Устранение неполадок при отсутствии на контроллерах домена Windows 2000 общих папок SYSVOL и NETLOGON
Посетителей: 7506
| Просмотров: 9905 (сегодня 0)
Шрифт:
Аннотация
Служба репликации файлов (FRS) является многопоточным средством репликации, выполняющим репликацию с несколькими хозяевами и заменяющим службу LMREPL, существовавшую в Microsoft Windows NT 3.x и 4.0. Она используется контроллерами доменов и серверами под управлением Microsoft Windows 2000 для репликации системной политики и сценариев входа на компьютеры под управлением Windows 2000 и более ранних версий Windows.
Кроме того, служба FRS осуществляет репликацию информации отказоустойчивой файловой системы DFS между серверами Windows 2000, содержащими одинаковые корни DFS или реплики дочерних узлов.
Данная статья содержит инструкции по устранению неполадок, связанных с отсутствием общих папок netlogon и sysvol на контроллерах домена под управлением Windows 2000.
Дополнительная информация
Хотя данная проблема может возникнуть и на первом контроллере нового домена, но, как правило, она возникает на репликатах. Следующие инструкции предназначены для использования на репликатах контроллера домена. Чтобы применять их на первом контроллере в домене, необходимо пропускать шаги, относящиеся к репликации.
Объекты подключения NTDS существуют в службе каталогов всех партнеров по репликации.
Подключения NTDS представляют собой односторонние подключения, используемые службой FRS и службой каталогов для репликации системной части системной политики, находящейся в папке SYSVOL, и данных Active Directory. Объекты подключения NTDS создаются компонентом KCC (Knowledge Consistency Checker), ответственным за формирование связной топологии контроллеров домена в домене и в лесу. Кроме того, данные объекты могут быть созданы администратором вручную.
Просмотреть объекты соединения, соответствующие соединениям между текущим компьютером и контроллером домена, можно с помощью оснастки «Active Directory - сайты и службы» (Dssite.msc). Чтобы между компьютерами \M1 и \M2 была возможна репликация, на компьютере \M1 должны присутствовать объекты входящих соединений с компьютера \M2, а на компьютере \M2 должны присутствовать объекты входящих соединений с компьютера \M1. При использовании оснастки Dssite.msc команда «Подключение к контроллеру домена...» позволяет просмотреть список объектов внутридоменных соединений всех контроллеров домена.
Если для нового члена реплики отсутствуют объекты соединения, необходимо, чтобы компонент KCC создал нужные объекты. Для этого выполните в оснастке Dssite.msc команду Проверка топологии репликации. Затем нажмите клавишу F5 для обновления содержимого окна просмотра.
Если автоматическое создание объектов соединений не выполняется, администратор должен вручную создать нужные объекты входящих или исходящих соединений с контроллерами домена. Как правило, создание вручную одного работающего объекта соединения позволяет компоненту KCC выполнить автоматическое создание остальных объектов. При наличии одинаковых соединений от одного и того же контроллера домена, необходимо удалить одно из них, чтобы избежать блокировки репликации. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
251250 NTFRS Event ID 13557 Is Recorded When Duplicate NTDS Connection Objects Exist
Репликация Active Directory выполняется между новым контроллером домена и существующим контроллером.
Воспользуйтесь программой Repadmin.exe, чтобы убедиться, что репликация Active Directory происходит между нужными узлами, в нужном домене и в соответствии с расписанием. По умолчанию репликация между контроллерами домена, находящимися в пределах одного сайта, выполняется каждые 5 минут. Между контроллерами домена, находящимися в разных сайтах, репликация по умолчанию выполняется каждые 3 часа, но не чаще, чем раз в 15 минут.
Репликация службы FRS зависит от репликации службой Active Directory данных о конфигурации между контроллерами домена. Если вы считаете, что репликация выполняется с ошибками, следует просмотреть события репликации с помощью средства просмотра событий. Для этого необходимо на компьютерах, участвующих в репликации (например, на компьютерах \M1 и \M2), в разделе реестра
присвоить параметру «replication events» значение «5», а затем выполнить репликацию с компьютера \M1 на компьютер \M2 и в обратную сторону. Для запуска репликации можно использовать команду «Реплицировать сейчас» оснастки Dssite.msc или воспользоваться программой REPLMON.
На сервере, являющемся источником данных при репликации Active Directory и папки SYSVOL, должны быть созданы общие папки NETLOGON и SYSVOL.
После того как программа Dcpromo.exe выполняет перезагрузку компьютера, служба FRS пытается получить папку SYSVOL с компьютера, указанного в разделе реестра «Replica Set Parent» раздела:
Примечание. Данный раздел является временным и удаляется после получения папки SYSVOL или после успешной репликации папки SYSVOL.
При использовании сборки 2195 файла Ntfrs.exe репликация с указанного сервера не выполняется, а репликация папки SYSVOL задерживается до момента, когда служба FRS попытается с помощью объекта соединения NTDS выполнить репликацию с компьютера-партнера по входящей репликации.
На всех контроллерах домена, являющихся возможными источниками данных при репликации, должны быть созданы общие папки NETLOGON и SYSVOL и применены политики по умолчанию для домена и для контроллеров домена.
Структура каталога папки SYSVOL:
domain
DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Policies
{GUID}
Adm
MACHINE
USER
{GUID}
Adm
MACHINE
USER
{etc.,}
scripts
staging
staging areas
MyDomainName.com
scripts
sysvol(sysvol share)
MyDomainName.com
DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Policies
{GUID}
Adm
MACHINE
USER
{GUID}
Adm
MACHINE
USER
{etc.,}
scripts(NETLOGON share)
За дополнительной информацией о проблеме при получении данных с исходной реплики обратитесь к следующей статье Microsoft Knowledge Base:
250545 SYSVOL Directory Is Slow to Synchronize, Delays Creation of SYSVOL Share and Domain Controller Registration
В подразделении контроллеров домена в правах доступа к политике по умолчанию для контроллеров домена необходимо присвоить право доступа «Сетевой доступ к этому компьютеру» группе «Контроллеры домена предприятия».
При работе программы Dcpromo.exe для репликации Active Directory используются учетные данные, введенные в мастере установки Active Directory. После перезагрузки репликация выполняется в контексте учетной записи компьютера-контроллера домена. Все контроллеры домена, являющиеся источником данных при репликации, должны реплицировать и применить политику, дающую группе «Контроллеры домена предприятия» право доступа «Сетевой доступ к этому компьютеру». Для быстрой проверки результатов репликации можно проверить наличие событий с кодом 1704 в журнале приложений компьютера-источника. Для полной проверки результатов необходимо выполнить анализ параметров безопасности, используя шаблон Basicdc.inf. Для этого настройте переменные окружения SYSVOL, DSLOG и DSIT в соответствии со статьей
250454 Error Returned Importing the BASICDC Security Template in Security Configuration Editor
и просмотрите результаты анализа.
Зачастую после обновления контроллеров домена под управлением Windows NT 4 до Windows 2000 не выдается право «Сетевой доступ к этому компьютеру», что делает невозможным репликацию active directory и FRS и вызывает появление сообщения об ошибке «Отказано в доступе».
Все контроллеры домена должны быть в состоянии выполнить разрешение полного имени (%Имя_компьютера%.<Имя_домена>) компьютеров, являющихся членами реплики.
Это значит, что при репликации папки SYSVOL необходимо производить разрешение имен всех контроллеров данного домена. Для каждого из компьютеров-членов реплики следует проверить соответствие адреса, возвращаемого командой ping, и адреса, сообщаемого при запуске программы IPCONFIG.
Для работы службы FRS должна быть создана база данных jet NTFRS.
Убедитесь в наличии файла NTfrs.jdb на каждом контроллере домена в данном домене. Для этого выполните на этих компьютерах команду «DIR \<Имя_компьютера>admin$ntfrsjet». Если служба NTFRS запущена, то дата и размер базы данных jet могут отображаться неправильно (это является особенностью продукта).
Все контроллеры домена должны быть членами реплики SYSVOL.
На всех компьютерах-членах реплики необходимо выполнить команду «NTFRSUTL DS [COMPUTERNAME]». Убедитесь, что в данном домене все контроллеры домена отображаются в разделе «SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)» результатов работы программы NTFRSUTL. Реплика SYSVOL и члены данной реплики также отображаются в оснастке «Пользователи и компьютеры» (Dsa.msc) по адресу cn="domain system volume",cn=file replication service,cn=system,dc=<Полное_доменное_имя>. Для этого в меню Вид необходимо выбрать пункт «Дополнительные функции».
Все контроллеры домена должны быть подписчиками набора репликации.
На всех компьютерах-членах реплики необходимо выполнить команду «NTFRSUTL DS [COMPUTERNAME]». Объект подписки расположен по адресу cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<Полное_доменное_имя>. Для этого необходимо, чтобы объект machine существовал и был реплицирован. При отсутствии объекта подписки программа NTFRSUTL выводит следующее сообщение:
SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN : cn=ntfrs subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid : 5c44b60b-8f01-48c6-8604c630a695dcdd Working : f:winntntfrs Actual Working: f:winntntfrs WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!
Должно действовать расписание репликации.
На компьютерах-партнерах по репликации должно быть достаточно свободного места на логическом диске, на котором размещаются общая папка SYSVOL и папка для промежуточных данных. Например, не менее половины размера реплицируемых данных и в три раза больше, чем размер самого большого реплицируемого файла.
Чтобы убедиться, что файлы реплицированы, проверьте содержимое папки-приемника и папки для промежуточных данных новой реплики (их расположение отображается по команде «NTFRSUTL DS»). Файлы, находящиеся в папке для промежуточных данных, в дальнейшем будут перенесены в папку-приемник. Таким образом, изменение числа файлов в папке-приемнике или в папке для промежуточных данных свидетельствует, что файлы реплицируются или перемещаются в папку-приемник.
Примечание. Программа Ntfrsutl.exe входит в состав набора Windows 2000 Resource Kit.