我正在尝试为客户解决一个问题但我没有什么主意了。
我们正在升级所有硬件和服务器操作系统。该域现在有两个新的 Server 2019 DC。旧 DC 已退役。森林处于 2012 年功能级别,并已升级到 2016 年。此外,在添加新服务器之前,FRS 已升级到 DFRS。我不知道这些是否与问题有关。
登录到 DC 时,使用 UNC 路径(例如 \domain.local\netlogon)时我们无法写入 SYSVOL。它给出“拒绝访问”错误。通过转到 c:\Windows\SYSVOL\,我们能够写入该文件夹。这仅在登录到 DC 时发生。如果您降级同一个 DC,它就会起作用。
从两个 DC 中的其中一个,我可以使用 \192.xxx\netlogon 写入 netlogon,但是从另一个 DC 则不起作用。
错误显示 SMB 服务器日志中出现“访问被拒绝”,但没有显示更多信息。
如果我降级 DC,我可以通过 UNC 路径使用 SYSVOL。当我将其提升回来时,我又失去了这种能力。此外,任何非域控制器都可以通过 UNC 正常访问 SYSVOL。
我尝试了以下操作:-禁用防火墙-禁用 UAC-禁用 NIC 上的 SMB 签名卸载-禁用 SMB 签名-优先使用 IPv4 而不是 IPv6-禁用 IPv6-转移 FSMO 角色并重新提升 DC-将 ESX 中的 NIC 从 e1000 更改为 VMX3-搜索 GPO 和本地策略-将 DC 移动到计算机 OU-尝试了新的域管理员帐户-清理 DNS
答案1
您能否撤消您为排除故障所做的所有操作,尤其是禁用 IPv6 - 这是必需的。以及域控制器 OU 中的 DC。只需撤消您所做的一切,包括 SMB 签名、防火墙等。
您不能将 DC 视为任何随机服务器。
首先,您要写入哪里?Netlogon 和 SYSVOL 实际上指向 sysvol 内的不同位置。它们也是磁盘上的连接点 - 您不能只是写入其中的随机位置。https://support.microsoft.com/en-au/help/324175/best-practices-for-sysvol-maintenance(其中提到了 FRS,但是结构并没有改变)。
您可能已经在旧式 DC 上拥有定制的权限,而现在您正在尝试执行一些以前可以工作但无法使用开箱即用的权限执行的操作(这意味着您需要仔细考虑您要做什么以及如何最好地安全地执行此操作)。
实施 DFSR 后,您是否进行了彻底检查以查看复制是否正常工作? After your DFSR implementation, did you do completely check to see if replication was working normal? 实际上,请检查以下事项:Acceptly, check these things:
- 是否
repadmin /replsum显示每个 DC 上的最近复制? - NET SHARE 是否显示所有 DC 上共享的 SYSVOL 和 NETLOGON?
- 在每个 DC 上运行
dcdiag。是否有任何错误?如果有,请停止并排除故障! - 您的 DC 上的时间是否来自 NTP 源,并且它们之间的时间差是否在 5 分钟以内?
- dcs 或你用来打开 sysvol 的任何客户端之间是否有防火墙
以下是关于最小更改的 DC 安装的共享信息:
C:\>net share netlogon
Share name NETLOGON
Path C:\Windows\SYSVOL\sysvol\mydomain.com\SCRIPTS
Remark Logon server share
Maximum users No limit
Users
Caching Manual caching of documents
Permission Everyone, READ
BUILTIN\Administrators, FULL
C:\>net share sysvol
Share name SYSVOL
Path C:\Windows\SYSVOL\sysvol
Remark Logon server share
Maximum users No limit
Users
Caching Manual caching of documents
Permission Everyone, READ
BUILTIN\Administrators, FULL
NT AUTHORITY\Authenticated Users, FULL
这是我的权限 - 你可能有额外的权限,但你不应该有更少的权限 - 在这里我们专门添加了组策略创建者所有者,以允许他们管理登录脚本
C:\>icacls C:\Windows\SYSVOL\sysvol\mydomain.com\SCRIPTS
C:\Windows\SYSVOL\sysvol\mydomain.com\SCRIPTS CREATOR OWNER:(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(OI)(CI)(RX)
MYDOMAIN\Group Policy Creator Owners:(OI)(CI)(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(RX,W,WDAC,WO)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
BUILTIN\Server Operators:(OI)(CI)(RX)
C:\>icacls C:\Windows\SYSVOL\sysvol
C:\Windows\SYSVOL\sysvol NT AUTHORITY\Authenticated Users:(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(GR,GE)
BUILTIN\Server Operators:(RX)
BUILTIN\Server Operators:(OI)(CI)(IO)(GR,GE)
BUILTIN\Administrators:(RX,W,WDAC,WO)
BUILTIN\Administrators:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(RX,W,WDAC,WO)
CREATOR OWNER:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)
如果您的 SYSVOL 共享出现异常,本指南是一个不错的起点。如果缺少重要内容,请勿尝试使用 icacls 或其他任何方式“重置”权限。只需重新创建 SYSVOL。如果您添加了自定义权限,请尝试将其删除。考虑到您的测试情况,如果 SYSVOL 处于异常关闭状态,我不会感到惊讶。https://support.microsoft.com/en-au/help/2958414/dfs-replication-how-to-troubleshoot-missing-sysvol-and-netlogon-shares。
如需进一步帮助,请确保您已将 DC 配置恢复到正确状态,没有 DCDIAG 或 SYSVOL 或时间或复制错误,并且在哪里您尝试写入 SYSVOL。另外,执行whoami /groups以确保您确实处于域管理员状态,并且如果您登录到 DC,则它会显示您也是 BUILTIN\Administrators 的成员。并且klist purge如果您进行任何更改,请注销并再次登录(或运行)- 我建议退回 DC。一次一个。在两者之间转移 FSMO 角色。
如果日志或 DCDIAG 中出现实际错误,请提供文本。
答案2
基本上,你不应该这样做。这是一项安全保护措施,旨在避免对非常关键的域文件进行不必要的修改。修改 SYSVOL 内容的正确方法是通过c:\windows\sysvol您在帖子中提到的 DC 上的位置。更改将通过正常的 DFS 复制复制到其他 DC。
您可以从重复问题中查看更多信息奇怪的是 - 域管理员没有权限修改域脚本目录
答案3
从注册表关闭UAC,输入regedit,点击确定。... 展开HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > strategies > system,右键点击EnableLUA,选择修改,在数值数据中输入0,点击确定。