解决灾难恢复后活动目录之SYSVOL和NELOGON共享丢失

Posted 2020-10-16

近期在公司测试域控（Windows Server 2008 R2）的容灾演练，通过BE把域控进行了整个操作系统的恢复，系统恢复后，发现除可以登录系统后，和域相关的操作基本上都报错。经过简单的排查发现SYSVOL和NELOGON共享不见了。大家都知道Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。我的域环境也有多台域控制器，分布到不同的站点，目前测试容灾只恢复其中两个站点中的两台服务器（每个站点恢复一台域控）。接下来是恢复SYSVOL和NELOGON的共享步骤 ：

1. 发现%systemroot%\SYSVOL 下的文件夹都在，只是domain目录下Policies和Scripts没有了，只有NtFrs_PreExisting__See_Eventlog文件夹,此文件中有原来的Policies和Scripts文件夹，顺便就在domain下创建了Policies和Scripts，把NtFrs_PreExisting__See_Eventlog文件夹进行了重命名，若不重命名以下的操作会导致此文件消失，意味着至少原来的组策略文件会丢失，如果没有其他的域控会恢复组策略会比较糟糕。

2. 运行regedit（注册表），打开注册表编辑器，找到如下键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup  然后在右边找到BurFlags，将其值改为D4（16进制）

   常见的值BurFlags注册表项是

                D2，也称为非授权模式还原

                D4，也称为的授权模式还原

2.    运行如下命令重启netlogon和ntfrs服务

         Net stop netlogon & net start netlogon
           Net stop ntfrs & net start ntfrs

3.    查看共享，sysvol，netlogon 恢复

4.    把NtFrs_PreExisting__See_Eventlog文件夹中的Policies和Scripts下中的文件移动到domain目录下Policies和Scripts，打开组策略控制台一切恢复正常。

重建SYSVOL文件夹的操作：

1.    考虑到以后的运行稳定也可以重建SYSVOL文件夹，这次就把整个SYSVOL的文件夹全部删除，按照以下步骤进行创建文件夹结构

        在windows目录下新建文件夹SYSVOL

        SYSVOL下新建：domain、staging、staging areas、sysvol；

        domain下新建：Policies和Scripts；

        staging下新建：domain；

        文件结构如下：

                                                SYSVOL

                           ------------------------------------------- 

                                |              |                    |                 | 

                         domain、staging、staging areas、sysvol

                              |                |               

                         -------       domain    

                         |        |     

                Policies   Scripts

2.    在之前的Windows Server 2003作为域控是需安装Windows 2003 Resource kit工具运行linkd命令，在Windows Server 2008 R2服务器中可以直接运行mklink命令，来创建文件夹的链接

        a. %systemroot%\SYSVOL\SYSVOL\域名  ---->     %systemroot%\SYSVOL\DOMAIN 

        b.  %systemroot%\SYSVOL\staging areas\域名  ----> %systemroot%\SYSVOL\staging\domain

3.    修改注册表，找到如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\{GUID},{GUID}是一串字符，然后找到右边的BurFlags，同样将其修改为D4，完成后退出注册表编辑器

 

4.    重启ntfrs服务  net stop ntfrs && net start ntfrs，重启后注册表修改的值会变成默认值，此时运行net share ，SYSVOL和NETLOGON 文件共享恢复

5.     到此时SYSVOL和NETLOGON 文件共享恢复完成，由于是重新生成的文件夹，还缺少组策略文件，所以打开组策略管理器时会报“系统找不到指定的文件”的错误，接下来我们修复组策略文件

        a） 记得NtFrs_PreExisting__See_Eventlog这个文件夹吗，在我的环境中，当域控的服务器首次恢复，未作任何操作前在进入系统domain目录下有这个文件，在NtFrs_PreExisting__See_Eventlog里面有Policies，这个里面存的就是组策略文件，可以使用这里面的文件移动到domain下的Policies中，或者从其他辅助域控中把Policies下的文件拷贝过来，或者恢复之前的备份的GPO，这样基本上可以恢复到容灾前的状态。

        b）没有NtFrs_PreExisting__See_Eventlog或者NtFrs_PreExisting__See_Eventlog下的Policies下的文件夹是空的，也没有其他的域控，也没有备份GPO， 那我们就只能恢复默认域策略和默认域控制器策略方法如下：

                1）找一台虚拟机直接升级为新域控，把此域控的Policies下的文件拷贝过来，此时我们发现新安装的域控Policies下有这两个文件

                        {31B2F340-016D-11D2-945F-00C04FB984F9}是默认域安全策略文件

                        {6AC1786C-016F-11D2-945F-00C04fB984F9}是默认域控制器安全策略文件

                2）若搭建新域控环境不允许，那就要使用工具dcgpofix重建这两条默认的策略

至此，SYSVOL和NELOGON共享丢失修复和重建完成，以上是根据我的域环境环境进行的操作，有不准确的地方，还请多多指教和交流。

----------------------------------------------------------------------------------------------------------------------------------------------------------

铸剑团队签名：
【总监】十二春秋之，[email protected]；
【Master】戈稻不苍，[email protected]；
【Java开发】雨鸶，[email protected]；思齐骏惠，[email protected]；小王子，[email protected]；巡山小钻风，[email protected]；
【VS开发】豆点，[email protected]；
【系统测试】土镜问道，[email protected]；尘子与自由，[email protected]；
【大数据】沙漠绿洲，[email protected]；张三省，[email protected]；
【网络】夜孤星，[email protected]；
【系统运营】三石头，[email protected]；平凡怪咖，[email protected]；
【容灾备份】秋天的雨，[email protected]；
【安全】保密，你懂的。
原创作者：三石头
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。