重要信息:本文仅适用于使用分布式文件系统复制 (DFSR) 复制 SYSVOL 数据的情况。这是自 Windows Server 2008 以来复制 SYSVOL 数据的首选方法。但是,如果域已存在很长时间,则较旧的方法(文件复制服务 (FRS))可能仍在使用。要确定 DFSR 是否正在使用中,请运行
dfsrmig /getmigrationstate
从域控制器 (DC) 上提升的命令提示符。如果迁移状态为“已消除”,则 DFSR 正在使用中。
所有 Active Directory DC 上都存在的 SYSVOL 文件夹层次结构用于存储两组重要数据:
- 组策略模板文件:它们存储在 \\SYSVOL\<domain>\Policies 下的单独文件夹中。
- 域中计算机使用的登录、注销、启动和关闭脚本:它们存储在 \\SYSVOL\<domain>\scripts 中。脚本文件夹本身作为 NETLOGON 共享。
此数据在 DC 之间复制,但 SYSVOL 复制与 Active Directory 复制分开进行。一个可能会失败,而另一个可以完全正常工作。在某些情况下,如果不进行手动干预,SYSVOL 复制可能会失败且无法恢复。以下步骤执行 SYSVOL 的
授权同步。在授权同步中,DFSR 使用 DC 自己的 SYSVOL 数据副本初始化 SYSVOL。这将成为域的 SYSVOL 源拷贝。如果具有 SYSVOL 数据最新拷贝的 DC 是 DFSR 已停止工作的 DC,则必须进行授权同步。如果域中只有一个 DC,则这是隐式正确的。
有关如何使用 DFSR 执行 SYSVOL 数据的非授权同步的说明,请参阅
如何使用分布式文件系统复制 (DFSR) 执行 SYSVOL 数据的非授权同步。
注意:本文未指定应选择哪个 DC 作为权威机构。这样做可能需要一些时间,尤其是在大型域中。它涉及检查每个 DC 上的 SYSVOL 数据并确定哪一个具有最完整和最新的数据。在选择权威 DC
后 ,将开始以下流程。
要使用 DFSR 执行 SYSVOL 数据的权威同步,请执行以下步骤:
- 在权威 DC 上,启动 ADSI 编辑控制台 (
adsiedit.msc
)。
- 如果左侧窗格中已经列出了 默认命名上下文 ,请转至下一步。否则,请执行以下步骤以连接到默认命名上下文:
- 右键单击左窗格中的 ADSI 编辑 标头,然后选择 连接到...
- 选择标有 Select a well known Naming Context(选择已知命名上下文) 的单选按钮,然后从下拉列表中选择 Default naming context(默认命名上下文 )。
- 单击确定。默认命名上下文 现在应显示在控制台的左窗格中。
- 在默认命名上下文下,浏览到 DC=domain > OU=Domain ControllersCN > =servernameCN > =DFSR-LocalSettings > CN=Domain System Volume。在此步骤中, servername 表示已选择为权威的 DC 的名称。
- 右键单击 CN=SYSVOL Subscription ,然后选择 Properties。
- 双击 msDFSR-Enabled 属性并将其值设置为 FALSE。
- 双击 msDFSR-Options 属性并将其值设置为 1。
- 单击 确定 关闭属性窗口。
- 重复步骤 3-5, 但不要重复步骤 6,将 servername 替换为域中每个其他 DC 的名称。换言之,浏览到其他每个 DC 的 CN=SYSVOL Subscription 对象,并将其 msDFSR-Enabled 属性设置为 FALSE。请勿更改 msDFSR-Options 属性的值。
- 强制在整个域中复制 Active Directory。这可能需要一些时间,具体取决于域的大小和复制拓扑。
- 在域中的每个 DC 上,运行
dfsrdiag pollad
从提升的命令提示符。
- 在权威 DC 上,启动事件查看器并确认 DFS 复制事件日志包含事件 4114。此事件表示不再复制 SYSVOL。(此事件将出现在所有 DC 上,但不需要检查所有 DC。)
- 在 ADSI Edit 中,浏览到步骤 3 中的位置,并将 msDFSR-Enabled 属性设置为 TRUE。
- 在权威域控制器上,运行
dfsrdiag pollad
从提升的命令提示符。
- 检查权威 DC 上的 DFS 复制事件日志中是否存在事件 4602。此事件确认此域控制器上已发生 SYSVOL 的权威同步。
- 重复步骤 8,但这次将每个 DC 的 msDFSR-Enabled 属性设置为 TRUE 。与以前一样,不要更改 msDFSR-Options 属性的值。
- 强制在整个域中复制 Active Directory。
- 在除权威 DC 以外的每个 DC 上,运行
dfsrdiag pollad
最后一次。
- 在至少一个非授权 DC 上,确认事件 4614 和 4604 出现在 DFS 复制事件日志中。这些事件表示这些 DC 已执行 SYSVOL 的非授权同步。
上述步骤可确保在授权 DC 上执行授权同步后,在所有其他域控制器上执行 SYSVOL 的非授权同步。这可避免 SYSVOL 数据中可能出现的冲突。
请参阅此视频:
您也可以在
YouTube 上观看此视频。