重建SYSVOL和NETLOGON共享

前言
对Windows活动目录有所了解的管理员应该对SYSVOL不陌生，它是用来存储域公共文件服务器副本的共享文件夹，例如咱们用得最多的组策略设置、脚本等都是存在这个共享目录中的。若是组织内有多台域控制器，那么它们就在域中全部的域控制器之间经过FRS服务相互复制。而NETLOGON共享则是SYSVOL目录中一个文件夹Scripts的共享名,顾名思义就是用来保存脚本信息的。SYSVOL文件夹的重要性不想多说，然而有的时候它就恰恰出问题，致使活动目录AD故障层出，一般组策略没法执行，在域控制器或成员机器上的事件日志中每隔5分钟就记录ID号为1058和1030的错误消息，让人非常恼火。而一般遇得最多的SYSVOL问题就是以下两种：
1.  SYSVOL和NETLOGON共享丢失。这种状况在辅助域控制器上一般会出现，但有时也在第一台域控制器上也可能会出现这种状况。另外，当对活动目录执行灾难还原后也有可能遇到这个状况
2.  管理员有意或无心的删除了整个或部分SYSVOL目录中的文件,这种状况在管理员误操做时遇得比较多，我就曾遇到有人将SYSVOL迁移到E盘，而后误操做将E盘格式化
OK，不论是什么缘由致使出现以上两个问题，总之我将在这篇文章中着手解决这两个问题，但愿对你们有帮助



环境
DC：dc.a.com
在这里我就只用了一台DC作演示。若是你的环境中有多台DC，操做和本文章相似。

操做步骤
1、
1.  先来解决第一个常见问题，假设只是SYSVOL和NETLOGOGN共享丢失，可是文件夹结构尚在。这个问题比较好解决。为了模拟故障，我手动将SYSVOL共享取消了。如图1和2

2.  打开注册表编辑器，找到以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
而后在右边找到BurFlags，将其值改成D4（16进制）后退出，如图3

3.  再分别运行以下命令重启相关服务，如图4
Net stop netlogon & net start netlogon
Net stop ntfrs & net start ntfrs

4.  这个时候咱们再来看看SYSVOL共享有没有恢复。如图五、6所示，丢失的SYSVOL共享和NETLOGON共享已经成功恢复。
（注：第2步修改的注册表键值会在第3步操做后自动清除回到默认值）

2、
在接下来的演示中，我将SYSVOL文件夹所有删除，而后你们分享一下如何重建SYSVOL目录树中的内容和重建共享
1.  如图7所示，我已经手动将SYSVOL目录都删除来模拟故障

2.  因为操做系统并不会自动重建SYSVOL的目录结构，因此咱们须要手动按照原有的实际结构来创建。
SYSVOL 文件夹结构：
•        domain
•        DO_NOT_REMOVE_NtFrs_PreInstall_Directory
•        Policies
•        {GUID}
•        Adm
•        MACHINE
•        USER

•        {GUID}
•        Adm
•        MACHINE
•        USER

•        {etc.,}
•        scripts
•        staging
•        staging areas
•        MyDomainName.com
•        scripts
•        sysvol(sysvol share)
•        MyDomainName.com
•        DO_NOT_REMOVE_NtFrs_PreInstall_Directory
•        Policies
•        {GUID}
•        Adm
•        MACHINE
•        USER

•        {GUID}
•        Adm
•        MACHINE
•        USER

•        {etc.,}

•        scripts(NETLOGON share)

上面的文件夹结构是否是看花了？不要紧，看个人具体操做：
a.  在windows目录下新建一个文件夹叫SYSVOL
b.  在c:\windows\sysvol目录下再新建一个文件夹：domain、staging、staging areas、sysvol
c.  在C:\WINDOWS\SYSVOL\domain目录下新建两个文件夹：Policies和Scripts
d.  在C:\WINDOWS\SYSVOL\staging目录下新建一个文件夹：domain
e.  在C:\WINDOWS\SYSVOL\staging areas目录下新建一个和域名相同的文件夹，例如个人是a.com，那么就在该目录新建a.com文件夹
f.   和步骤e同样，在C:\WINDOWS\SYSVOL\sysvol目录也新建一个和域名相同的文件夹，如C:\WINDOWS\SYSVOL\sysvol\a.com,至此文件夹的结构被咱们重建得差很少了。

3.  因为接下来咱们须要用到两个小工具，因此要在域控制器上安装Windows 2003 Resource kit，下载地址为：
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=9d467a69-57ff-4ae7-96ee-b18c4790cffd&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f8%2fe%2fc%2f8ec3a7d8-05b4-440a-a71e-ca3ee25fe057%2frktools.exe

4.  运行以下命令重启NTFRS服务：
Net stop ntfrs & net start ntfrs

5.  重启服务后，NTFRS服务会自动帮咱们完善前面的SYSVOL目录结构，例如添加相应目录的隐藏属性、增长DO_NOT_REMOVE_NtFrs_PreInstall_Directory隐藏文件夹等等。运行以下命令后，得出如图8的结果表示正常
ntfrsutl ds |findstr /i "root stage"

而后利用Linkd程序来挂接相应的目录，建立以下两个交接点: （注：交接点外表像文件夹并且运转也像文件夹（在 Windows Explorer 中没法将它们与普通文件夹区分开来），但它们不是文件夹。交接点包含了与另外一文件夹的连接。程序打开它时，交接点会自动将程序从新定向至交接点所连接的文件夹。而从新定向对于用户和应用程序是彻底透明的。SYSVOL系统卷就是采用的这种文件夹结构）
a. C:\WINDOWS\SYSVOL\SYSVOL\域名  ---- (挂接到)     C:\WINDOWS\SYSVOL\DOMAIN
b.  C:\WINDOWS\SYSVOL\staging areas\域名   ---(挂接到)  C:\WINDOWS\SYSVOL\staging\domain

具体命令为：
a. 在“开始“”运行”中输入”cmd”，而后在打开的”命令提示窗口”输入：
Linkd %systemroot%\SYSVOL\SYSVOL\a.com   %systemroot%\SYSVOL\DOMAIN     如图9所示



Linkd "%systemroot%\SYSVOL\staging areas\a.com" %systemroot%\SYSVOL\staging\domain   如图10所示



b. 最好再验证一下前面的挂接操做是否都成功了，如图11：

6.  打开注册表编辑器，找到以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\{GUID},其中GUID是相似f791c404-f37f-4634-9899d59d9397871e这样的字符串值。
而后找到右边的BurFlags，一样将其修改成D4，完成后退出注册表编辑器，如图12
（注：第6步修改的注册表键值会在第7步操做后自动清除回到默认值）



7.  运行以下命令重启服务：
Net stop ntfrs & net start ntfrs

8.  激动人心的时候来了，此时打开SYSVOL目录和输入net share命令，会发现SYSVOL和NETLOGON共享都重建出来了。如图1三、14





9. 整个步骤进行到这里，彷佛能够告一段落了。可是你在域控制器上仍有可能继续收到105八、1030的错误信息，如图1五、16.这是为何呢？输入UNC路径\\a.com后，的确能看到SYSVOL和NETLOGON共享啊。如图17.







10. 其实并非咱们操做错误，而是在这个演示中，我为了完全重建SYSVOL目录将以前的删除了，因此同时也删除了全部的域策略，例如就删除了系统默认的两条策略““域安全策略”和“域控制器安全策略”。由于GPO策略信息是以文件的形式保存在C:\WINDOWS\SYSVOL \domain\Policies这个路径下的。尽管咱们重建了SYSVOL目录，可是并无重建策略文件，因此致使事件日志报错。固然，““域安全策略”和“域控制器安全策略”也就没法打开咯，如图18



11. 如何解决上面的问题呢?我认为至少有3个方法能够解决：

a.  最简单也是最值得推荐的方法就是直接从别的域控制器上将以上的策略文件拷贝到该域控制的C:\WINDOWS\SYSVOL\sysvol\a.com\Policies目录下。如图19。不要告诉我你没有其余域控制器，从新安装一台虚拟机老是能够的吧。
（注：{31B2F340-016D-11D2-945F-00C04FB984F9}是““域安全策略”的文件策略；
        {6AC1786C-016F-11D2-945F-00C04fB984F9}是“域控制器安全策略”的策略文件）

b.  若是您之前曾经过GPMC备份过GPO，那么直接还原过去便可。这种方法是最没有反作用的。不止能还原系统默认的GPO，还能还原自定义的GPO设置。

c.  若是没有作过GPO的备份，又懒得从其余域控制器拷贝，那么还有一个办法是使用工具直接重建这两条策略，方法是安装Resource Kit后运行命令dcgpofix /target:both。这个命令会从新创建这两条策略到域控制器刚安装好时的默认状态，既然是重建那么你曾在这两条策略上作的设置都会清空，这点请注意。
（注：运行dcgpofix时若是提示“此域的 Active Directory 架构版本和此工具所支持的版本不匹配。”，那么请将命令修改成dcgpofix /ignoreschema /target:both忽略架构版本。之因此有这样的提示是由于个人系统如今是2003 SP2，而Resource Kit工具包是配合2003的，没有找到专门匹配2003SP2的资源包，其实没必要理会，直接忽略警告信息就OK。）



12  此时再打开事件查看器，如图20，每隔5分钟出现一次的红叉终于没有了，整个世界清净了。