同事負責某銀行的Windows 2000 AD網域有點問題。
他們在原來的Windows 2000 AD網域中加了第二台DC。
兩台DC間的資料複寫看起來是正常的,DNS運作也正常。
但把五大角色移到第二台DC,並把第一台DC下線後,
網域的功能就失效了!
測試過第二台的DNS服務是正常的,
在第一台主機存在的情境下,單單把網域電腦的DNS指向第二台DC,
網域功能也是正常的,新電腦透過第二台DC加入網域也沒有問題。
實在不明白為何第一台DC一下線,網域的功能就出現異常?
問題鐵定出在第二台DC少了某些重要的東西、元件或服務,
導致第一台DC下線後,這些資源無法取得,網域功能無法正常執行。
花了點時間比對兩台DC後發現二件事,
第一,我發現到第二台DC的共享資料夾少了 sysvol 與 netlogon 這兩個維持AD網域所必要的共享資料夾。
第二,銀行IT發現第二台DC的 “AD使用者和電腦” 管理工具中,無法正常的檢視群組原則GPO。
DC主機的 sysvol 共享資料夾是用來存放群組原則GPO,實體路徑在 %systemroot%\SYSVOL;
而 netlogon 資料夾則是用來存放登出入的角本訊息,實體路徑在 %systemroot%\SYSVOL\網域名稱\SCRIPTS。
很合理的推斷是這兩個共享資料夾的遺失,造成第二台DC的怪異現象。
第二台的DC的 %systemroot%\SYSVOL\ 資料夾結構存在,
但 %systemroot%\SYSVOL\網域名稱\ 下則少了 SCRIPTS 與 POLICIES 兩個子資料夾。
在網路上以關鍵字 “重建sysvol與netlogon” 進行查詢,找到了以下的解決方法。
- 修改註冊機碼,將以下路徑的 BurFlags 值由 0 改為16進位的 D4。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
- 手動於 %systemroot%\SYSVOL\網域名稱\ 下建立 SCRIPTS 與 POLICIES 兩個資料夾。
並由第一台DC裏,把 POLICIES 中的內容全部複製一份到第二台DC中。
(由於業主的 SCRIPTS 資料夾中沒有資料,所以不做動作,僅建立資料夾而已) - 透過 net stop netlogon 與 net start netlogon 重啟 Net Logon 服務。
- 透過 net stop ntfrs 與 net start ntfrs 重啟 File Replication Service 服務。
完成以上工作後,在第二台DC上執行 net share 指令,發現這兩個遺失的共享資料夾連結已重新建立。
第二台DC的網域功能也恢復正常,不需再依附在第一台DC的陰影中存活了~
沒有留言:
張貼留言