修復(fù)SYSVOL和NETLOGON共享

1、前言對Windows活動(dòng)目錄有所了解的管理員應(yīng)該對SYSVOL不陌生，它是用來存儲域公共文件服務(wù)器副本的共享文件夾，例如我們用得最多的組策略設(shè)置、腳本等都是存在這個(gè)共享目錄中的。如果組織內(nèi)有多臺域控制器，那么它們就在域中所有的域控制器之間通過FRS服務(wù)相互復(fù)制。而NETLOGON共享則是SYSVOL目錄中一個(gè)文件夾Scripts的共享名,顧名思義就是用來保存腳本信息的。SYSVOL文件夾的重要性不想多說，然而有的時(shí)候它就偏偏出問題，導(dǎo)致活動(dòng)目錄AD故障層出，通常組策略無法執(zhí)行，在域控制器或成員機(jī)器上的事件日志中每隔5分鐘就記錄ID號為1058和1030的錯(cuò)誤消息，讓人很是惱火。而通常遇得最多的

2、SYSVOL問題就是如下兩種：1. SYSVOL和NETLOGON共享丟失。這種情況在輔助域控制器上通常會出現(xiàn)，但有時(shí)也在第一臺域控制器上也可能會出現(xiàn)這種情況。另外，當(dāng)對活動(dòng)目錄執(zhí)行災(zāi)難還原后也有可能遇到這個(gè)情況2. 管理員有意或無意的刪除了整個(gè)或部分SYSVOL目錄中的文件,這種情況在管理員誤操作時(shí)遇得比較多，我就曾遇到有人將SYSVOL遷移到E盤，然后誤操作將E盤格式化OK，不管是什么原因?qū)е鲁霈F(xiàn)以上兩個(gè)問題，總之我將在這篇文章中著手解決這兩個(gè)問題，希望對大家有幫助環(huán)境DC：在這里我就只用了一臺DC做演示。如果你的環(huán)境中有多臺DC，操作和本文章類似。 操作步驟一、1. 先來解決第一個(gè)常見問

3、題，假設(shè)只是SYSVOL和NETLOGOGN共享丟失，但是文件夾結(jié)構(gòu)尚在。這個(gè)問題比較好解決。為了模擬故障，我手動(dòng)將SYSVOL共享取消了。如圖1和22. 打開注冊表編輯器，找到如下鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtFrsParametersBackup/RestoreProcess at Startup然后在右邊找到BurFlags，將其值改為D4（16進(jìn)制）后退出，如圖33.再分別運(yùn)行如下命令重啟相關(guān)服務(wù)，如圖4Net stop netlogon& net start netlogonNet stop ntf

4、rs& net start ntfrs4. 這個(gè)時(shí)候我們再來看看SYSVOL共享有沒有恢復(fù)。如圖5、6所示，丟失的SYSVOL共享和NETLOGON共享已經(jīng)成功恢復(fù)。（注：第2步修改的注冊表鍵值會在第3步操作后自動(dòng)清除回到默認(rèn)值）二、在接下來的演示中，我將SYSVOL文件夾全部刪除，然后大家分享一下如何重建SYSVOL目錄樹中的內(nèi)容和重建共享1. 如圖7所示，我已經(jīng)手動(dòng)將SYSVOL目錄都刪除來模擬故障2. 由于操作系統(tǒng)并不會自動(dòng)重建SYSVOL的目錄結(jié)構(gòu)，所以我們需要手動(dòng)按照原有的實(shí)際結(jié)構(gòu)來建立。SYSVOL 文件夾結(jié)構(gòu)： domain DO_NOT_REMOVE_NtFrs_Pre

5、Install_Directory Policies GUID Adm MACHINE USER GUID Adm MACHINE USER etc., scripts staging staging areas MyDomainN scripts sysvol(sysvol share) MyDomainN DO_NOT_REMOVE_NtFrs_PreInstall_Directory Policies GUID Adm MACHINE USER GUID Adm MACHINE USER etc., scripts(NETLOGON share)上面的文件夾結(jié)構(gòu)是不是看花了？沒關(guān)系，看我

6、的具體操作：a. 在windows目錄下新建一個(gè)文件夾叫SYSVOLb. 在c:windowssysvol目錄下再新建一個(gè)文件夾：domain、staging、staging areas、sysvolc. 在C:WINDOWSSYSVOLdomain目錄下新建兩個(gè)文件夾：Policies和Scripts d. 在C:WINDOWSSYSVOLstaging目錄下新建一個(gè)文件夾：domaine. 在C:WINDOWSSYSVOLstaging areas目錄下新建一個(gè)和域名相同的文件夾，例如我的是，那么就在該目錄新建文件夾f. 和步驟e一樣，在C:WINDOWSSYSVOLsysvol目錄也新建

7、一個(gè)和域名相同的文件夾，如C:WINDOWSSYSVOLsysvol,至此文件夾的結(jié)構(gòu)被我們重建得差不多了。3. 由于接下來我們需要用到兩個(gè)小工具，所以要在域控制器上安裝Windows 2003 Resource kit，下載地址為：4. 運(yùn)行如下命令重啟NTFRS服務(wù)：Net stop ntfrs& net start ntfrs5. 重啟服務(wù)后，NTFRS服務(wù)會自動(dòng)幫我們完善前面的SYSVOL目錄結(jié)構(gòu)，例如添加相應(yīng)目錄的隱藏屬性、增加DO_NOT_REMOVE_NtFrs_PreInstall_Directory隱藏文件夾等等。運(yùn)行如下命令后，得出如圖8的結(jié)果表示正常ntfrsut

8、l ds |findstr /i "root stage"然后利用Linkd程序來掛接相應(yīng)的目錄，創(chuàng)建如下兩個(gè)交接點(diǎn): （注：交接點(diǎn)外表像文件夾而且運(yùn)轉(zhuǎn)也像文件夾（在 Windows Explorer 中無法將它們與普通文件夾區(qū)分開來），但它們不是文件夾。交接點(diǎn)包含了與另一文件夾的鏈接。程序打開它時(shí)，交接點(diǎn)會自動(dòng)將程序重新定向至交接點(diǎn)所鏈接的文件夾。而重新定向?qū)τ谟脩艉蛻?yīng)用程序是完全透明的。SYSVOL系統(tǒng)卷就是采用的這種文件夾結(jié)構(gòu)）a. C:WINDOWSSYSVOLSYSVOL域名 - (掛接到) C:WINDOWSSYSVOLDOMAIN b. C:WINDOWSSY

9、SVOLstaging areas域名 -(掛接到) C:WINDOWSSYSVOLstagingdomain具體命令為：a. 在“開始“”運(yùn)行”中輸入”cmd”，然后在打開的”命令提示窗口”輸入：Linkd %systemroot%SYSVOLSYSVOL %systemroot%SYSVOLDOMAIN 如圖9所示Linkd "%systemroot%SYSVOLstagingareas" %systemroot%SYSVOLstagingdomain 如圖10所示b. 最好再驗(yàn)證一下前面的掛接操作是否都成功了，如圖11：6. 打開注冊表編輯器，找到如下鍵值：HKEY_

10、LOCAL_MACHINESYSTEMCurrentControlSetServicesNtFrsParametersCumulative Replica SetsGUID,其中GUID是類似f791c404-f37f-4634-9899d59d9397871e這樣的字符串值。然后找到右邊的BurFlags，同樣將其修改為D4，完成后退出注冊表編輯器，如圖12 （注：第6步修改的注冊表鍵值會在第7步操作后自動(dòng)清除回到默認(rèn)值）7. 運(yùn)行如下命令重啟服務(wù)：Net stop ntfrs& net start ntfrs8. 激動(dòng)人心的時(shí)候來了，此時(shí)打開SYSVOL目錄和輸入net share

11、命令，會發(fā)現(xiàn)SYSVOL和NETLOGON共享都重建出來了。如圖13、149. 整個(gè)步驟進(jìn)行到這里，似乎可以告一段落了。但是你在域控制器上仍有可能繼續(xù)收到1058、1030的錯(cuò)誤信息，如圖15、16.這是為什么呢？輸入U(xiǎn)NC路徑后，的確能看到SYSVOL和NETLOGON共享啊。如圖17.10. 其實(shí)并不是我們操作錯(cuò)誤，而是在這個(gè)演示中，我為了徹底重建SYSVOL目錄將之前的刪除了，所以同時(shí)也刪除了所有的域策略，例如就刪除了系統(tǒng)默認(rèn)的兩條策略“域安全策略”和“域控制器安全策略”。因?yàn)镚PO策略信息是以文件的形式保存在C:WINDOWSSYSVOL domainPolicies這個(gè)路徑下的。盡管

12、我們重建了SYSVOL目錄，但是并沒有重建策略文件，所以導(dǎo)致事件日志報(bào)錯(cuò)。當(dāng)然，“域安全策略”和“域控制器安全策略”也就無法打開咯，如圖1811. 如何解決上面的問題呢?我認(rèn)為至少有3個(gè)方法可以解決：a. 最簡單也是最值得推薦的方法就是直接從別的域控制器上將以上的策略文件拷貝到該域控制的C:WINDOWSSYSVOLsysvolPolicies目錄下。如圖19。不要告訴我你沒有其他域控制器，重新安裝一臺虛擬機(jī)總是可以的吧。（注：31B2F340-016D-11D2-945F-00C04FB984F9是“域安全策略”的文件策略； 6AC1786C-016F-11D2-945F-00C04fB984F9是“域控制器安全策略”的策略文件）b. 如果您以前曾通過GPMC備份過GPO，那么直接還原過去即可。這種方法是最沒有副作用的。不止能還原系統(tǒng)默認(rèn)的GPO，還能還原自定義的GPO設(shè)置。c. 如果沒有做過GPO的備份，又懶得從其他域控制器拷貝，那么還有一個(gè)辦法是使用工具直接重建這兩條策略，方法是安裝Resource Kit后運(yùn)行命令dcgpofix /target:both。這個(gè)命令會重新建立這兩條策略到域控制器剛安裝好時(shí)的默認(rèn)狀態(tài)，既然是重建那么你曾在這兩條策略上做的設(shè)置都會清空，這點(diǎn)請注意。（注：運(yùn)行dcgpofix時(shí)如果提示“此域的 Active Directory 架構(gòu)版本