近期在公司测试域控(Windows Server 2008 R2)的容灾演练,通过BE把域控进行了整个操作系统的恢复,系统恢复后,发现除可以登录系统后,和域相关的操作基本上都报错。经过简单的排查发现SYSVOL和NELOGON共享不见了。大家都知道Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。我的域环境也有多台域控制器,分布到不同的站点,目前测试容灾只恢复其中两个站点中的两台服务器(每个站点恢复一台域控)。接下来是恢复SYSVOL和NELOGON的共享步骤 :
- 发现%systemroot%\SYSVOL 下的文件夹都在,只是domain目录下Policies和Scripts没有了,只有NtFrs_PreExisting__See_Eventlog文件夹,此文件中有原来的Policies和Scripts文件夹,顺便就在domain下创建了Policies和Scripts,把NtFrs_PreExisting__See_Eventlog文件夹进行了重命名,若不重命名以下的操作会导致此文件消失,意味着至少原来的组策略文件会丢失,如果没有其他的域控会恢复组策略会比较糟糕。
- 运行regedit(注册表),打开注册表编辑器,找到如下键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup 然后在右边找到BurFlags,将其值改为D4(16进制)
常见的值BurFlags注册表项是
D2,也称为非授权模式还原
D4,也称为的授权模式还原
2. 运行如下命令重启netlogon和ntfrs服务
Net stop netlogon & net start netlogon
Net stop ntfrs & net start ntfrs
3. 查看共享,sysvol,netlogon 恢复
4. 把NtFrs_PreExisting__See_Eventlog文件夹中的Policies和Scripts下中的文件移动到domain目录下Policies和Scripts,打开组策略控制台一切恢复正常。
重建SYSVOL文件夹的操作:
1. 考虑到以后的运行稳定也可以重建SYSVOL文件夹,这次就把整个SYSVOL的文件夹全部删除,按照以下步骤进行创建文件夹结构
在windows目录下新建文件夹SYSVOL
SYSVOL下新建:domain、staging、staging areas、sysvol;
domain下新建:Policies和Scripts;
staging下新建:domain;
文件结构如下:
SYSVOL
-------------------------------------------
| | | |
domain、staging、staging areas、sysvol
| |
------- domain
| |
Policies Scripts
2. 在之前的Windows Server 2003作为域控是需安装Windows 2003 Resource kit工具运行linkd命令,在Windows Server 2008 R2服务器中可以直接运行mklink命令,来创建文件夹的链接
a. %systemroot%\SYSVOL\SYSVOL\域名 ----> %systemroot%\SYSVOL\DOMAIN
b. %systemroot%\SYSVOL\staging areas\域名 ----> %systemroot%\SYSVOL\staging\domain
3. 修改注册表,找到如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\{GUID},{GUID}是一串字符,然后找到右边的BurFlags,同样将其修改为D4,完成后退出注册表编辑器
4. 重启ntfrs服务 net stop ntfrs && net start ntfrs,重启后注册表修改的值会变成默认值,此时运行net share ,SYSVOL和NETLOGON 文件共享恢复
5. 到此时SYSVOL和NETLOGON 文件共享恢复完成,由于是重新生成的文件夹,还缺少组策略文件,所以打开组策略管理器时会报“系统找不到指定的文件”的错误,接下来我们修复组策略文件
a) 记得NtFrs_PreExisting__See_Eventlog这个文件夹吗,在我的环境中,当域控的服务器首次恢复,未作任何操作前在进入系统domain目录下有这个文件,在NtFrs_PreExisting__See_Eventlog里面有Policies,这个里面存的就是组策略文件,可以使用这里面的文件移动到domain下的Policies中,或者从其他辅助域控中把Policies下的文件拷贝过来,或者恢复之前的备份的GPO,这样基本上可以恢复到容灾前的状态。
b)没有NtFrs_PreExisting__See_Eventlog或者NtFrs_PreExisting__See_Eventlog下的Policies下的文件夹是空的,也没有其他的域控,也没有备份GPO, 那我们就只能恢复默认域策略和默认域控制器策略方法如下:
1)找一台虚拟机直接升级为新域控,把此域控的Policies下的文件拷贝过来,此时我们发现新安装的域控Policies下有这两个文件
{31B2F340-016D-11D2-945F-00C04FB984F9}是默认域安全策略文件
{6AC1786C-016F-11D2-945F-00C04fB984F9}是默认域控制器安全策略文件
2)若搭建新域控环境不允许,那就要使用工具dcgpofix重建这两条默认的策略
至此,SYSVOL和NELOGON共享丢失修复和重建完成,以上是根据我的域环境环境进行的操作,有不准确的地方,还请多多指教和交流。
----------------------------------------------------------------------------------------------------------------------------------------------------------
铸剑团队签名:
【总监】十二春秋之,[email protected];
【Master】戈稻不苍,[email protected];
【Java开发】雨鸶,[email protected];思齐骏惠,[email protected];小王子,[email protected];巡山小钻风,[email protected];
【VS开发】豆点,[email protected];
【系统测试】土镜问道,[email protected];尘子与自由,[email protected];
【大数据】沙漠绿洲,[email protected];张三省,[email protected];
【网络】夜孤星,[email protected];
【系统运营】三石头,[email protected];平凡怪咖,[email protected];
【容灾备份】秋天的雨,[email protected];
【安全】保密,你懂的。
原创作者:三石头
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。