Устранение неполадок при отсутствии на контроллерах домена Windows 2000 общих папок SYSVOL и NETLOGON

Устранение неполадок при отсутствии на контроллерах домена Windows 2000 общих папок SYSVOL и NETLOGON

Аннотация

Служба репликации файлов (FRS) является многопоточным средством репликации, выполняющим репликацию с несколькими хозяевами и заменяющим службу LMREPL, существовавшую в Microsoft Windows NT 3.x и 4.0. Она используется контроллерами доменов и серверами под управлением Microsoft Windows 2000 для репликации системной политики и сценариев входа на компьютеры под управлением Windows 2000 и более ранних версий Windows.

Кроме того, служба FRS осуществляет репликацию информации отказоустойчивой файловой системы DFS между серверами Windows 2000, содержащими одинаковые корни DFS или реплики дочерних узлов.

Данная статья содержит инструкции по устранению неполадок, связанных с отсутствием общих папок netlogon и sysvol на контроллерах домена под управлением Windows 2000.

Дополнительная информация

Хотя данная проблема может возникнуть и на первом контроллере нового домена, но, как правило, она возникает на репликатах. Следующие инструкции предназначены для использования на репликатах контроллера домена. Чтобы применять их на первом контроллере в домене, необходимо пропускать шаги, относящиеся к репликации.

Объекты подключения NTDS существуют в службе каталогов всех партнеров по репликации.

Подключения NTDS представляют собой односторонние подключения, используемые службой FRS и службой каталогов для репликации системной части системной политики, находящейся в папке SYSVOL, и данных Active Directory. Объекты подключения NTDS создаются компонентом KCC (Knowledge Consistency Checker), ответственным за формирование связной топологии контроллеров домена в домене и в лесу. Кроме того, данные объекты могут быть созданы администратором вручную.

Просмотреть объекты соединения, соответствующие соединениям между текущим компьютером и контроллером домена, можно с помощью оснастки «Active Directory - сайты и службы» (Dssite.msc). Чтобы между компьютерами M1 и M2 была возможна репликация, на компьютере M1 должны присутствовать объекты входящих соединений с компьютера M2, а на компьютере M2 должны присутствовать объекты входящих соединений с компьютера M1. При использовании оснастки Dssite.msc команда «Подключение к контроллеру домена...» позволяет просмотреть список объектов внутридоменных соединений всех контроллеров домена.

Если для нового члена реплики отсутствуют объекты соединения, необходимо, чтобы компонент KCC создал нужные объекты. Для этого выполните в оснастке Dssite.msc команду Проверка топологии репликации. Затем нажмите клавишу F5 для обновления содержимого окна просмотра.

Если автоматическое создание объектов соединений не выполняется, администратор должен вручную создать нужные объекты входящих или исходящих соединений с контроллерами домена. Как правило, создание вручную одного работающего объекта соединения позволяет компоненту KCC выполнить автоматическое создание остальных объектов. При наличии одинаковых соединений от одного и того же контроллера домена, необходимо удалить одно из них, чтобы избежать блокировки репликации. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base: 251250 NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist

Репликация Active Directory выполняется между новым контроллером домена и существующим контроллером.

Воспользуйтесь программой Repadmin.exe, чтобы убедиться, что репликация Active Directory происходит между нужными узлами, в нужном домене и в соответствии с расписанием. По умолчанию репликация между контроллерами домена, находящимися в пределах одного сайта, выполняется каждые 5 минут. Между контроллерами домена, находящимися в разных сайтах, репликация по умолчанию выполняется каждые 3 часа, но не чаще, чем раз в 15 минут.

REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%

REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%

Репликация службы FRS зависит от репликации службой Active Directory данных о конфигурации между контроллерами домена. Если вы считаете, что репликация выполняется с ошибками, следует просмотреть события репликации с помощью средства просмотра событий. Для этого необходимо на компьютерах, участвующих в репликации (например, на компьютерах M1 и M2), в разделе реестра

HKEY_LOCAL_MACHINEsystemccsservicesntdsdiagnostics

присвоить параметру «replication events» значение «5», а затем выполнить репликацию с компьютера M1 на компьютер M2 и в обратную сторону. Для запуска репликации можно использовать команду «Реплицировать сейчас» оснастки Dssite.msc или воспользоваться программой REPLMON.

На сервере, являющемся источником данных при репликации Active Directory и папки SYSVOL, должны быть созданы общие папки NETLOGON и SYSVOL.

После того как программа Dcpromo.exe выполняет перезагрузку компьютера, служба FRS пытается получить папку SYSVOL с компьютера, указанного в разделе реестра «Replica Set Parent» раздела:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTFRSParametersSysVolИмя_домена

Примечание. Данный раздел является временным и удаляется после получения папки SYSVOL или после успешной репликации папки SYSVOL.

При использовании сборки 2195 файла Ntfrs.exe репликация с указанного сервера не выполняется, а репликация папки SYSVOL задерживается до момента, когда служба FRS попытается с помощью объекта соединения NTDS выполнить репликацию с компьютера-партнера по входящей репликации.

На всех контроллерах домена, являющихся возможными источниками данных при репликации, должны быть созданы общие папки NETLOGON и SYSVOL и применены политики по умолчанию для домена и для контроллеров домена.

Структура каталога папки SYSVOL:

domain

DO_NOT_REMOVE_NtFrs_PreInstall_Directory

Policies

{GUID}

Adm

MACHINE

USER

{GUID}

Adm

MACHINE

USER

{etc.,}

scripts

staging

staging areas

MyDomainName.com

scripts

sysvol(sysvol share)

MyDomainName.com

DO_NOT_REMOVE_NtFrs_PreInstall_Directory

Policies

{GUID}

Adm

MACHINE

USER

{GUID}

Adm

MACHINE

USER

{etc.,}

scripts(NETLOGON share)

За дополнительной информацией о проблеме при получении данных с исходной реплики обратитесь к следующей статье Microsoft Knowledge Base:

250545 SYSVOL Directory Is Slow to Synchronize, Delays Creation of SYSVOL Share and Domain Controller Registration

В подразделении контроллеров домена в правах доступа к политике по умолчанию для контроллеров домена необходимо присвоить право доступа «Сетевой доступ к этому компьютеру» группе «Контроллеры домена предприятия».

При работе программы Dcpromo.exe для репликации Active Directory используются учетные данные, введенные в мастере установки Active Directory. После перезагрузки репликация выполняется в контексте учетной записи компьютера-контроллера домена. Все контроллеры домена, являющиеся источником данных при репликации, должны реплицировать и применить политику, дающую группе «Контроллеры домена предприятия» право доступа «Сетевой доступ к этому компьютеру». Для быстрой проверки результатов репликации можно проверить наличие событий с кодом 1704 в журнале приложений компьютера-источника. Для полной проверки результатов необходимо выполнить анализ параметров безопасности, используя шаблон Basicdc.inf. Для этого настройте переменные окружения SYSVOL, DSLOG и DSIT в соответствии со статьей

250454 Error Returned Importing the BASICDC Security Template in Security Configuration Editor

и просмотрите результаты анализа.

Зачастую после обновления контроллеров домена под управлением Windows NT 4 до Windows 2000 не выдается право «Сетевой доступ к этому компьютеру», что делает невозможным репликацию active directory и FRS и вызывает появление сообщения об ошибке «Отказано в доступе».

Все контроллеры домена должны быть в состоянии выполнить разрешение полного имени (%Имя_компьютера%.<Имя_домена>) компьютеров, являющихся членами реплики.

Это значит, что при репликации папки SYSVOL необходимо производить разрешение имен всех контроллеров данного домена. Для каждого из компьютеров-членов реплики следует проверить соответствие адреса, возвращаемого командой ping, и адреса, сообщаемого при запуске программы IPCONFIG.

Для работы службы FRS должна быть создана база данных jet NTFRS.

Убедитесь в наличии файла NTfrs.jdb на каждом контроллере домена в данном домене. Для этого выполните на этих компьютерах команду «DIR <Имя_компьютера>admin$ntfrsjet». Если служба NTFRS запущена, то дата и размер базы данных jet могут отображаться неправильно (это является особенностью продукта).

Все контроллеры домена должны быть членами реплики SYSVOL.

На всех компьютерах-членах реплики необходимо выполнить команду «NTFRSUTL DS [COMPUTERNAME]». Убедитесь, что в данном домене все контроллеры домена отображаются в разделе «SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)» результатов работы программы NTFRSUTL. Реплика SYSVOL и члены данной реплики также отображаются в оснастке «Пользователи и компьютеры» (Dsa.msc) по адресу cn="domain system volume",cn=file replication service,cn=system,dc=<Полное_доменное_имя>. Для этого в меню Вид необходимо выбрать пункт «Дополнительные функции».

Все контроллеры домена должны быть подписчиками набора репликации.

На всех компьютерах-членах реплики необходимо выполнить команду «NTFRSUTL DS [COMPUTERNAME]». Объект подписки расположен по адресу cn=domain system volume (SYSVOL share),cn=NTFRS sub>scriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<Полное_доменное_имя>. Для этого необходимо, чтобы объект machine существовал и был реплицирован. При отсутствии объекта подписки программа NTFRSUTL выводит следующее сообщение:

sub>SCRIPTION: NTFRS sub>SCRIPTIONS DN : cn=ntfrs sub>scriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid :

5c44b60b-8f01-48c6-8604c630a695dcdd

Working : f:winntntfrs

Actual Working: f:winntntfrs

WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!

Должно действовать расписание репликации.

На компьютерах-партнерах по репликации должно быть достаточно свободного места на логическом диске, на котором размещаются общая папка SYSVOL и папка для промежуточных данных. Например, не менее половины размера реплицируемых данных и в три раза больше, чем размер самого большого реплицируемого файла.

Чтобы убедиться, что файлы реплицированы, проверьте содержимое папки-приемника и папки для промежуточных данных новой реплики (их расположение отображается по команде «NTFRSUTL DS»). Файлы, находящиеся в папке для промежуточных данных, в дальнейшем будут перенесены в папку-приемник. Таким образом, изменение числа файлов в папке-приемнике или в папке для промежуточных данных свидетельствует, что файлы реплицируются или перемещаются в папку-приемник.

Примечание. Программа Ntfrsutl.exe входит в состав набора Windows 2000 Resource Kit.

Информация в данной статье применима к:

Microsoft Windows 2000 Server

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Datacenter Server

Список литературы

Для подготовки данной применялись материалы сети Интернет из общего доступа