題外話:曉原理、知架構、查日誌是排錯的三件法寶
今天在DC1上新建並鏈接了一個組策略對像,在客戶端刷新時,卻報下面的錯誤:
“處理組策略失敗。Windows無法應用組策略對象LDAP….”如下圖所示:
於是在客戶端用\\domain.com訪問,發現\\domain.com\SYSVOL\domain.com\policies下面沒有上面報錯的組策略對象。
這是怎麼一回事呢,ping domain.com發現地址解析到了DC2的IP,於是我訪問編輯組策略的DC1,發現上面是有這個對象的。
到這裏可以明顯看到,SYSVOL複製出現了問題(SYSVOL在win2008後通過DFSR服務進行復制),幾臺域控制器上的SYSVOL內容不一致,由於組策略對象的部分內容是放在SYSVOL裏面的,而應用此組策略時如果訪問到了DC2,由於裏面沒此GPO對象,肯定就會報錯。
於是進入DC1,打開事件查看器,在“應用程序和服務日誌\DFS Replication”下面發現了4012錯誤,裏面內容如下:
DFS 複製服務已停止在以下本地路徑的文件夾上進行復制: C:\Windows\SYSVOL\domain。 該服務器已經與其他夥伴斷開連接 201 天, 這已超出了 MaxOfflineTimeInDays 參數(60)所允許的時間。 因此,DFS 複製將該文件夾中的數據看作已過時, 更正此錯誤之前,該服務器不會複製此文件夾。 若要恢復該文件夾的複製,請使用 DFS 管理管理單元 從複製組中刪除此服務器,然後再將其添加到此組中。 這會導致服務器執行初始同步任務,該任務會將過時的數據 替換爲複製組其他成員中的最新數據。 其他信息: 錯誤: 9061 (複製的文件夾脫機時間太長。) 已複製的文件夾名稱: SYSVOL Share 已複製的文件夾 ID: AD12EBEB-2E85-4BD3-A628-29EA5535B77B 複製組名稱: Domain System Volume 複製組 ID: B0987B25-DB56-4C9E-8EB5-325597966A24 成員 ID: C59B6E88-FC22-4A66-B78F-C8F2F0EBA70E |
根據上面的建議,是將本服務器從複製組先刪除再加入,並從其他成員複製數據,但這裏一定要注意,千萬不要根據上面的建議來做,因爲現在域服務器DC1上面有最新的數據,它應該是權威源,是數據從它複製到其他服務器,所以我們應該把這臺DC1手動設置成權威服務器(也就是源頭),步驟如下:
步驟一:先禁用DC1的DFSR複製。 打開ADSIEDIT.MSC,定位到 CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain> 這裏的<the server name>是要設置成的權威服務器,也就是DC1,通常這是域中的PDC模擬器角色服務器,因爲裏面有最新的SYSVOL內容,我這裏也是。 修改下面兩個值 msDFSR-Enabled=FALSE 意思是禁用複製 步驟二:禁用其他所有域控制器的DFSR複製 與步驟一同樣的位置,選相應的域服務器。 msDFSR-Enabled=FALSE 步驟三:進行一個AD複製,同步上面的值。 步驟四:啓動權威DC1上的DFSR服務,如果沒有啓動的話。 步驟五:在第一步同樣的位置啓用權威域控制器的複製,這裏是DC1。 msDFSR-Enabled=TRUE 步驟六:再次進行AD複製。 步驟七:在dc1上運行DFSRDIAG POLLAD 步驟八:啓用其他非權威域控制器上的DFSR服務和複製。 msDFSR-Enabled=TRUE 步驟九:在其他非權威DC 上運行DFSRDIAG POLLAD。 |
完成檢查日誌沒有再報錯,再在客戶運行組策略更新也正常了。
附:你可以在功能組件的遠程服務器管理工具中安裝DFS管理工具,然後在管理工具中可以看到直觀的情況,還可以運行診斷報告。
