解决灾难恢复后域共享目录SYSVOL与NELOGON共享丢失

今天打开服务器，发现无法打开活动目录用户和计算机，很是郁闷。思考这两天没有对域控制器做什么动作啊,昨晚刚做了活动目录灾难恢复的实试。难道是SYSVOL与NELOGON共享丢失了？

看看日志里全是userenv 1045的报错。

怀着这个疑问，我查看了一个系统共享！果然是丢失了。

再看看SYSVOL资料夹，确实没有共享了，不过还好，文件都还在！

现在我们对注册表进行修改，将BurFlags的值改为D4的十六进制值。

做这个设定后，我们开始重启netlogon及ntfrs服务。

再看看，现在sysvol已经成功的共享了。。。

不过，郁闷的是netlogon未成功共享。所以我们还有步骤要走!经查看，发现SYSVOL里有相关策略与脚本都丢失了。为了避免其他问题，我决定将NETLOGON进行重建。(与策略与脚本相关的文件夹都没有,所以我们对目录缺少的目录进行重建）

在C:\\WINDOWS\\SYSVOL\\domain目录下新建两个文件夹：Policies和Scripts

这两个文件夹名可千万不要错啊，笔者两台域控都出了问题，有一台因为一个文件夹名少了一个字母，笔者折腾了半天仍是不行。最后发现是文件名的问题，郁闷吧！细心就不会哟。

现在我们需要重启NTFRS服务对目前的目录进行自动完善。

把SYSVOL\\SYSVOL\\microsoft.com 与\\sysvol\\domain做一个链接

把sysvol\\staging areas\\microsoft.com 与sysvol\\staging\\domain做一个链接

在执行下列命令linkd时请确保你的系统有安装windows Resource Kits工具哟，不然将无法识别哟

Linkd %systemroot%\\SYSVOL\\SYSVOL\\XXX.com %systemroot%\\SYSVOL\\DOMAIN

Linkd \"%systemroot%\\SYSVOL\\staging areas\\XXX.com\" %systemroot%\\SYSVOL\\staging\\domain

改变BurFlags的值重新改变为D4

重启服务，完成目录重建工作

OK，两个目录已经成功的共享了。YES

通过此次故障排错，对于SYSVOL重建，个人觉得只要理解了其中的原理，认真分析还是很容易找到问题的关键的。我想在做重建中，最重要的莫过于两个目录之间的链接，这样一来便有了后来的NETLOGON资料夹。

当然解决了之前的问题之后，我们的日志里又出现了1030的报错。

对于这种问题，我个人觉得最简单的方法就是：

1.如果你之前有备份组策略的话，那现在你可以还原一下了。

2.如果你没有备份，只有重置原来的策略了。(我没有备份，所以我使用方法2） 使用dcgpofix /target:BOTH，将域及域控策略进行恢复。

结果居然是失败的，工具跟活动目录的版本不相符，算了使用/ignoreschema来还原吧

还原成功了！

整个步骤与思路：

1.如果SYSVOL缺少相关的目录，那我们就开始手动建立吧 2.特殊的文件，我们需要特别的工具来执行。

3.通过修改相关的注册表键值+重启ntfrs服务来实现自动完善文件。

4.修复SYSVOL与NETLOGON后，最容易出现组策略问题，所以做组策略备份是有必要的，实在不行你可以重置默认组策略。 如果你希望了解的更加详细，我推荐你阅读MVP钉子的这篇文章http://www.5dmail.net/html/2008-4-14/2008414183126.htm

细步骤来源于网络,本文为自行精炼,无图文之文字版 如果该文件夹还存在,那么

1.打开注册表编辑器，找到如下键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NtFrs\\Parameters\\Backup/Restore\\Process at Startup

然后在右边找到BurFlags，将其值改为D4（16进制）后退出 2.分别运行如下命令重启相关服务 Net stop netlogon net start netlogon

Net stop ntfrs net start ntfrs

然后输入net share看看共享开启没?

如果ok,那么问题解决,如果不ok那么继续下一步 删除sysvol文件夹,我们进行重建操作, 1.重建文件夹

a. 在windows目录下新建一个文件夹叫SYSVOL

b. 在c:\\windows\\sysvol目录下再新建一个文件夹：domain、staging、staging areas、sysvol

c. 在C:\\WINDOWS\\SYSVOL\\domain目录下新建两个文件夹：Policies和Scripts d. 在C:\\WINDOWS\\SYSVOL\\staging目录下新建一个文件夹：domain

e. 在C:\\WINDOWS\\SYSVOL\\staging areas目录下新建一个和域名相同的文件夹，例如我的是a.com，那么就在该目录新建a.com文件夹

f. 和步骤e一样，在C:\\WINDOWS\\SYSVOL\\sysvol目录也新建一个和域名相同的文件夹，如C:\\WINDOWS\\SYSVOL\\sysvol\\a.com,至此文件夹的结构被我们重建得差不多了。 2.在域控制器上安装Windows 2003 Resource kit工具 3.运行如下命令重启NTFRS服务： Net stop ntfrs和net start ntfrs

4.重启服务后，NTFRS服务会自动帮我们完善前面的SYSVOL目录结构，例如添加相应目录的隐藏属性、增加DO_NOT_REMOVE_NtFrs_PreInstall_Directory隐藏文件夹等等。然后运行命令ntfrsutl ds |findstr /i \"root stage\" 会得到结果:

root :c:\\windows\\sysvol\\domain

root :c:\\windows\\sysvol\\staging\\domain

然后我们然后利用Linkd程序来挂接相应的目录，创建如下两个交接点: （注：交接点外表像文件夹而且运转也像文件夹（在 Windows Explorer 中无法将它们与普通文件夹区分开来），但它们不是文件夹。交接点包含了与另一文件夹的链接。程序打开它时，交接点会自动将程序重新定向至交接点所链接的文件夹。而重新定向对于用户和应用程序是完全透明的。SYSVOL系统卷就是采用的这种文件夹结构）

a. C:\\WINDOWS\\SYSVOL\\SYSVOL\\域名 ----? (挂接到) C:\\WINDOWS\\SYSVOL\\DOMAIN

b. C:\\WINDOWS\\SYSVOL\\staging areas\\域名 ---?(挂接到) C:\\WINDOWS\\SYSVOL\\staging\\domain 具体命令为：

a. 在“开始“?”运行”中输入”cmd”，然后在打开的”命令提示窗口”输入：

Linkd %systemroot%\\SYSVOL\\SYSVOL\\a.com %systemroot%\\SYSVOL\\DOMAIN

Linkd \"%systemroot%\\SYSVOL\\staging areas\\a.com\" %systemroot%\\SYSVOL\\staging\\domain

挂接完成最好验证下是否挂接OK 5.打开注册表编辑器，找到如下键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NtFrs\\Parameters\\Cumulative Replica Sets\\{GUID},其中GUID是类似f791c404-f37f-4634-99d59d9397871e这样的字符串值。

然后找到右边的BurFlags，同样将其修改为D4，完成后退出注册表编辑器 在这里修改的注册表会在下面重启ntfrs服务后被重置 6.使用命令Net stop ntfrs 和net start ntfrs重启服务 7.完成后使用netshare命令查看是否完成开启共享

8.重建后所有域策略被清零,可以从其他域控制器拷贝一份过来,或者使用dcgpofix重置域策略.

a. 最简单也是最值得推荐的方法就是直接从别的域控制器上将以上的策略文件拷贝到该域控制的C:\\WINDOWS\\SYSVOL\\sysvol\\a.com\\Policies目录下。如图19。不要告诉我你没有其他域控制器，重新安装一台虚拟机总是可以的吧。

（注：{31B2F340-016D-11D2-945F-00C04FB984F9}是“域安全策略”的文件策略； {6AC1786C-016F-11D2-945F-00C04fB984F9}是“域控制器安全策略”的策略文件）

b. 如果您以前曾通过GPMC备份过GPO，那么直接还原过去即可。这种方法是最没有副作用的。不止能还原系统默认的GPO，还能还原自定义的GPO设置。

c. 如果没有做过GPO的备份，又懒得从其他域控制器拷贝，那么还有一个办法是使用工具直接重建这两条策略，方法是安装Resource Kit后运行命令dcgpofix /target:both。这个命令会重新建立这两条策略到域控制器刚安装好时的默认状态，既然是重建那么你曾在这两条策略上做的设置都会清空，这点请注意。

（注：运行dcgpofix时如果提示“此域的 Active Directory 架构版本和此工具所支持的版本不匹配。，那么请将命令修改为dcgpofix /ignoreschema /target:both忽略架构版本。之”所以有这样的提示是因为我的系统现在是2003 SP2，而Resource Kit工具包是配合2003的，没有找到专门匹配2003SP2的资源包，其实不必理会，直接忽略警告信息就OK。）