. 右键单击 "BurFlags", 然后选择"修改 "。

    4. 在 "值数据"字段中键入 D4 (HexaDecimal) , 然后选择"确定 "。

  3. 在域中的所有域控制器上,验证文件结构和连接点是否正确。 可以按照以下步骤操作:

    • \SYSVOL \ SYSVOL \ DNS 域名

      此重新分析点必须链接到 \ SYSVOL \ 域文件夹。

    • \SYSVOL \ 暂存区域 \ DNS 域名

      此重新分析点必须链接到 \ SYSVOL \ 暂存 \ 域文件夹。

    • \SYSVOL

    • \SYSVOL \ 域

    • \SYSVOL \ 暂存 \ 域

    • \SYSVOL \ 暂存区域

    • \SYSVOL \ 域 \ 策略

    • \SYSVOL \ 域 \ 脚本

    • \SYSVOL \ SYSVOL

    1. 验证 SYSVOL 树中是否存在以下文件夹:

    2. 确认存在以下重新分析点:

      SYSVOL 树的默认路径位于安装操作系统的分区上的 WINDOWS 或 \ \ WINNT 文件夹下。 但是,SYSVOL 树可能安装在使用 NTFS 文件系统格式化的任何分区上。

      验证域中的每个域控制器是否具有所有必需的文件夹,以及是否存在重新分析点。 根据需要重新创建任何丢失的文件夹。 请勿使用 Windows资源管理器移动或复制 SYSVOL 树的内容,否则重新分析点可能会损坏。

SYSVOL 树包含指向 SYSVOL 树中其他文件夹的重新分析点。 这些重新分析点在 NTFS 文件系统中。 将重新分析点视为在访问源文件夹时映射或指向目标文件夹的源文件夹。 重新分析的文件夹的内容显示为彼此的镜像。

SYSVOL 树的以下两个重新分析点安装在 C: \ WINNT \ SYSVOL 文件夹中:

  • \C:WINNT \ SYSVOL \ SYSVOL \ DNS 域名

    此重新分析点链接到 C: \ WINNT \ SYSVOL \ 域文件夹。

  • \C:WINNT \ SYSVOL \ 暂存区域 \ DNS 域名

    此重新分析点链接到 \ C:WINNT \ SYSVOL \ 暂存 \ 域文件夹。

在域的每个域控制器上,执行以下步骤:

  1. 转到"开始", 选择 "运行",键入 cmd, 然后选择"确定 "。

  2. 键入 net start ntfrs 以启动文件复制服务。

  3. 键入 ntfrsutl ds |findstr /i "root stage" ,然后按 Enter。 NTFRSUTIL 命令返回 SYSVOL 副本集的当前根目录,该副本集称为"副本集根"和暂存文件夹。 例如,此命令返回:

    输出
    Root: C:\WINNT\SYSVOL\domain  
    Stage: C:\WINNT\SYSVOL\staging\domain
  4. 键入 Linkd %systemroot%\SYSVOL\SYSVOL\DNS Domain name ,然后按 Enter。 LINKD 命令返回以下信息:

    输出
    Source DNS Domain Name is linked to %systemroot%\SYSVOL\domain
  5. 键入 linkd "%systemroot%\SYSVOL\staging areas\DNS Domain Name" ,然后按 Enter。 此命令返回以下信息:

    输出
    Source DNS Domain Name is linked to %systemroot%\SYSVOL\Staging\domain

     备注

    LINKD 命令报告的路径因 SYSVOL \ SYSVOL DNS 域名文件夹的位置 \ 而异。 如果 SYSVOL 文件夹位于 %systemroot% SYSVOL 文件夹的默认位置,请使用 \ 列出的命令。 否则,请键入 SYSVOL 文件夹的实际路径。

    例如,如果 NTFRSUTL 和 LINKD 命令在域中的域控制器上运行, contoso.com 并且 SYSVOL 文件夹位于 C: \ Windows \ SYSVOL 文件夹中,则 SYSVOL 和 Staging 文件夹的命令语法和结果将显示类似于以下输出:

    控制台
    C:\>ntfrsutl ds |findstr /i "root stage"

    输出:

    输出
    Root: C:\windows\sysvol\domain  
    Stage: C:\windows\\sysvol\staging\domain
    控制台
    C:\>Linkd %systemroot%\SYSVOL\SYSVOL\Contoso.com

    输出:

    输出
    Source domain.com is linked to C:\WINDOWS\SYSVOL\domain
    控制台
    C:\>linkd "%systemroot%\SYSVOL\<staging areas>\Contoso.com

    输出:

    输出
    Source domain.com is linked to C:\WINDOWS\SYSVOL\staging\domain

    若要在 LINKD 命令报告缺少或无效的结点时重新创建交点,请按照以下步骤操作:

    1. 键入 linkd C:\WINNT\SYSVOL\sysvol\DNS_Domain_Name Source ,其中 Source 是通过使用 NTFRSUTL 命令确定的根路径。

    2. 键入 C:\linkd "C:\WINNT\SYSVOL\staging areas\DNS_Domain_Name" Source ,其中 Source 是通过使用 NTFRSUTL 命令确定的阶段路径。

  6. 在域中的所有域控制器上,验证是否有足够的暂存空间可用。 暂存区域大小与数据集大小的比率取决于一系列因素。

    若要确定副本集根目录的大小,请在"资源管理器"中右键单击使用 Winnt SYSVOL 域文件夹Windows集根,然后选择" \ \ 属性"。

    若要调整暂存文件夹大小,请按照以下步骤操作:

    1. 转到"开始", 选择 "运行",键入 regedit, 然后选择"确定 "。

    2. 找到并选择以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters

    3. 右键单击 "暂存空间限制 (以 KB 为单位)",然后选择"修改 "。

    4. 选择 "十 进制",键入暂存文件夹的大小(以 KB 为单位)然后选择"确定 "。

    5. 退出注册表编辑器。

  7. 在引用域控制器上,生成一组良好的策略和脚本,然后将这些策略和脚本放在 FRS 引用域控制器上 SYSVOL 副本集文件夹外部的临时文件夹中。

    若要完成此步骤,请检查 Active Directory 以确定仍使用和包含孤立数据的组策略。 策略信息位于组策略容器中。 若要查看此容器,请按照以下步骤操作:

    将指示 FRS 重新初始化其数据库,并覆盖来自上游合作伙伴的数据的 SYSVOL 树的内容。

    在大型网站中,建议使用错开的方法重建 SYSVOL 树。 此方法有助于避免重载单个域控制器或使 FRS 从尚未完成其自己的系统卷资源源的域控制器获取其内容。 此过程涉及在继续进入分支机构或附属站点之前,在所有中心站点域控制器上将 Burflags 注册表项设置为 D2。

    使用副本集父注册表项指定 D2 设置的源域控制器:

     备注

    如果此注册表项不存在,则必须创建它。

    不建议单个域控制器同时成为 10 到 15 个域控制器的源。 如果必须从一个源源获取 15 多个域控制器,请仅在任何特定源域控制器的 15 个下游合作伙伴上启动 FRS,然后等待他们完成 SYSVOL 树的源,然后再在下一组 15 台计算机上启动 FRS 服务。

     备注

    • 建议不要同时将超过 15 个域控制器的内容从单个域控制器中源。

    • 传入复制取决于在相关站点链接或目标域控制器(允许复制)使用的连接对象上定义的计划。 如果禁用了复制计划,则传入复制将延迟。

    • 如果使用"副本集父项"注册表项,FRS 将在重新启动服务时提供数据源,而不管复制是在服务重启当天还是发生一小时时启用还是禁用。 初始源完成后,所有其他复制都将基于连接计划。 如果未使用注册表项,FRS 将基于在相关站点链接或连接对象上定义的计划启动复制。

    • 路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\SYSVOL Seeding\DOMAIN SYSTEM VOLUME (SYSVOL SHARE)

    • 值名称:副本集父副本

    • 值类型:REG_SZ

    • 值数据:源域控制器

    • \C:WINNT \ SYSVOL \ 域

    • \C:WINNT \ SYSVOL \ 暂存 \ 域

    • 如果 SYSVOL 文件夹包含的文件夹名称具有未在 Active Directory 中列出的 GUID,则文件系统包含孤立的 GPO,你可以安全地从文件系统中删除该文件夹。

    • 如果 Active Directory 包含的组策略 GUID 未映射到域中任何域控制器上 SYSVOL 域策略文件夹中的 GUID,可以从 \ Active Directory 安全地删除该策略 \ 设置。

      1. 转到"开始", 选择 "运行",键入 regedit, 然后选择"确定 "。

      2. 找到下面的注册表子项,然后选择 BurFlags 项:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID

        GUID 是域系统卷副本集的 GUID,显示在以下注册表子项中: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

      3. 在"编辑" 菜单上,指向 "新建", 然后选择 "DWORD 值"。

      4. 键入 D2 作为 DWORD 的名称,然后按 Enter。

      5. 启动 Active Directory 用户和计算机。

      6. 在" 视图" 菜单上, 选择"高级 功能"(如果尚未选择)。

      7. 展开域容器,展开 系统 容器,然后展开 策略 容器。

        在"Active Directory 用户和计算机"的右侧窗格中,列出 Active Directory (GPO) 组策略对象。 Active Directory 中的有效 GPO 与 SYSVOL 树中的组策略文件夹之间应该存在一对一映射。

         备注

        如果加入域的任何域控制器在本地 SYSVOL 树中具有较新版本的组策略,请确保该策略已复制到引用域控制器上的临时位置。

      8. 在引用域控制器上,删除 FRS 副本集根目录或副本集阶段文件夹中的任何文件或文件夹。

        对于默认 SYSVOL 副本集,删除以下两个文件夹下的文件和文件夹:

         备注

        不要删除文件夹本身。

      9. 在引用域控制器上,将策略和脚本文件夹和文件夹内容从步骤 c 中使用的临时位置移动到 FRS 副本集根文件夹。 对于 SYSVOL 文件夹,副本集根目录的默认位置是文件夹 \ :C:WINNT \ SYSVOL \ 域。

      10. 在除参考域控制器以外的所有域控制器上,将 FRS 配置为非权威。 可以按照以下步骤操作:

         备注

        对于未参与分布式文件系统 (DFS) 复制的域控制器,在注册表子项中将 DWORD 设置为 D2 进行批量修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process atStartup\BurFlags :。

      11. 退出注册表编辑器。

    • 在除引用域控制器以外的域中的所有域控制器上,删除 FRS 副本集根目录和副本集阶段目录下的任何文件或文件夹。 例如,对于默认 SYSVOL 副本集,删除以下两个位置中的文件和文件夹:

       备注

      不要删除文件夹本身。

      通过此步骤,可以更快地复制给定源的 SYSVOL 树。 此步骤无需 FRS 服务器在复制新数据之前移动现有内容。 此步骤不是必需的,但建议执行此步骤。

      • \C:WINNT \ SYSVOL \ 域

      • \C:WINNT \ SYSVOL \ 暂存 \ 域

    • 在中心站点中除参考域控制器之外的所有域控制器上,重新启动 FRS,然后验证 SYSVOL 和 NETLOGON 是否共享。

       备注

      FRS 的服务启动类型应设置为自动 

    • 在分支站点中所有非引用域控制器上,启动 FRS 服务并验证 SYSVOL 和 NETLOGON 是否共享。

    如何临时稳定域 SYSVOL 树

    1. 在域中的所有域控制器上停止 FRS,将服务设置为 Disabled

    2. 将完整策略集手动复制到每个域控制器上的以下文件夹:

      \SYSVOL \ SYSVOL \ dns 域名 \ 策略

      通常,身份验证需要以下两个策略:

       备注

      您可能必须复制其他策略,具体取决于环境的组策略要求。

      • 默认域控制器策略{6AC1786C-016F-11D2-945F-00C04fB984F9}

      • 默认域策略 {31B2F340-016D-11D2-945F-00C04FB984F9}

    3. 将所有必要的脚本手动复制到以下文件夹:

      \SYSVOL \ SYSVOL \ DNS 域名 \ 脚本




    推荐本站淘宝优惠价购买喜欢的宝贝:

    image.png

    本文链接:https://hqyman.cn/post/2592.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

    分享到:
    打赏





    休息一下~~


    « 上一篇 下一篇 »

    发表评论:

    ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

    请先 登录 再评论,若不是会员请先 注册

    您的IP地址是: