Sysvol- und Netlogon-Freigabe Bedeutung in Active Directory
> Was ist sysvol und der darin enthaltene Inhalt.
Sysvol ist eine wichtige Komponente von Active Directory. Der Sysvol-Ordner wird auf einem NTFS-Volume auf allen Domänencontrollern in einer bestimmten Domäne freigegeben. Sysvol wird verwendet, um die Richtlinien- und Anmeldeskripts an Domänenmitglieder auszuliefern.
Standardmäßig enthält sysvol 2 Ordner
1.Richtlinien – (Standardspeicherort – %SystemRoot%\Sysvol\Sysvol\domain_name\Policies)
2.Scripts – (Default lcation – %SystemRoot%\Sysvol\Sysvol\domain_name\Scripts)
Hinweis – Wir können diese Standardspeicherorte ändern.
> Imprtance von Sysvol Aktie.
Sysvol enthält 2 Ordner, nämlich Richtlinien und Skripte.
Policies – Im Ordner Policies sind alle Gruppenrichtlinien vorhanden, die in einer bestimmten Domäne definiert sind. Siehe Screenshot
Beachten Sie, dass im obigen Screenshot 3 GPTs verfügbar sind. Wenn Sie eine neue Gruppenrichtlinie in Ihrem Active Directory erstellen, wird unter dem Richtlinienordner eine Reihe von Ordnern erstellt.
Zum Beispiel – Ich erstelle eine Richtlinie mit dem Namen Bildschirmschoner deaktivieren in meiner Domäne und verknüpfe diese Richtlinie mit meiner Organisationseinheit. Wenn ich in der Gruppenrichtlinienverwaltung auf die Schaltfläche Neue Richtlinie erstellen klicke, wird ein GUID-Namensordner unter dem Richtlinienordner erstellt, der dem Deaktivieren des Bildschirmschoner-Gruppenrichtlinienobjekts zugeordnet wird.
Um dies zu vereinfachen, enthält der obige Screenshot 3 GPTs, die bedeuten, dass 3 Gruppenrichtlinien im Test vorhanden sind.in: tld domain.
Wenn Sie also Änderungen an bestimmten Gruppenrichtlinienobjekten vornehmen, werden diese Änderungen in den zugeordneten GUID-Namensordner unter Sysvol übernommen.
Fazit
Die Bedeutung des Sysvol-Ordners ist , dass er die GPT enthält , und wenn ein Administrator Änderungen an einer der Richtlinien vornimmt, werden diese Änderungen in den zugeordneten GUID-Namensordner übernommen und dann auf alle Domänencontroller repliziert.
> Sysvol-Replikationsmethoden.
Sysvol kann mit Distributed File System Replication (DFS-R) auf alle Domänencontroller repliziert werden, wenn die Domänenfunktionsebene Dieser Link ist extern zu TechNet Wiki. Es wird in einem neuen Fenster geöffnet. ist Windows Server 2008 oder höher, oder es wird mit dem File Replication System (FRS) repliziert.
Für FRS ist der SYSVOL-Zeitplan ein Attribut, das jedem NTFRS-Replikatsatzobjekt und jedem NTDS-Verbindungsobjekt zugeordnet ist. FRS repliziert SYSVOL mit denselben standortinternen Verbindungsobjekten und demselben Zeitplan, die vom KCC für die Active Directory-Replikation erstellt wurden. FRS verwendet zwei Replikationsprotokolle für SYSVOL:
SYSVOL-Verbindung innerhalb einer Site. Die Verbindung wird immer als aktiv betrachtet; Jeder Zeitplan wird ignoriert und geänderte Dateien werden sofort repliziert.
SYSVOL-Verbindung zwischen Standorten. Die SYSVOL-Replikation wird zwischen zwei standortübergreifenden Mitgliedern zu Beginn des 15-Minuten-Intervalls initiiert, vorausgesetzt, der Zeitplan ist geöffnet. Die Verbindung wird als Triggerplan behandelt. Der Upstream-Partner ignoriert seinen Zeitplan und reagiert auf jede Anforderung des Downstream-Partners. Wenn der Zeitplan geschlossen wird, hebt der Upstream-Partner die Verbindung erst auf, nachdem der aktuelle Inhalt des ausgehenden Protokolls zum Zeitpunkt des Beitritts gesendet und bestätigt wurde.
> Häufige sysvol-Fehler und -Probleme.
EIN . Sysvol- und Netlogon-Freigaben fehlen.
Nehmen Sie einen senario , wenn Sie einen neuen Domänencontroller zu Ihrer Domäne hinzufügen und Sie sehen, gibt es keine sysvol und netlogon Ordner auf dem Domänencontroller
Hinweis – Netlogon Share ist kein Ordner mit dem Namen Netlogon auf Domänencontroller . In der Tat ist es ein Ordner, in dem alle Anmeldeskripte gespeichert sind. Wie oben erwähnt, fungiert der Skriptordner unter dem sysvol-Ordner als Netlogon-Freigabe (Speicherort -%SystemRoot%\sysvol\sysvol\<Domain DNS name>\scripts)
Dies tritt hauptsächlich auf, wenn die Sysvol-Replikation borken. In einigen Fällen kann die Sysvol-Replikation nach dem Hinzufügen eines neuen Domänencontrollers einige Zeit in Anspruch nehmen.( Ungefähr müssen Sie einige Stunden warten).
B.Journal Wrap Error
FRS ist ein Multi-Master-Replikationssystem, das sich um die Replikation des Inhalts von Sysvol zwischen allen DCS in der Domäne kümmert (es kann auch normale Daten replizieren, aber wir interessieren uns hauptsächlich für die Sysvol-Replikation im Blogeintrag).
Bei richtiger Pflege und Wartung ist Post-SP2 FRS auf W2k3 ziemlich stabil und summt glücklich mit, solange es keinen externen Zustand wie einen Netzwerkausfall oder Festplattenprobleme gibt, die dazu führen, dass es zusammenbricht (vorausgesetzt, die Daten, die Sie replizieren, sind nicht völlig ungeeignet für die Replikation) .B. PST-Dateien, Profildaten oder Inhalte, die sich häufig ändern).
Das häufigste FRS-Problem ist, wo ein Journalumbruch auftritt; Schauen wir uns genauer an, was während eines Journalumbruchs unter der Haube passiert.
FRS funktioniert so, dass es über eine interne Datenbank verfügt, die alle zu replizierenden Dateien und Ordner enthält, und jede davon hat eine eindeutige globale ID (GUID). Die Database enthält auch einen Zeiger auf die letzte NTFS-Festplattenoperation (im USN-Journal / NTFS-Journal), die der FRS-Dienst verarbeitet hat.
Wenn ein Benutzer eine Datei oder einen Ordner auf einer Festplatte ändert, geschieht Folgendes:
1) Der Vorgang wird von NTFS übernommen und im NTFS-Journal eingetragen.
2) FRS überwacht das NTFS-Journal auf Änderungen und stellt fest, dass eine Änderung an dieser Datei vorgenommen wurde.
3) FRS zeichnet das letzte verarbeitete NTFS-Journalereignis auf und prüft, ob es bereits verarbeitet wurde.
4) Wenn es noch nicht verarbeitet wurde, wird geprüft, ob es sich um eine Datei handelt, die repliziert werden soll.
5) Wenn es repliziert werden soll, geht die Datei in den normalen Prozess des Staging, Replizierens usw. über.
6) FRS erhöht den Eintrag in seiner Datenbank über das verarbeitete NTFS-Journalereignis, sodass es nicht erneut berücksichtigt wird.
Nun … lassen Sie uns die Dinge ein wenig vereinfachen.
– Unsere Festplatte enthält eine Datei und einen Ordner (e:\Test und testen.txt).
– Unser NTFS-Journal hat eine Größe von 10 Einträgen (die Standardgröße des NTFS-Journals in RL beträgt ~ 512 MB, abhängig von Ihrem Betriebssystem / SP-Level).
– Unsere FRS-Datenbank enthält drei Einträge
->eine GUID für E:\test
->eine GUID für E:\test\test.txt
->Ein Verweis auf den letzten NTFS-Journaleintrag, den wir verarbeitet haben (sagen wir #4)
Normalbetrieb:
-> Jemand nimmt eine Änderung am Test vor.txt.
-> Das NTFS-Journal wird auf #5 aktualisiert.
-> FRS stellt fest, dass das NTFS-Journal angibt, dass eine Änderung an test vorgenommen wurde.txt und es sieht, dass es diese Änderung nicht verarbeitet hat.
->Bühne / Replizieren und aktualisieren Sie die FRS-Datenbank zu reflektieren, dass wir, dass NTFS Journaleintrag verarbeitet haben.
Jetzt stoppt ein Administrator den FRS-Dienst für 30 Minuten.
– Jemand macht 10 Änderungen zu testen.txt
o Das NTFS-Journal wurde 20 Mal aktualisiert und befindet sich jetzt auf # 24 (denken Sie daran, dass wir eine Protokollgrößenbeschränkung für die letzten 10 Einträge haben, daher müssen wir sie umbrechen).
o FRS wird gestoppt, sodass das NTFS-Journalprotokoll nicht überwacht wird.
An dieser Stelle haben wir Änderungen auf der Festplatte, die FRS nicht kennt. FRS kennt immer noch den letzten NTFS-Journaleintrag, den es verarbeitet hat, und vergleicht diesen beim nächsten Neustart mit dem aktuellen NTFS-Journal.
Wenn der FRS-Dienst das nächste Mal startet, sieht er, dass er NTFS-Vorgänge auf der Festplatte verpasst hat (er hat zuletzt NTFS-Vorgang # 4 verarbeitet, aber das NTFS-Journal befindet sich jetzt auf # 24 und wir haben nur ein Protokoll, das 10 Einträge zurückreicht, sodass wir die Vorgänge # 5- # 14 aus der Datenbank vermissen.
In diesem Fall beschwert sich FRS, dass es einen Journalumbruchzustand erreicht hat, das NTFS-Journalprotokoll umbrochen wurde und den aktuellen Stand der Dinge auf der Festplatte nicht kennt.
Die Auswirkung auf einen betroffenen DC besteht darin, dass FRS den Registrierungsschlüssel IsSysvolReady nicht so festlegt, dass er dem Netlogon-Dienst anzeigt, dass alles in Ordnung ist, Sysvol daher nicht freigegeben wird und der DC Benutzer nicht vollständig authentifizieren kann, bis die Journalumbruchbedingung behoben wurde.
Die manuelle Freigabe von Sysvol oder das Festlegen des Registrierungsschlüssels IsSysvolReady auf 1 sind keine gültigen Methoden zur Behebung dieses Problems und beheben nicht das eigentliche Problem.
Damit FRS sich von einem Journalumbruch erholen kann, müssen Sie im Grunde von vorne beginnen und die FRS-Datenbank zurücksetzen und das NTFS-Journal anhand der aktuellen Werte zählen.
Dies bedeutet entweder:
– Replizieren von Daten von einem vorhandenen eingehenden Partner (der d2- oder nicht autorisierende FRS-Wiederherstellungsansatz).
– Machen Sie Ihre eigenen Daten autoritativ und lassen Sie alle anderen von Ihnen replizieren (der d4- oder autoritative FRS-Wiederherstellungsansatz).
Der d2-Ansatz ist relativ einfach durchzuführen, die Anforderungen sind jedoch, dass Sie eine gute Netzwerkverbindung mit dem eingehenden Replikationspartner haben und die Zeit, die benötigt wird, von der zu replizierenden Datenmenge im Vergleich zur Kapazität der Verbindung abhängt
Auf der anderen Seite ist dies möglicherweise nicht immer ausreichend, und Sie können gezwungen sein, sich für die d4-Option zu entscheiden.
Oben sind die häufigsten Fehler, wenn Sie sysvol in Active Directory betrachten.
Schließlich, was sind die Schritte, die wir folgen können, wenn diese oben genannten Fehler encoutered sind.
> Fehlerbehebung bei Sysvol-Fehlermeldungen
A. Sysvol- und Netlogon-Freigaben fehlen.
Wie bereits erwähnt, liegt möglicherweise ein Problem mit der sysvol-Replikation zwischen Domänencontrollern vor.
Wie kann ich die Sysvol-Replikation in einem Active Directory erzwingen
Sie können den FRS-Dienst neu starten, um die FRS-Replikation zu erzwingen
Um den FRS-Dienst neu zu starten, starten Sie Dienste.wählen Sie die Option Ausführen im Startmenü
Und starten Sie den FRS-Dienst neu, und Sie erhalten die Ereignis-ID 13516 im FRS-Ereignisprotokoll.
Sysvol-Replikation über NTFRSUTL
Wenn Sie die Sysvol-Replikation zwischen zwei Domänencontrollern in einem Active Directory erzwingen möchten, verwenden Sie die folgende Prozedur
NTFRSUTL FORCEREPL Befehlszeilenoption zum Erzwingen der Replikation
Mit dem neuen Befehl ntfrsutl forcerepl können Sie die Replikation unabhängig vom vordefinierten Replikationsplan erzwingen. Dies ist nur für den Domänencontroller-Sysvol-Replikatsatz implementiert.
ntfrsutl forcerepl /r /p
Dieser Befehl zwingt FRS, einen Replikationszyklus zu starten. Sie müssen den Computer, setName und DnsName angeben.
Hinweis In diesem Befehl werden die folgenden Platzhalter verwendet:
= Verbindung mit dem NtFrs-Dienst auf diesem Computer herstellen.
= Der Name des Replikatsatzes.
= Der DNS-Name des eingehenden Partners, von dem die Replikation erzwungen werden soll.
Zum Beispiel:
ntfrsutl.exe forcerepl DestinationDC /r „Domänensystemvolume (SYSVOL-Freigabe)“ /p SourceDC.domain.com
Die Anführungszeichen in diesem Beispiel sind erforderlich, wenn Sie die Option /r verwenden. Wenn die Anführungszeichen nicht vorhanden sind, funktioniert der Befehl nicht.
Wenn oben nicht hilft, ist
Die beliebteste Methode, um dies zu beheben, unter MS KB.
SYMPTOME:
Nachdem Sie Active Directory-Domänendienste auf einem neuen vollständigen oder schreibgeschützten Windows Server 2008-Domänencontroller in einer vorhandenen Domäne installiert haben, ist die SYSVOL-Freigabe vorhanden. Die NETLOGON-Freigabe ist jedoch nicht auf dem neuen Domänencontroller vorhanden.
Hinweis Dieser Artikel gilt nicht, wenn NETLOGON- und SYSVOL-Freigaben fehlen.
URSACHE:
Dieses Problem tritt auf, wenn der Netlogon-Dienst das SysvolReady-Flag in der Registrierung sehr schnell liest. Anschließend versucht der Netlogon-Dienst, den Ordner \Windows\SYSVOL\domain\scripts freizugeben, bevor der NT File Replication Service (NTFRS) diesen Ordner erstellt.
PROBLEMUMGEHUNG:
Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung mithilfe des Registrierungseditors oder einer anderen Methode falsch ändern. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigenes Risiko.
Um dieses Problem zu umgehen, setzen Sie den Registrierungswert des SysvolReady-Flags in der Registrierung auf „0“ und dann zurück auf „1“. Gehen Sie dazu folgendermaßen vor:
->Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
->Suchen Sie den folgenden Unterschlüssel im Registrierungseditor:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
->Klicken Sie im Detailbereich mit der rechten Maustaste auf das Flag SysvolReady, und klicken Sie dann auf Ändern.
->Geben Sie im Feld Wert den Wert 0 ein, und klicken Sie dann auf OK.
->Klicken Sie im Detailbereich erneut mit der rechten Maustaste auf das Flag SysvolReady, und klicken Sie dann auf Ändern.
->Geben Sie im Feld Wert den Wert 1 ein, und klicken Sie dann auf OK.
Hinweis Dies führt dazu, dass Netlogon SYSVOL teilt und der Skriptordner vorhanden ist.
WEITERE INFORMATIONEN:
Das Problem, das im Abschnitt „Symptome“ beschrieben wird, tritt im folgenden Szenario auf:
NTFRS fügt zuerst Änderungen an der folgenden Position ein:
\Windows\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Dann benachrichtigt NTFRS Netlogon, SYSVOL freizugeben, indem der Registrierungseintrag SysvolReady Flag auf „1“ gesetzt wird.“
NTFRS verschiebt und benennt dann Dateien von dem in Schritt 1 genannten Speicherort in den folgenden Ordner um:
\Windows\SYSVOL\domain
Wenn der Netlogon-Dienst jedoch sehr schnell den SysvolReady-Flag-Eintrag in der Registrierung liest, versucht der Netlogon-Dienst, den Ordner \Windows\SYSVOL\domain\scripts freizugeben, bevor NTFRS diesen Ordner erstellt. Daher wird die NETLOGON-Freigabe nicht erstellt.
B. Journal Wrap Error
Wenn ein Journal Wrap-Fehler auftritt, können wir in der Registrierung auf einem Domänencontroller, auf dem Journal Wrap-Fehlerereignisse generiert werden, einen Blurflag-Wert auf D2 setzen. Auf diese Weise speichert der Domänencontroller die bereits vorhandenen Ordner und beginnt mit der Replikation neuer Inhalte von einem seiner FRS-Replikationspartner.
Oder
Wir können blurflag auf D4 setzen, was genau das Gegenteil von oben ist. Das heißt, wenn Sie D4 auf einem bestimmten Domänencontroller einstellen, werden seine Daten als autorisierend fungieren , Ergebnis, alle Domänencontroller in Ihrer Domäne werden von dem Domänencontroller repliziert, auf dem dieser Blurflag auf D4 gesetzt ist
Hinweis – Das Setzen von BlurFlag auf D4 ist die letzte Option , 90% Fälle werden durch Einrichten von Blurflag auf D2 gelöst.
AD-Artikel | Windows-FAQs |
---|