DC域控制器netlogon sysvol不能自動共享，AD間不能正常複製一，SYSVOL複製方式爲DFSR，netlogon sysvol恢復方式二，SYSVOL複製方式爲FRS，netlogo

時間 2021-04-01

標籤安全服務器網絡 app dom ide 測試 this spa 欄目系統安全简体版

原文原文鏈接

一，SYSVOL複製方式爲DFSR，netlogon sysvol恢復方式

1，故障拓撲安全

2，首先在AD01正常的DC上備份 sysvol和GPO，以防誤操做服務器

3，在AD02 執行 dcdiag /v 目錄服務器診斷故障源（診斷雖然不能明確看出故障源點，但可縮小問題點,診斷結果要耐心看完...）網絡

-------------------------------------------------------------------------------------------------------------------------------------------------------------app

目錄服務器診斷dom

正在執行初始化設置:ide

正在嘗試查找主服務器...測試

* 正在驗證本地計算機 TESTAD02 是否爲目錄服務器。 ui

主服務器 = TESTAD02this

* 正在鏈接到服務器 TESTAD02 上的目錄服務。spa

* 已識別的 AD 林。

Collecting AD specific global data

* 正在收集站點信息。

Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=test,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......

The previous call succeeded

Iterating through the sites

Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Getting ISTG and options for the site

* 正在標識全部服務器。

Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=test,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......

The previous call succeeded....

The previous call succeeded

Iterating through the list of servers

Getting information for the server CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

objectGuid obtained

InvocationID obtained

dnsHostname obtained

site info obtained

All the info for the server collected

Getting information for the server CN=NTDS Settings,CN=TESTAD01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

objectGuid obtained

InvocationID obtained

dnsHostname obtained

site info obtained

All the info for the server collected

* 標識全部 NC 交叉引用。

* 找到 2 DC。正在測試其中的 1。

已完成收集初始化信息。

正在進行所需的初始化測試

正在測試服務器: Default-First-Site-Name\TESTAD02

開始測試: Connectivity

* Active Directory LDAP Services Check

Determining IP4 connectivity

* Active Directory RPC Services Check

......................... TESTAD02 已經過測試 Connectivity

正在執行主要測試

正在測試服務器: Default-First-Site-Name\TESTAD02

開始測試: Advertising

警告: 當咱們嘗試訪問 TESTAD02 時，DsGetDcName 返回了 \\TESTAD01.test.com 的信息。

服務器沒有響應或被認爲不適合。

......................... TESTAD02 沒有經過測試 Advertising

用戶請求忽略的測試: CheckSecurityError

用戶請求忽略的測試: CutoffServers

開始測試: FrsEvent

* 文件複製服務事件日誌測試

跳過該測試，由於服務器正在運行 DFSR。

......................... TESTAD02 已經過測試 FrsEvent

開始測試: DFSREvent

The DFS Replication Event Log.

SYSVOL 共享後的最近 24 小時內出現了警告或錯誤事件。失敗的 SYSVOL 複製問題可能致使組策略問題。

發生了一個警告事件。EventID: 0x80001396

生成時間: 03/30/2021 08:26:59

事件字符串:

因爲出現錯誤，DFS 複製服務將中止與複製組 Domain System Volume 的夥伴 TESTAD01 通信。該服務將按期重試該鏈接。

其餘信息:

錯誤: 1723 (RPC 服務器太忙，不能完成該操做。)

鏈接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

發生了一個警告事件。EventID: 0x80001396

生成時間: 03/30/2021 08:26:59

事件字符串:

因爲出現錯誤，DFS 複製服務將中止與複製組 Domain System Volume 的夥伴 TESTAD01 通信。該服務將按期重試該鏈接。

其餘信息:

錯誤: 9033 (請求因爲關機而取消)

鏈接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

發生了一個錯誤事件。EventID: 0xC0001390

生成時間: 03/30/2021 08:28:35

事件字符串:

DFS 複製服務未能與複製組 Domain System Volume 的夥伴 TESTAD01 通信。發生此錯誤多是由於不可訪問主機，或者服務器上沒有運行 DFS 複製服務。

夥伴 DNS 地址: TESTAD01.test.com

可選數據(若是可用):

夥伴 WINS 地址: TESTAD01

夥伴 IP 地址: 172.30.139.100

該服務將按期重試鏈接。

其餘信息:

錯誤: 1722 (RPC 服務器不可用。)

鏈接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

發生了一個錯誤事件。EventID: 0xC0001390

生成時間: 03/30/2021 08:28:56

事件字符串:

DFS 複製服務未能與複製組 Domain System Volume 的夥伴 TESTAD01 通信。發生此錯誤多是由於不可訪問主機，或者服務器上沒有運行 DFS 複製服務。

夥伴 DNS 地址: TESTAD01.test.com

可選數據(若是可用):

夥伴 WINS 地址: TESTAD01

夥伴 IP 地址: 172.30.139.100

該服務將按期重試鏈接。

其餘信息:

錯誤: 1722 (RPC 服務器不可用。)

鏈接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

發生了一個錯誤事件。EventID: 0xC0001390

生成時間: 3/30/2021 08:35:23

事件字符串:

DFS 複製服務未能與複製組 Domain System Volume 的夥伴 TESTAD01 通信。發生此錯誤多是由於不可訪問主機，或者服務器上沒有運行 DFS 複製服務。

夥伴 DNS 地址: TESTAD01.test.com

可選數據(若是可用):

夥伴 WINS 地址: TESTAD01

夥伴 IP 地址: 172.30.139.100

該服務將按期重試鏈接。

其餘信息:

錯誤: 1722 (RPC 服務器不可用。)

鏈接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

發生了一個錯誤事件。EventID: 0xC0001390

生成時間: 03/30/2021 08:35:44

事件字符串:

DFS 複製服務未能與複製組 Domain System Volume 的夥伴 TESTAD01 通信。發生此錯誤多是由於不可訪問主機，或者服務器上沒有運行 DFS 複製服務。

夥伴 DNS 地址: TESTAD01.test.com

可選數據(若是可用):

夥伴 WINS 地址: TESTAD01

夥伴 IP 地址: 172.30.139.100

該服務將按期重試鏈接。

其餘信息:

錯誤: 1722 (RPC 服務器不可用。)

鏈接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

發生了一個錯誤事件。EventID: 0xC0001390

生成時間: 03/30/2021 08:51:45

事件字符串:

DFS 複製服務未能與複製組 Domain System Volume 的夥伴 TESTAD01 通信。發生此錯誤多是由於不可訪問主機，或者服務器上沒有運行 DFS 複製服務。

夥伴 DNS 地址: TESTAD01.test.com

可選數據(若是可用):

夥伴 WINS 地址: TESTAD01

夥伴 IP 地址: 172.30.139.100

該服務將按期重試鏈接。

其餘信息:

錯誤: 1722 (RPC 服務器不可用。)

鏈接 ID: 75FAAC98-52EE-4798-99FF-E92ECE9C3CFA

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

生了一個錯誤事件。EventID: 0xC0001390

生成時間: 03/30/2021 08:52:06

事件字符串:

DFS 複製服務未能與複製組 Domain System Volume 的夥伴 TESTAD01 通信。發生此錯誤多是由於不可訪問主機，或者服務器上沒有運行 DFS 複製服務。

夥伴 DNS 地址: TESTAD01.test.com

可選數據(若是可用):

夥伴 WINS 地址: TESTAD01

夥伴 IP 地址: 172.30.139.100

該服務將按期重試鏈接。

其餘信息:

錯誤: 1722 (RPC 服務器不可用。)

鏈接 ID: F7F397E0-739D-40F5-84B9-43F4BC165929

複製組 ID: C7326F92-2855-4D8C-9F8B-7900AE318831

......................... TESTAD02 沒有經過測試 DFSREvent

開始測試: SysVolCheck

* 該文件複製服務 SYSVOL 已準備好測試

文件複製服務的 SYSVOL 已就緒

......................... TESTAD02 已經過測試 SysVolCheck

開始測試: KccEvent

* The KCC Event log test

Found no KCC errors in "Directory Service" Event log in the last 15 minutes.

......................... TESTAD02 已經過測試 KccEvent

開始測試: KnowsOfRoleHolders

Role Schema Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Role Domain Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Role PDC Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Role Rid Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Role Infrastructure Update Owner = CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

......................... TESTAD02 已經過測試 KnowsOfRoleHolders

開始測試: MachineAccount

Checking machine account for DC TESTAD02 on DC TESTAD02.

* SPN found :LDAP/TESTAD02.test.com/test.com

* SPN found :LDAP/TESTAD02.test.com

* SPN found :LDAP/TESTAD02

* SPN found :LDAP/TESTAD02.test.com/TEST

* SPN found :LDAP/69d995cb-c552-4380-b6de-a166f6f02ee9._msdcs.test.com

* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/69d995cb-c552-4380-b6de-a166f6f02ee9/test.com

* SPN found :HOST/TESTAD02.test.com/test.com

* SPN found :HOST/TESTAD02.test.com

* SPN found :HOST/TESTAD02

* SPN found :HOST/TESTAD02.test.com/TEST

* SPN found :GC/TESTAD02.test.com/test.com

......................... TESTAD02 已經過測試 MachineAccount

開始測試: NCSecDesc

* Security Permissions check for all NC's on DC TESTAD02.

* 安全權限檢查

DC=ForestDnsZones,DC=test,DC=com

(NDNC,Version 3)

* 安全權限檢查

DC=DomainDnsZones,DC=test,DC=com

(NDNC,Version 3)

* 安全權限檢查

CN=Schema,CN=Configuration,DC=test,DC=com

(Schema,Version 3)

* 安全權限檢查

CN=Configuration,DC=test,DC=com

(Configuration,Version 3)

* 安全權限檢查

DC=test,DC=com

(Domain,Version 3)

......................... TESTAD02 已經過測試 NCSecDesc

開始測試: NetLogons

* Network Logons Privileges Check

沒法鏈接到 NETLOGON 共享! (\\TESTAD02\netlogon)

[TESTAD02] net use 或 LsaPolicy 操做失敗，錯誤爲 67，找不到網絡名。。

......................... TESTAD02 沒有經過測試 NetLogons

開始測試: ObjectsReplicated

TESTAD02 is in domain DC=test,DC=com

Checking for CN=TESTAD02,OU=Domain Controllers,DC=test,DC=com in domain DC=test,DC=com on 1 servers

Object is up-to-date on all servers.

Checking for CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com in domain CN=Configuration,DC=test,DC=com on 1 servers

Object is up-to-date on all servers.

......................... TESTAD02 已經過測試 ObjectsReplicated

用戶請求忽略的測試: OutboundSecureChannels

開始測試: Replications

* Replications Check

* Replication Latency Check

DC=ForestDnsZones,DC=test,DC=com

Latency information for 1 entries in the vector were ignored.

1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).

DC=DomainDnsZones,DC=test,DC=com

Latency information for 1 entries in the vector were ignored.

1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).

CN=Schema,CN=Configuration,DC=test,DC=com

Latency information for 1 entries in the vector were ignored.

1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).

CN=Configuration,DC=test,DC=com

Latency information for 1 entries in the vector were ignored.

1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).

DC=test,DC=com

Latency information for 1 entries in the vector were ignored.

1 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).

......................... TESTAD02 已經過測試 Replications

開始測試: RidManager

* Available RID Pool for the Domain is 2600 to 1073741823

* TESTAD02.test.com is the RID Master

* DsBind with RID Master was successful

* rIDAllocationPool is 1600 to 2099

* rIDPreviousAllocationPool is 1600 to 2099

* rIDNextRID: 1600

......................... TESTAD02 已經過測試 RidManager

開始測試: Services

* Checking Service: EventSystem

* Checking Service: RpcSs

* Checking Service: NTDS

* Checking Service: DnsCache

* Checking Service: DFSR

* Checking Service: IsmServ

* Checking Service: kdc

* Checking Service: SamSs

* Checking Service: LanmanServer

* Checking Service: LanmanWorkstation

* Checking Service: w32time

* Checking Service: NETLOGON

[TESTAD02] 上的 NETLOGON 服務已中止

......................... TESTAD02 沒有經過測試 Services

開始測試: SystemLog

* The System Event log test

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 08:53:57

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 08:59:12

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:04:27

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:09:42

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:14:57

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:20:12

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:25:27

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:30:42

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:35:57

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:41:12

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

發生了一個錯誤事件。EventID: 0x0000041E

生成時間: 03/30/2021 09:46:27

事件字符串:

處理組策略失敗。Windows 沒法獲取域控制器名稱。這多是由名稱解析失敗引發。請驗證域名系統(DNS)是否正確配置並運行正常。

......................... TESTAD02 沒有經過測試 SystemLog

用戶請求忽略的測試: Topology

用戶請求忽略的測試: VerifyEnterpriseReferences

開始測試: VerifyReferences

系統對象參考(serverReference)

CN=TESTAD02,OU=Domain Controllers,DC=test,DC=com 和

CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

上的反向連接正確。

系統對象參考(serverReferenceBL)

CN=TESTAD02,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=test,DC=com

和

CN=NTDS Settings,CN=TESTAD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

上的反向連接正確。

系統對象參考(msDFSR-ComputerReferenceBL)

CN=TESTAD02,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=test,DC=com

和 CN=TESTAD02,OU=Domain Controllers,DC=test,DC=com 上的反向連接正確。

......................... TESTAD02 已經過測試 VerifyReferences

用戶請求忽略的測試: VerifyReplicas

用戶請求忽略的測試: DNS

正在 ForestDnsZones

上運行分區測試

開始測試: CheckSDRefDom

......................... ForestDnsZones 已經過測試 CheckSDRefDom

開始測試: Cro***efValidation

......................... ForestDnsZones 已經過測試 Cro***efValidation

正在 DomainDnsZones

上運行分區測試

開始測試: CheckSDRefDom

......................... DomainDnsZones 已經過測試 CheckSDRefDom

開始測試: Cro***efValidation

......................... DomainDnsZones 已經過測試 Cro***efValidation

正在 Schema

上運行分區測試

開始測試: CheckSDRefDom

......................... Schema 已經過測試 CheckSDRefDom

開始測試: Cro***efValidation

......................... Schema 已經過測試 Cro***efValidation

正在 Configuration

上運行分區測試

開始測試: CheckSDRefDom

......................... Configuration 已經過測試 CheckSDRefDom

開始測試: Cro***efValidation

......................... Configuration 已經過測試 Cro***efValidation

正在 test

上運行分區測試

開始測試: CheckSDRefDom

......................... test 已經過測試 CheckSDRefDom

開始測試: Cro***efValidation

......................... test 已經過測試 Cro***efValidation

正在 test.com

上運行企業測試

用戶請求忽略的測試: DNS

開始測試: LocatorCheck

GC 名稱: \\TESTAD01.test.com

Locator Flags: 0xe00031bc

警告: DcGetDcName(PDC_REQUIRED) 調用失敗，錯誤爲 1355

沒法找到主域控制器。

擁有 PDC 角色的服務器已關閉。

警告: DcGetDcName(TIME_SERVER) 調用失敗，錯誤爲 1355

沒法找到時間服務器。

擁有 PDC 角色的服務器已關閉。

警告: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) 調用失敗，錯誤爲 1355

沒法找到一個正常的時間服務器。

KDC Name: \\TESTAD01.test.com

Locator Flags: 0xe00031bc

......................... test.com 沒有經過測試 LocatorCheck

開始測試: Intersite

正在跳過站點 Default-First-Site-Name，該站點位於給定命令行參數提供的範圍以外。

......................... test.com 已經過測試 Intersite

-------------------------------------------------------------------------------------------------------------------------------------------------------------

4，根據報告找到問題源（Services服務檢測，netlogon服務未啓動，你的問題要見報告內容，問題不盡相同，解決問題的方式大體同樣）

Services

* Checking Service: EventSystem

* Checking Service: RpcSs

* Checking Service: NTDS

* Checking Service: DnsCache

* Checking Service: DFSR

* Checking Service: IsmServ

* Checking Service: kdc

* Checking Service: SamSs

* Checking Service: LanmanServer

* Checking Service: LanmanWorkstation