活動目錄系列其實已經結束,但最近我在一次偶然的實驗環境下,發現SYSVOL和NETLOGON兩個共享文件夾突然丟失,想到這是在做了某些誤操作所致,於是在這裏把該系列再補上一篇,算是收尾吧。
描述一下事情發生的全過程:
我搭建了一個雙站點的父子域環境,其中北京站點是有一臺根DC,n1.net.com,上海站點有第二臺根DC,n2.net.com,同時還有一個子域DC,n3.net.com。如下圖所示:
我在做完站點的相關實驗後,故意將上海站點的兩臺DC全部離線,然後把北京站點DC的一個用戶jack和一個OU名爲HR(裏面有幾個用戶)刪除,當然之前已經把AD做了備份,而且備份中包含用戶jack,我用了命令repadmin /showmeta cn=jack,ou=sails,dc=net,dc=com >c:\jack.txt和repadmin /showmeta ou=HR,dc=net,dc=com >c:\HR.txt,把jack用戶相關屬性的版本信息及OU的相應版本信息保存來了,然後我把DC重啓,按F8進入目錄還原模式,要驗證“授權還原”對用戶及OU的版本的變化情況。
進行“目錄恢復模式”後,先進行正常還原,再進行授權還原,然後重啓DC,成功登錄後(發現有些慢,並沒在意),然後我進入CMD,先把DC上有關上海站點的信息刪除,輸入ntdsutil,大致如下操作:
ntdsutil:
:meta clea
:conn
:con to server n1.net.com
:quit
:sele oper target
:....後面省略,各位可以參見我以前的活動目錄系列有此命令的詳細說明。
清理乾淨後,退到C盤根目錄,我輸入:
c:\> repadmin /showmeta cn=jack,ou=sails,dc=net,dc=com >c:\jack1.txt
c:\> repadmin /showmeta ou=HR,dc=net,dc=com >c:\HR1.txt
c:\>repadmin /showmeta cn=alice,ou=HR,dc=net,dc=com>c:\alice.txt
經過驗證用戶jack屬性的版本值全部增加100000次,如下圖是前後的比較:
而對於OU也是增加了十萬次,OU裏的所有用戶也都恢復了,ver值也增加了十萬次。不再圖示,實驗驗證完畢。
打開dsa.msc想看一下用戶是否恢復,發現聯繫不上域,手動聯繫,成功,於時重啓DC,再次登錄,這次這臺DC應該是獨立乾淨的DC,想必應該登錄較快,而且不會有問題。但情況並不見好轉,登錄比較慢,登錄成功後,運行dsa.msc,還是聯繫不上域,只能手動聯繫。打開eventvwr.msc查看日誌發現可能SYSVOL共享文件夾丟失,於是查看本機,確實SYSVOL和NETLOGON全部丟失,怪不得,必須進行修復。
用過AD的朋友都知道,我們在安裝AD時有一個文件夾就是SYSVOL,而這個文件夾必須共享,這裏面放的就是組策略模板,即組策略的具體設置,如果這個文件夾沒有共享或丟失,那我們的域就不健康了,換句話說,組策略就加載不了了,在這種情況下,客戶端登錄域會很慢甚至登錄不了。而DC當然也是一樣的。
NETLOGON裏面放的是腳本,這個文件夾也必須共享。沒有辦法,我們只能進行修復。
爲什麼會丟失?懷疑是進行授權還原造成的,或進行ntdsutil修復DC造成,總之我是進行這兩項操作所爲,查看文件夾還存在,萬幸,手動共享重啓,發現不成功,只能通過修改註冊表實現,如下所示操作步驟:
一、打開DC的註冊表編輯器(regedit),修改鍵值如下:
修改後,關閉註冊表。
二、重啓相關服務:如下圖
三、查看共享,發現已經成功
四、重啓DC。
查看事件查看器,正常。
再利用dcdiag /a /v 來查看有無大的錯誤,無礙,問題解決。
當然如果你的SYSVOL文件夾被人爲刪除,這個修復工作是比較麻煩的,各位如果要實踐可以參見Bnsen的《解決災難恢復後域共享目錄SYSVOL與NELOGON共享丟失》。
後記:其實今天我寫這篇文檔,也是想寫一下解決問題的思路,各位如果沒有真實的生產環境,完全可以自己模擬環境,搞壞實驗環境,然後再修復,直至域環境健康。