尊敬的客户,您好!
问题1:我们应该如何查找问题源,因为所有复制都是交叉进行的,是否有日志可以找到Policies 目录文件被删的日志。
如果您对此文件夹设置了审核策略,我们可以在事件查看器中的安全日志中来检查一下目录文件夹如何丢失的。如果没有设置过这样的审核策略就无法查看到。以下参考文档说明了如何给文件或者文件夹设置审核策略,我们可以尝试给一个测试文件设置一下审核策略,如果没问题,再给SYSVOL文件夹设置审核策略,以便后期有需要的话查看日志。
问题2:有对部份域控进行备份,我应如何快速恢复SYSVOL\Domain\Policies 下的文件,到所有的域控制器上,使其影响减小。
根据您的描述,请问我们环境中域控制器的AD复制正常吗?如果正常的话,请问您说的文件复制方式是FSR, 请问是FRS的复制方式吗?
如果是的话,建议我们按照以下的方式恢复SYSVOL文件夹试试:
1. 找一台SYSVOL文件夹完好的域控制器。
2. 先备份SYSVOL文件夹。
3. 在有问题的域控制器上执行非授权恢复(此域控制器的复制伙伴的SYSVOL是正常的),停止FRS服务,通过将以下注册表项的值设置为DWORD值D2来配置BurFlags注册表项。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags
Name:BurFlags
Type:DWORD
Value:D2
5. 重启此域控制器上的FRS服务。
6. 按照以上的步骤和要求在所有有问题的域控制器上执行相同的操作。
7. 如果在所有有问题的域控制器上都执行了操作以后,问题还存在的话,在好的域控制器上执行授权恢复,停止FRS服务。通过将以下注册表项的值设置为DWORD值D4来配置BurFlags注册表项。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlagsName:BurFlags
Type:DWORD
Value:D4在执行操作的域控制器上重启FRS服务。8. 查看授权还原后的域控制器上的SYSVOL文件夹是否已经恢复。
参考文档:
Apply a basic audit policy on a file or folder
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder
Using the BurFlags registry key to reinitialize File Replication Service
https://support.microsoft.com/zh-cn/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi
Backing Up and Restoring an FRS-Replicated SYSVOL Folder
https://docs.microsoft.com/en-us/windows/desktop/VSS/backing-up-and-restoring-an-frs-replicated-sysvol-folder
Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.