2012 R2 Active Directory NTFRS复制问题排错一例

故障现象:

场景中若干台域控服务器的组策略文件复制出现问题。由于是真实环境截图,水印较多见谅。

使用dcdiag的时候会有提示NTFRS复制问题,要求管理员查看Q312862

事件Event ID 13562,此nTFRSMember对象 cn=域控计算机名,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=contoso,dc=com的属性ServerReference有一个无效的值。

使用ntfrsutl ds进行ntfrs诊断会有如下现象:

warn: 某某DC lacks a settings reference

问题分析:

目前的环境是从Windows 2003升级起来的,所以组策略文件的复制方式仍然沿用NTFRS,而非新版的DFSR(Distributed File System (DFS) Replication)。如果是基于原生的Windows Server 2008 及Windows Server 2008以上的Active Directory服务的话,会直接采用新版的DFSR复制机制。

目前的问题就出在这个基于NTFRS机制的活动目录,在排除掉域内所有的Windows Server 2003,并且将林功能和域功能级别都提升到Windows Server 2012 R2之后,NTFRS服务并没有完全替换至DFSR服务,相当一部分NTFRS服务的配置信息丢失,导致文件复制不正常,组策略数量在各个DC上均不统一,最多的一台有140多条,最少的一台只有8条…(惊了,这么久才发现)

问题解决:

首先确保NTFRS服务在这些域控上正常运行,net share命令可以查看到sysvol共享。

其次确保AD站点(NTDSSettings)里的DFS复制链接正确建立。

然后根据KB312862去检查ADSI里以下几个地方的属性,(KB链接:https://support.microsoft.com/zh-cn/kb/312862

我就不截图了,直接写路径了。比方我现在是一台DC01.contoso.com出问题,其他域控以此类推照着改。

默认命名上下文,CN=NTFRS Subscriptions,cn=DC01,ou=domain controllers,dc=contoso,dc=com (每一台DC下都有这个NTFRS Subscriptions)有一项CN=Domain System Volume (SYSVOL Share) 对象。

如果没有该对象则手动建立,对象类型为nTFRSSubscriber。

如果有该对象,检查其属性fRSMemberReference,其值应为:CN=DC01,CN=Domain System Volume (SYSVOL Share),CN=File Replication Service,CN=System,DC=contoso,DC=com 。

默认命名上下文,CN=Domain System Volume (SYSVOL Share),CN=File Replication Service,CN=System,DC=contoso,DC=com 下面

应该有所有的DC对象,作为复制成员。

如果缺少有DC对象,则进行手动建立,对象类型为nTFRSMember

检查两项属性,还是以DC01为例子,右键单击CN=DC01对象(站点为默认的default first site,按照实际情况修改),属性:

frsComputerReference:CN=DC01,OU=Domain Controllers,DC=contoso,DC=com

serverReference:CN=NTDS Settings,CN=DC01,CN=Servers,CN=default-first-site-name,CN=Sites,CN=Configuration,DC=contoso,DC=com

如果在检查过程中发现父类对象丢失,比如CN=Domain System Volume (SYSVOL Share),CN=NTFRS Subscriptions FRS订户、这样的大类对象丢失,KB里都有重建方法,包括属性值配置。参照建立即可。

检查完上述东西之后,重启所有域控上的NTFRS服务

net stop ntfrs && net start ntfrs

然后再执行dcdiagntfrsutl ds进行检查。确认无报错之后可以先告一段落,等待域控之间相互开始进行NTFRS复制。

如果等不及复制,可以采用D4和D2大法强制复制。

以下是强制复制里比较粗暴的做法,参考winOS论坛adrien0901帖子的思路http://bbs.winos.cn/thread-36722-1-1.html,如果有把握可以效仿其中一二:

1、将所有的域控上的NTFRS服务停掉

2、做好备份,对比所有域控上SYSVOL文件夹内容,找到组策略最多的一台,或者全部覆盖复制到一台上面,保证这一台域控的组策略文件最全,在Sysvol文件夹的安全选项卡里启用

3、修改这台最全的域控的注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

BurFlags=D4

修改其他的域控的注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

BurFlags=D2

4、重启所有服务器上的ntfrs服务

然后打开几台域控的sysvol文件夹,对比数量,就会看到开始欢快的复制了。

时间: 2024-11-04 21:46:27

2012 R2 Active Directory NTFRS复制问题排错一例的相关文章

Windows Server 2012 R2 Active Directory(活动目录)实验三

在实验二的结尾中,提到了AD和DNS部署在同一台服务器上的弊端,只有这一台服务器来维持正常的生产,风险极大,一旦这台服务器的任何一个地方出了问题,那我们整个域环境就完全瘫痪了,所以为了防止这样的情况发生,我们需要做一个备份,或者说是一台额外的域控制器. 部署额外域控制器的好处其实挺多的,可以实现域控制器的容错,即使主域控制器出了问题,我们也不用担心,额外的域控制器会继续代替主域控制器来完成验证工作,保持整个域环境的正常运行,而且有了两台域控制器同时工作,域环境的验证速度会加快很多,有利于提高生产

Windows Server 2012 R2 Active Directory(活动目录)实验二

这次实验二的内容和实验一大致相同,只不过这次的环境是DNS和AD在一台服务器上,演示中的有些细节已经在实验一详细演示过了,所以会有些省略,没看懂的朋友可以去实验一中查找. 首先还是说一下实验的环境需求,本次实验的目的是把DNS和AD安放在同一台服务器上,所以我们需要两台虚拟机,Server01负责DNS和AD,Server02负责冲当客户机,来加入域. 好了,下面开始我们的实验,在Server01上面安AD域服务,安装方法不做过多的解释了,之前的实验中都详细说明过了. 接着需要修改DNS,由于本

Windows.Server.2008.R2.Active.Directory.配置指南(二)

在林中新建第二个域树 在林中新建第二个(或更多个)域树的方法:先春节此域树中的第一个域,而创建第一个域的方法是碳哥创建第一台域控制器的方法来实现. 选择适当的DNS架构 若要将cisco.com域加入到h3c.com中的话,就必须在创建域控制器dc5.cisco.com时能够通过DNS服务器来找到林中的域命名操作主机,否则无法创建cisco.com.域命名操作主机默认是由林中第一台域控制器扮演 还有早DNS服务器内必须有一个名称为cisco.com的主要查找区域,以便让域cisco.com的域控

Active Directory数据库复制原理

前面的博文中和大家聊了很多关于域的话题,比如说额外预控.域的恢复等,但是大家可否知道我们上面说的这些都是靠两个域之间的数据库相互复制实现的,那么域之间的数据究竟是如何复制的呢,下面我们就来聊聊域数据库的复制原理: 在聊之前我们首先要知道一下几个关键问题: 1.域数据库存放的位置:c:\\windows\ntdsntds.dit 2.站点:一组高速且可靠连接的计算机称为站点 域的复制分为以下两种模式: 1.多主机复制模式:一台域控制器内的数据库发上变化,会通知其他域控制器进行同步.(15s同步一次

Windows Server 2012 R2 WSUS-11:经典的客户端排错操作

在实际的WSUS运维中,可能会出现需要手动调整客户机或者服务器的情况,比如因为组策略的原因,或者刷新间隔未到,客户端(包括客户机和服务器)未收到更新,这个时候就需要我们在客户端上执行一些操作来定位问题,确认是什么原因导致补丁未收到. (一)刷新组策略并收集组策略结果集,以确保客户端获取到了WSUS相关的策略 首先我登陆一台客户端,打开CMD,输入组策略的刷新命令gpupdate /force,如图. 刷新成功后,我们使用gpresult /h gpreport.html来收集组策略结果,如图.

一个WIndows Server 2008 R2 AD组策略复制排错过程(Warning 13508)

问题描述: ======================================================================================= 下面是两个AD服务器DC01和DC02上的日志报错信息: 域控dc02 在2016-10-19 at 17.37.02事件日志信息 NtFrs      2016/10/19 17:02:38  Warning 13508    文件复制服务有困难启用复制: 从 DC-01 到 DC02 为 c:\window

Windows Server 2012中安装Active Directory域服务

1.登陆Windows Server 2012,打开服务器管理器,选择"添加角色和功能" 2.在"开始之前"页面,直接点击"下一步" 3.选择"基于角色或基于功能的安装",点击"下一步" 4.选择"从服务器池中选择服务器",选中当前服务器,点击"下一步" 5.在角色列表中,选择"Active Directory 域服务",点击"下一步&q

Windows Server 2012 R2 WSUS-12:经典的排错操作举例

本文主要讨论两类错误,一个是在实际部署中,由于错误的配置步骤导致的更新不正常的报错,另外一种就是WSUS部署完成后,在后期运维过程中出现的错误,一般错误主要集中的后期运维时期,可能会出现各种各样的客户端无法更新的报错. (一)部署过程中,错误配置导致客户端无法更新 客户端无法联系WSUS服务器进行补丁更新,通过查看客户机本地的windows update的log文件,发现文件中有下面的错误,如图. 其实上面的这个报错是典型的部署粗心的错误,在前面的文章中我已经多次提到过,在WSUS 3.0时代,

Window Server 2008 R2 创建Active Directory域

Active Directory称为"活动目录",在活动目录创建的第一个域成员将成为此域的第一台域控制器 创建域的必要条件: DNS与DNS服务器 由于域控制器需要将自己注册到DNS服务器内,以便让其他计算机通过DNS服务器来找到这台与控制器,因此域控制器必须要有一个DNS域名和一台可支持Active Directory的DNS服务器. 创建活动目录有两种方法: 选择服务器管理-角色-添加角色-选择Active Directory域服务 添加Active Directory域服务必须的