近期在公司测试域控(Windows Server 2008 R2)的容灾演练,通过BE把域控进行了整个操作系统的恢复,系统恢复后,发现除可以登录系统后,和域相关的操作基本上都报错。经过简单的排查发现SYSVOL和NELOGON共享不见了。大家都知道Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。我的域环境也有多台域控制器,分布到不同的站点,目前测试容灾只恢复其中两个站点中的两台服务器(每个站点恢复一台域控)。接下来是恢复SYSVOL和NELOGON的共享步骤 :

  1. 发现%systemroot%\SYSVOL 下的文件夹都在,只是domain目录下Policies和Scripts没有了,只有NtFrs_PreExisting__See_Eventlog文件夹,此文件中有原来的Policies和Scripts文件夹,顺便就在domain下创建了Policies和Scripts,把NtFrs_PreExisting__See_Eventlog文件夹进行了重命名,若不重命名以下的操作会导致此文件消失,意味着至少原来的组策略文件会丢失,如果没有其他的域控会恢复组策略会比较糟糕。

  2. 运行regedit(注册表),打开注册表编辑器,找到如下键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup  然后在右边找到BurFlags,将其值改为D4(16进制)

    常见的值BurFlags注册表项是

                D2,也称为非授权模式还原

                D4,也称为的授权模式还原

11.png

2.    运行如下命令重启netlogon和ntfrs服务

         Net stop netlogon & net start netlogon
           Net stop ntfrs & net start ntfrs

12.png

3.    查看共享,sysvol,netlogon 恢复

13.png

4.    把NtFrs_PreExisting__See_Eventlog文件夹中的Policies和Scripts下中的文件移动到domain目录下Policies和Scripts,打开组策略控制台一切恢复正常。

重建SYSVOL文件夹的操作:

1.    考虑到以后的运行稳定也可以重建SYSVOL文件夹,这次就把整个SYSVOL的文件夹全部删除,按照以下步骤进行创建文件夹结构

        在windows目录下新建文件夹SYSVOL

        SYSVOL下新建:domain、staging、staging areas、sysvol;

        domain下新建:Policies和Scripts;

        staging下新建:domain;

        文件结构如下:

                                                SYSVOL

                           ------------------------------------------- 

                                |              |                    |                 | 

                         domain、staging、staging areas、sysvol

                              |                |               

                         -------       domain    

                         |        |     

                Policies   Scripts

2.    在之前的Windows Server 2003作为域控是需安装Windows 2003 Resource kit工具运行linkd命令,在Windows Server 2008 R2服务器中可以直接运行mklink命令,来创建文件夹的链接

        a. %systemroot%\SYSVOL\SYSVOL\域名  ---->     %systemroot%\SYSVOL\DOMAIN 

        b.  %systemroot%\SYSVOL\staging areas\域名  ----> %systemroot%\SYSVOL\staging\domain

15.png

3.    修改注册表,找到如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\{GUID},{GUID}是一串字符,然后找到右边的BurFlags,同样将其修改为D4,完成后退出注册表编辑器

 16.png

4.    重启ntfrs服务  net stop ntfrs && net start ntfrs,重启后注册表修改的值会变成默认值,此时运行net share ,SYSVOL和NETLOGON 文件共享恢复

13.png

5.     到此时SYSVOL和NETLOGON 文件共享恢复完成,由于是重新生成的文件夹,还缺少组策略文件,所以打开组策略管理器时会报“系统找不到指定的文件”的错误,接下来我们修复组策略文件

18.png

        a) 记得NtFrs_PreExisting__See_Eventlog这个文件夹吗,在我的环境中,当域控的服务器首次恢复,未作任何操作前在进入系统domain目录下有这个文件,在NtFrs_PreExisting__See_Eventlog里面有Policies,这个里面存的就是组策略文件,可以使用这里面的文件移动到domain下的Policies中,或者从其他辅助域控中把Policies下的文件拷贝过来,或者恢复之前的备份的GPO,这样基本上可以恢复到容灾前的状态。

        b)没有NtFrs_PreExisting__See_Eventlog或者NtFrs_PreExisting__See_Eventlog下的Policies下的文件夹是空的,也没有其他的域控,也没有备份GPO, 那我们就只能恢复默认域策略和默认域控制器策略方法如下:

                1)找一台虚拟机直接升级为新域控,把此域控的Policies下的文件拷贝过来,此时我们发现新安装的域控Policies下有这两个文件

                        {31B2F340-016D-11D2-945F-00C04FB984F9}是默认域安全策略文件

                        {6AC1786C-016F-11D2-945F-00C04fB984F9}是默认域控制器安全策略文件

                2)若搭建新域控环境不允许,那就要使用工具dcgpofix重建这两条默认的策略

19.png

至此,SYSVOL和NELOGON共享丢失修复和重建完成,以上是根据我的域环境环境进行的操作,有不准确的地方,还请多多指教和交流。

----------------------------------------------------------------------------------------------------------------------------------------------------------

铸剑团队签名:
【总监】十二春秋之,3483099@qq.com;
【Master】戈稻不苍,han169@126.com;
【Java开发】雨鸶,343691194@qq.com;思齐骏惠,qiangzhang1227@163.com;小王子,545106057@qq.com;巡山小钻风,840260821@qq.com;
【VS开发】豆点,2268800211@qq.com;
【系统测试】土镜问道,847071279@qq.com;尘子与自由,695187655@qq.com;
【大数据】沙漠绿洲,caozhipan@126.com;张三省,570417591@qq.com;
【网络】夜孤星,11297761@qq.com;
【系统运营】三石头,261453882@qq.com;平凡怪咖,591169003@qq.com;
【容灾备份】秋天的雨,18568921@qq.com;
【安全】保密,你懂的。
原创作者:三石头
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。