因为服务器的硬盘损坏,数据无法恢复,所以,更换硬盘后,进行AD的恢复,在恢复的过程中,遇到了种种的问题,不过,到最后还是解决了所有的故障,现在正在提供服务状态,在此分享一下感受!
AD的恢复其实也不难,开机进入目录还原模式,使用ntbackup进行恢复,然后,进行授权还原,最后占用角色等等,这个过程可以参考大象的博客来了解,这篇帖子主要来介绍解决恢复后的一些异常故障!
具体的恢复过程可以参考大象的博客:http://hubuxcg.blog.51cto.com/2559426/458058
恢复完成后,发现SYSVOL和NETLOGON共享丢失。这种情况在辅助域控制器上通常会出现,但有时也在第一台域控制器上也可能会出现这种情况。另外,当对活动目录执行灾难还原后也有可能遇到这个情况。
对Windows活动目录有所了解的管理员应该对SYSVOL不陌生,它是用来存储域公共文件服务器副本的共享文件夹,例如我们用得最多的组策略设置、脚本等都是存在这个共享目录中的。如果组织内有多台域控制器,那么它们就在域中所有的域控制器之间通过FRS服务相互复制。而NETLOGON共享则是SYSVOL目录中一个文件夹Scripts的共享名,顾名思义就是用来保存脚本信息的。SYSVOL文件夹的重要性不想多说,然而有的时候它就偏偏出问题,导致活动目录AD故障层出,通常组策略无法执行,在域控制器或成员机器上的事件日志中每隔5分钟就记录ID号为1058和1030的错误消息,让人很是恼火。
首先我们需要先把sysvol的目录建立好,
a. 在windows目录下新建一个文件夹叫SYSVOL
b. 在c:\windows\sysvol目录下再新建一个文件夹:domain、staging、staging areas、sysvol
c. 在C:\WINDOWS\SYSVOL\domain目录下新建两个文件夹:Policies和Scripts
d. 在C:\WINDOWS\SYSVOL\staging目录下新建一个文件夹:domain
e. 在C:\WINDOWS\SYSVOL\staging areas目录下新建一个和域名相同的文件夹,例如我的是a.com,那么就在该目录新建a.com文件夹
f. 和步骤e一样,在C:\WINDOWS\SYSVOL\sysvol目录也新建一个和域名相同的文件夹,如C:\WINDOWS\SYSVOL\sysvol\a.com,至此文件夹的结构被我们重建得差不多了。
由于接下来我们需要用到两个小工具,所以要在域控制器上安装Windows 2003 Resource kit,下载地址为:
http://www.microsoft.com/downloa ... fe057%2frktools.exe
运行如下命令重启NTFRS服务:
Net stop ntfrs & net start ntfrs
重启服务后,NTFRS服务会自动帮我们完善前面的SYSVOL目录结构,例如添加相应目录的隐藏属性、增加DO_NOT_REMOVE_NtFrs_PreInstall_Directory隐藏文件夹等等。
运行如下命令后,得出如图的结果表示正常
ntfrsutl ds |findstr /i "root stage"
然后利用Linkd程序来挂接相应的目录,创建如下两个交接点
具体命令为:
a. 在“开始“ ”运行”中输入”cmd”,然后在打开的”命令提示窗口”输入:
Linkd %systemroot%\SYSVOL\SYSVOL\a.com %systemroot%\SYSVOL\DOMAIN 如图
Linkd "%systemroot%\SYSVOL\staging areas\a.com" %systemroot%\SYSVOL\staging\domain 如图
打开注册表编辑器,找到如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\{GUID},其中GUID是类似f791c404-f37f-4634-9899d59d9397871e这样的字符串值。
然后找到右边的BurFlags,同样将其修改为D4,完成后退出注册表编辑器,
运行如下命令重启服务:
Net stop ntfrs & net start ntfrs
激动人心的时候来了,此时打开SYSVOL目录和输入net share命令,会发现SYSVOL和NETLOGON共享都重建出来了。
整个步骤进行到这里,似乎可以告一段落了。但是你在域控制器上仍有可能继续收到1058、1030的错误信息,
这是为什么呢?输入UNC路径\\a.com后,的确能看到SYSVOL和NETLOGON共享啊。
其实并不是我们操作错误,而是在这个演示中,我为了彻底重建SYSVOL目录将之前的删除了,所以同时也删除了所有的域策略,例如就删除了系统默认的两条策略““域安全策略”和“域控制器安全策略”。因为GPO策略信息是以文件的形式保存在C:\WINDOWS\SYSVOL \domain\Policies这个路径下的。尽管我们重建了SYSVOL目录,但是并没有重建策略文件,所以导致事件日志报错。当然,““域安全策略”和“域控制器安全策略”也就无法打开咯,
如何解决上面的问题呢?我认为至少有3个方法可以解决:
a. 最简单也是最值得推荐的方法就是直接从别的域控制器上将以上的策略文件拷贝到该域控制的C:\WINDOWS\SYSVOL\sysvol\a.com\Policies目录下。如图19。不要告诉我你没有其他域控制器,重新安装一台虚拟机总是可以的吧。
(注:{31B2F340-016D-11D2-945F-00C04FB984F9}是““域安全策略”的文件策略;
{6AC1786C-016F-11D2-945F-00C04fB984F9}是“域控制器安全策略”的策略文件)
b. 如果您以前曾通过GPMC备份过GPO,那么直接还原过去即可。这种方法是最没有副作用的。不止能还原系统默认的GPO,还能还原自定义的GPO设置。
c. 如果没有做过GPO的备份,又懒得从其他域控制器拷贝,那么还有一个办法是使用工具直接重建这两条策略,方法是安装Resource Kit后运行命令dcgpofix /target:both。这个命令会重新建立这两条策略到域控制器刚安装好时的默认状态,既然是重建那么你曾在这两条策略上做的设置都会清空,这点请注意。
(注:运行dcgpofix时如果提示“此域的 Active Directory 架构版本和此工具所支持的版本不匹配。”,那么请将命令修改为dcgpofix /ignoreschema /target:both忽略架构版本。之所以有这样的提示是因为我的系统现在是2003 SP2,而Resource Kit工具包是配合2003的,没有找到专门匹配2003SP2的资源包,其实不必理会,直接忽略警告信息就OK。)
此时再打开事件查看器,如图,每隔5分钟出现一次的红叉终于没有了,整个世界清净了。
技术方面的已经说完了,那么总结和感受将会这2天总结出来,毕竟这是一个大的事故,是有必要进行总结的!敬请期待!
本文转自 IT之梦 51CTO博客,原文链接:http://blog.51cto.com/itmydream/738685