windows 2012新建额外域控没有netlogon和SYSVOL共享的解决办法

2017-04-25 13:39

公司新建域控由于分公司需要辅助域控,就新建了一台额外域控,但是该域控建好后发现组策略不生效,检查sysvol文件夹一片空白,肯定是没有从主域控复制过来,使用dcdiag检查,有下面报错


目录服务器诊断



正在执行初始化设置:


   正在尝试查找主服务器...


   * 正在验证本地计算机 cansinesv02 是否为目录服务器。 

   主服务器 = cansinesv02


   * 正在连接到服务器 cansinesv02 上的目录服务。


   * 已识别的 AD 林。 

   Collecting AD specific global data 

   * 正在收集站点信息。


   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=cansine,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......

   The previous call succeeded 

   Iterating through the sites 

   Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com

   Getting ISTG and options for the site

   * 正在标识所有服务器。


   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=cansine,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......

   The previous call succeeded....

   The previous call succeeded

   Iterating through the list of servers 

   Getting information for the server CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com 

   objectGuid obtained

   InvocationID obtained

   dnsHostname obtained

   site info obtained

   All the info for the server collected

   Getting information for the server CN=NTDS Settings,CN=CANSINESV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com 

   objectGuid obtained

   InvocationID obtained

   dnsHostname obtained

   site info obtained

   All the info for the server collected

   * 标识所有 NC 交叉引用。


   * 找到 2 DC。正在测试其中的 1。


   已完成收集初始化信息。



正在进行所需的初始化测试


   

   正在测试服务器: Default-First-Site-Name\CANSINESV02


      开始测试: Connectivity


         * Active Directory LDAP Services Check

         Determining IP4 connectivity 

         * Active Directory RPC Services Check

         ......................... CANSINESV02 已通过测试 Connectivity




正在执行主要测试


   

   正在测试服务器: Default-First-Site-Name\CANSINESV02


      开始测试: Advertising


         警告: 当我们尝试访问 CANSINESV02 时,DsGetDcName 返回了 \\cansinesv01.cansine.com


         的信息。


         服务器没有响应或被认为不适合。


         ......................... CANSINESV02 没有通过测试 Advertising


      用户请求忽略的测试: CheckSecurityError


      用户请求忽略的测试: CutoffServers


      开始测试: FrsEvent


         * 文件复制服务事件日志测试 

         跳过该测试,因为服务器正在运行 DFSR。


         ......................... CANSINESV02 已通过测试 FrsEvent


      开始测试: DFSREvent


         The DFS Replication Event Log. 

         SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。 

         发生了一个警告事件。EventID: 0x80001780


            生成时间: 04/25/2017   09:34:30


            事件字符串:


            DFS 复制服务未能更新 Active Directory 域服务中的配置。 该服务将定期重试此操作。 


             


            其他信息: 


            对象类别: msDFSR-LocalSettings 


            对象 DN: CN=DFSR-LocalSettings,CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com 


            错误: 2 (系统找不到指定的文件。) 


            域控制器: cansinesv01.cansine.com 


            轮询周期: 60


         发生了一个警告事件。EventID: 0x80001A94


            生成时间: 04/25/2017   09:34:30


            事件字符串:


            DFS 复制服务检测到,没有为复制组 Domain System Volume 配置任何连接。没有为此复制组复制任何数据。 


             


            其他信息: 


            复制组 ID: A2B3C0F4-6F86-4D84-BD56-07925A7F400D 


            成员 ID: E64FADA9-4460-4505-A2B1-F3A3CD4709C5


         发生了一个警告事件。EventID: 0x80001206


            生成时间: 04/25/2017   09:34:33


            事件字符串:


            DFS 复制服务在本地路径 C:\Windows\SYSVOL\domain 上启动了 SYSVOL,并且正在等待 执行初始复制。复制的文件夹在与其伙伴 cansinesv01.cansine.com 进行复制之前, 将保持初始同步状态。如果服务器正在升级为域控制器, 则在解决该问题之前,域控制器将不会进行播发, 也不会发挥如同域控制器的功能。 如果指定的伙伴也处于此初始同步状态,或者如果此服务器或 同步伙伴遇到共享冲突,则可能发生这种情况。 如果在从文件复制服务(RFS)到 DFS 复制的 SYSVOL 迁移过程中 发生此事件,则在解决此问题之前,将不复制更改。 这可能导致该服务器上的 SYSVOL 文件夹与其他域控制器不同步。 


             


            其他信息: 


            已复制文件夹名: SYSVOL Share 


            已复制文件夹 ID: 2AACD329-0A7E-4E60-B860-89DEEDF92A2D 


            复制组名: Domain System Volume 


            复制组 ID: A2B3C0F4-6F86-4D84-BD56-07925A7F400D 


            成员 ID: E64FADA9-4460-4505-A2B1-F3A3CD4709C5 


            只读: 0


         发生了一个警告事件。EventID: 0x80001780


            生成时间: 04/25/2017   09:39:32


            事件字符串:


            DFS 复制服务未能更新 Active Directory 域服务中的配置。 该服务将定期重试此操作。 


             


            其他信息: 


            对象类别: msDFSR-LocalSettings 


            对象 DN: CN=DFSR-LocalSettings,CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com 


            错误: 2 (系统找不到指定的文件。) 


            域控制器: cansinesv01.cansine.com 


            轮询周期: 60


         ......................... CANSINESV02 已通过测试 DFSREvent


      开始测试: SysVolCheck


         * 该文件复制服务 SYSVOL 已准备好测试 

         注册表查找无法确定 SYSVOL 的状态。返回的错误 是 0x0 “操作成功完成。”。检查 FRS 事件日志查看 SYSVOL


         是否已成功共享。 

         ......................... CANSINESV02 已通过测试 SysVolCheck


      开始测试: KccEvent


         * The KCC Event log test

         Found no KCC errors in "Directory Service" Event log in the last 15 minutes.

         ......................... CANSINESV02 已通过测试 KccEvent


      开始测试: KnowsOfRoleHolders


         Role Schema Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com

         Role Domain Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com

         Role PDC Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com

         Role Rid Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com

         Role Infrastructure Update Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com

         ......................... CANSINESV02 已通过测试 KnowsOfRoleHolders


      开始测试: MachineAccount


         Checking machine account for DC CANSINESV02 on DC CANSINESV02.

         * SPN found :LDAP/cansinesv02.cansine.com/cansine.com

         * SPN found :LDAP/cansinesv02.cansine.com

         * SPN found :LDAP/CANSINESV02

         * SPN found :LDAP/cansinesv02.cansine.com/CANSINE

         * SPN found :LDAP/912b5709-ed13-4ce5-baf0-23135e64968b._msdcs.cansine.com

         * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/912b5709-ed13-4ce5-baf0-23135e64968b/cansine.com

         * SPN found :HOST/cansinesv02.cansine.com/cansine.com

         * SPN found :HOST/cansinesv02.cansine.com

         * SPN found :HOST/CANSINESV02

         * SPN found :HOST/cansinesv02.cansine.com/CANSINE

         * SPN found :GC/cansinesv02.cansine.com/cansine.com

         ......................... CANSINESV02 已通过测试 MachineAccount


      开始测试: NCSecDesc


         * Security Permissions check for all NC's on DC CANSINESV02.

         * 安全权限检查


           DC=DomainDnsZones,DC=cansine,DC=com

            (NDNC,Version 3)

         * 安全权限检查


           DC=ForestDnsZones,DC=cansine,DC=com

            (NDNC,Version 3)

         * 安全权限检查


           CN=Schema,CN=Configuration,DC=cansine,DC=com

            (Schema,Version 3)

         * 安全权限检查


           CN=Configuration,DC=cansine,DC=com

            (Configuration,Version 3)

         * 安全权限检查


           DC=cansine,DC=com

            (Domain,Version 3)

         ......................... CANSINESV02 已通过测试 NCSecDesc


      开始测试: NetLogons


         * Network Logons Privileges Check

         无法连接到 NETLOGON 共享! (\\CANSINESV02\netlogon)


         [CANSINESV02] net use 或 LsaPolicy 操作失败,错误为 67,找不到网络名。。


         ......................... CANSINESV02 没有通过测试 NetLogons


      开始测试: ObjectsReplicated


         CANSINESV02 is in domain DC=cansine,DC=com

         Checking for CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com in domain DC=cansine,DC=com on 1 servers

            Object is up-to-date on all servers.

         Checking for CN=NTDS Settings,CN=CANSINESV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com in domain CN=Configuration,DC=cansine,DC=com on 1 servers

            Object is up-to-date on all servers.

         ......................... CANSINESV02 已通过测试 ObjectsReplicated


发现是没有netlogon和sysvol共享,通过微软知识库查询到问题,需要更改注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters中的

SysvolReady键值更改为1。

原文地址

https://support.microsoft.com/en-us/help/947022/the-netlogon-share-is-not-present-after-you-install-active-directory-domain-services-on-a-new-full-or-read-only-windows-server-2008-based-domain-controller

改完后,将netlogon和dfsr这两个服务重启一下,发现问题解决。