Freigeben über

Problembehandlung bei fehlenden SYSVOL- und NETLOGON-Freigaben auf Windows-Domänencontrollern

In diesem Artikel werden die Schritte zur Problembehandlung beschrieben, die auf Windows 2000-Domänencontrollern verwendet werden, die keine Netlogon- und Sysvol-Freigaben enthalten.

Gilt für: Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer: 257338

Notiz

Dieser Artikel bezieht sich auf Windows 2000. Der Support für Windows 2000 endet am 13. Juli 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Migrationsstrategie von Windows 2000. Weitere Informationen finden Sie unter Microsoft Lifecycle-Richtlinie.

Zusammenfassung

Der Dateireplikationsdienst (File Replication Service, FRS) ist ein Multithread-Replikationsmodul, das den LMREPL-Dienst in Windows NT 3.x und 4.0 ersetzt. Windows 2000-Domänencontroller und -Server verwenden FRS zum Replizieren von Systemrichtlinien und Anmeldeskripts für Windows 2000- und Down-Level-Clients.

FRS kann auch Inhalte zwischen Windows 2000-Servern replizieren, die dieselben fehlertoleranten DFS-Stamm- oder untergeordneten Knotenreplikate hosten.

Weitere Informationen

Fehlende Netlogon- und Sysvol-Freigaben treten in der Regel auf Replikatdomänencontrollern in einer vorhandenen Domäne auf, können aber auch auf dem ersten Domänencontroller in einer neuen Domäne auftreten. Die folgenden Schritte werden an das Replikatdomänencontrollerszenario weitergeleitet, können jedoch auf den ersten Domänencontroller in der Domäne angewendet werden, indem die replikationsspezifischen Schritte ignoriert werden.

  1. NTDS-Verbindungsobjekte sind in der DS der einzelnen Replikationspartner vorhanden.

    NTDS-Verbindungen sind unidirektionale Verbindungen, die vom Verzeichnisdienst zum Replizieren von Active Directory verwendet werden, und der Dateireplikationsdienst (FILE Replication Service, FRS), um den Dateisystemteil der Systemrichtlinie im SYSVOL-Ordner zu replizieren. Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) ist für die Erstellung von NTDS-Verbindungsobjekten verantwortlich, um eine gut verbundene Topologie zwischen Domänencontrollern in der Domäne und Gesamtstruktur zu bilden. Anstelle von automatischen Verbindungen können Administratoren auch manuelle Verbindungsobjekte erstellen.

    Verwenden Sie das Snap-In "Sites and Services" (Dssite.msc), um die Verbindungsobjekte zu untersuchen, die zwischen dem Problemcomputer und vorhandenen Domänencontrollern vorhanden sind. Damit die Replikation zwischen Computer \\M1 und \\M2 erfolgen kann, sollte \\M1 über ein eingehendes Verbindungsobjekt von \\M2 und \\M2 ein eingehendes Verbindungsobjekt von \\M1 verfügen. Verwenden Sie den Begriff "Mit Domänencontroller verbinden..." Befehl in Dssite.msc zum Anzeigen und Vergleichen der einzelnen Domänencontrollerperspektiven der domäneninternen Verbindungsobjekte.

    Wenn für das neue Replikatelement keine Verbindungsobjekte vorhanden sind, verwenden Sie den Befehl "Replikationstopologie überprüfen" in Dssite.msc, um zu erzwingen, dass KCC die erforderlichen automatischen Verbindungsobjekte erstellt (drücken Sie F5, um die Ansicht danach zu aktualisieren).

    Wenn KCC keine automatischen Verbindungen erstellen kann, sollten Administratoren eingreifen, indem manuelle Verbindungsobjekte für Domänencontroller erstellt werden, die keine eingehenden oder ausgehenden Verbindungen mit oder von anderen Domänencontrollern in der Domäne haben. Häufig ermöglicht das Erstellen eines einzelnen manuellen Verbindungsobjekts KCC, die gewünschten automatischen Verbindungsobjekte zu erstellen. Doppelte manuelle und/oder automatische Verbindungen vom gleichen Domänencontroller in der Domäne sollten gelöscht werden, um eine Konfiguration zum Blockieren der Replikation zu vermeiden.

  2. Die Active Directory-Replikation findet zwischen den neuen und vorhandenen Domänencontrollern in der Domäne statt.

    Verwenden Sie Repadmin.exe, um zu bestätigen, dass die Active Directory-Replikation zwischen den Quell- und Zieldomänencontrollern in derselben Domäne im geplanten Replikationsintervall stattfindet. Standardreplikationsintervalle sind fünf Minuten zwischen Domänencontrollern am selben Standort und einmal alle drei Stunden zwischen Domänencontrollern an verschiedenen Standorten (mindestens 15 Minuten).

    REPADMIN /SHOWREPS %UPSTREAMCOMPUTER%
REPADMIN /SHOWREPS %DOWNSTREAMCOMPUTER%

    DIE FRS-Replikation ist vom Active Directory abhängig, um die erforderlichen Konfigurationsinformationen zwischen Domänencontrollern in der Domäne zu replizieren. Wenn die Replikation vermuten ist, untersuchen Sie Replikationsereignisse in Ereignisanzeige, nachdem Sie den Eintrag "Replikationsereignisse" auf HKEY_LOCAL_MACHINE\system\ccs\services\ntds\diagnostics\ 5 auf potenziellen Quellcomputern (\\M1) und dem Zielcomputer (\\M2) festgelegt haben, und erzwingen Sie dann die Replikation von \\M1 auf \\M2 und \\M1 unter Verwendung des Befehls "Jetzt replizieren" in Dssite.msc oder deren Entsprechung in REPLMON.

  3. Der Server, der für die Quelle des Active Directory- und SYSVOL-Ordners verwendet wird, sollte NETLOGON- und SYSVOL-Freigaben selbst erstellt haben.

    Nachdem das Dcpromo.exe Programm den Computer neu gestartet hat, versucht FRS zunächst, das SYSVOL vom Computer zu beziehen, der im Registrierungsschlüssel "Replikatsatz übergeordnetes Element" identifiziert wurde, unter:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters\SysVol\DomainName

    Notiz

    Dieser Schlüssel ist temporär und wird gelöscht, sobald SYSVOL quellt oder die Informationen unter SYSVOL erfolgreich repliziert wurden.

    Die 2195-Version von Ntfrs.exe verhindert die Replikation von diesem ursprünglichen Quellserver und verzögert die SYSVOL-Replikation, bis FRS die Replikation von einem eingehenden Replikationspartner in der Domäne über ein automatisches oder manuelles NTDS-Verbindungsobjekt versuchen kann.

    Alle potenziellen Quelldomänencontroller in der Domäne sollten selbst die NETLOGON- und SYSVOL-Freigaben freigegeben und die Standarddomänen- und Domänencontrollerrichtlinie angewendet haben.

    SYSVOL-Verzeichnisstruktur:

    • Domäne
      • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
      • Politik
        • {GUID}
          • ADM
          • COMPUTER
          • USER
        • {GUID}
          • ADM
          • COMPUTER
          • USER
        • {etc.,}
      • Skripts
    • staging
    • Stagingbereiche
      • MyDomainName.com
    • Skripts
    • sysvol(sysvol share)
      • MyDomainName.com
        • DO_NOT_REMOVE_NtFrs_PreInstall_Directory
        • Politik
          • {GUID}
            • ADM
            • COMPUTER
            • USER
          • {GUID}
            • ADM
            • COMPUTER
            • USER
          • {etc.,}
        • scripts(NETLOGON-Freigabe)

  4. Der Gruppe "Unternehmensdomänencontroller" sollte der "Zugriff auf diesen Computer aus dem Netzwerk" direkt in der Standardrichtlinie für Domänencontroller auf den Domänencontrollern in der Ou des Domänencontrollers gewährt werden.

    Die Replikation des Active Directory während der Verwendung des Dcpromo.exe Programms verwendet die Anmeldeinformationen, die im Active Directory-Installations-Assistenten angegeben sind. Nach dem Neustart erfolgt die Replikation im Kontext des Computerkontos des Domänencontrollers. Alle Quelldomänencontroller in der Domäne müssen erfolgreich repliziert und die Richtlinie anwenden, die die Gruppe "Unternehmensdomänencontroller" "Zugriff auf diesen Computer über das Netzwerk" gewährt. Suchen Sie nach einem Ereignis 1704s im Anwendungsprotokoll potenzieller Quelldomänencontroller. Führen Sie zur detaillierten Überprüfung eine Sicherheitskonfigurationsanalyse für die Vorlage "Basicdc.inf" aus (erfordert das Definieren von Umgebungsvariablen für SYSVOL, DSLOG und DSIT, und untersuchen Sie die resultierende Protokollausgabe.

    Der "Zugriff auf diesen Computer über das Netzwerk" fehlt häufig in Windows NT 4.0-Domänen, die auf Windows 2000 aktualisiert wurden. Dieses Problem bewirkt, dass die Active Directory- und FRS-Replikation mit Fehlermeldungen "Zugriff verweigert" nicht erfolgreich ist.

  5. Jeder Domänencontroller muss in der Lage sein, die vollqualifizierten Computernamen (%Computername%) aufzulösen (%computername%).<Domänenname>) von Computern, die an der Replikatmenge teilnehmen.

    Bei SYSVOL bedeutet dieser Schritt das Anpingen des FQ-Computernamens aller Domänencontroller in der Domäne. Vergewissern Sie sich, dass die vom Pingbefehl zurückgegebene Adresse mit der IP-Adresse übereinstimmt, die von IPCONFIG an der Konsole der einzelnen Replikatgruppenpartner zurückgegeben wird.

  6. Der FRS-Dienst muss eine NTFRS-Jet-Datenbank erstellt haben.

    Führen Sie die Ausführung DIR \\<computername>\admin$\ntfrs\jet für jeden Domänencontroller in der Domäne aus, um das Vorhandensein der NTfrs.jdb-Datei zu bestätigen. Das Datum und die Größe der Jet-Datenbank sind möglicherweise falsch, während der NTFRS-Dienst ausgeführt wird (entwurfsgemäß).

  7. Jeder Domänencontroller muss Mitglied der SYSVOL-Replikatmenge sein.

    Wird für alle Replikatgruppenmitglieder ausgeführt NTFRSUTL DS [COMPUTERNAME] . Vergewissern Sie sich, dass alle Domänencontroller in der Domäne unter dem Teil "SET: DOMAIN SYSTEMVOLUME (SYSVOL SHARE)" der NTFRSUTL-Ausgabe angezeigt werden. Der SYSVOL-Replikatsatz und seine Member können auch unter cn="domain system volume",cn=file replication service,cn=system,dc=<FQDN> in the User and Computers (Dsa.msc) snap-in angezeigt werden, wenn "Erweiterte Features" im Menü "Ansicht " aktiviert ist.

  8. Jeder Domänencontroller muss ein Abonnent der Replikatmenge sein.

    Wird für alle Replikatgruppenmitglieder ausgeführt NTFRSUTL DS [COMPUTERNAME] . Subscriber-Objekt wird in cn=domain system volume (SYSVOL share),cn=NTFRS Subscriptions,CN=%DCNAME%,OU=Domain Controllers,DC=<FQDN> angezeigt. Wenn Sie diesen Befehl ausführen, muss das Computerobjekt vorhanden sein und repliziert werden. NTFRSUTL meldet Folgendes, wenn das Abonnentenobjekt fehlt:

    SUBSCRIPTION: NTFRS SUBSCRIPTIONS DN: cn=ntfrs  
subscriptions,cn=W2KPDC,ou=domain controllers,dc=d... Guid:  
5c44b60b-8f01-48c6-8604c630a695dcdd  
Working: f:\winnt\ntfrs  
Actual Working: f:\winnt\ntfrs  
WIN2K-PDC IS NOT A MEMBER OF A REPLICA SET!

  9. Der Replikationszeitplan muss aktiviert sein.

  10. Das logische Laufwerk, auf dem die SYSVOL-Freigabe und der Stagingordner gehostet werden, verfügt über ausreichend Speicherplatz auf upstream- und downstream-Partnern. Beispielsweise 50 Prozent der Menge an Inhalten, die Sie replizieren möchten, und dreimal die größte Dateigröße, die repliziert wird.

  11. Überprüfen Sie den Zielordner und den Stagingordner (angezeigt in "NTFRSUTL DS") des neuen Replikats, um festzustellen, ob Dateien repliziert werden. Dateien im Stagingordner sollten sich im Prozess der Verschiebung an den endgültigen Speicherort befinden. Dass sich die Anzahl der Dateien im Staging- oder Zielordner ständig ändert, ist ein gutes Zeichen, da entweder Dateien repliziert oder in den Zielordner übertragen werden.

Notiz

Ntfrsutl.exe ist ein Hilfsprogramm, das im Windows 2000 Resource Kit enthalten ist.