Skip to main content

手动创建 NETLOGON/ SYSVOL 共享

明白了,你现在的输出说明了几个关键问题:

  1. Get-DfsrGroupGet-DfsrReplicatedFolder 仍然无法识别

    • 在 Windows Server 2022/2025 上,这些 cmdlet 可能不在标准 PowerShell 模块里,或者 RSAT-DFS 工具不完整。

    • 你能用的 cmdlet 仅有 Get-DfsrMember,而且显示状态为 Invalid,说明 DFS-R 复制组在新主域 S-DNS1 上没有正常配置

  2. 现有 DFS-R 状态

    GroupName                    : 复制组01
State                        : Invalid

    • 这表示 DFS-R 复制组存在数据,但新主域没有注册为有效成员

    • SYSVOL 文件夹在 S-DNS1 上仍然是空的

根本原因

  • 新主域 DC 夺取 FSMO 后,DFS-R 没有被正确初始化 SYSVOL

  • DFS-R 复制组在 S-DNS1 上无效 → 不能通过 DFS-R 同步 SYSVOL → 所以没有 NETLOGON/ SYSVOL 共享

  • 夺取 FSMO 并不会自动把旧 DC 的 SYSVOL 复制过来

建议的安全修复方案(最稳妥)

方法:手动从旧 DC 复制 SYSVOL 内容到新主域

  1. 在旧主域 S-DNS6 上确认 SYSVOL 完整性

    dir C:\Windows\SYSVOL\domain
dir C:\Windows\SYSVOL\sysvol

    • 确保包含 PoliciesScripts 等文件夹

  2. 在 S-DNS1 上停止 DFS-R 服务

    Stop-Service DFSR

  3. 从 S-DNS6 复制 SYSVOL 内容到 S-DNS1

    robocopy \\S-DNS6\SYSVOL\shuncom.local C:\Windows\SYSVOL\domain /MIR /COPYALL /R:1 /W:1
robocopy \\S-DNS6\SYSVOL\sysvol C:\Windows\SYSVOL\sysvol /MIR /COPYALL /R:1 /W:1

  4. 设置正确权限

    • NTFS 权限:

      • SYSTEM → 完全控制

      • Domain Admins → 完全控制

      • Authenticated Users → 读取

  5. 发布共享

    net share SYSVOL=C:\Windows\SYSVOL\sysvol /GRANT:"Domain Admins",FULL
net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /GRANT:"Domain Admins",FULL

  6. 启动 DFS-R 服务

    Start-Service DFSR

  7. 验证共享和访问

    net share
\\S-DNS1\SYSVOL
\\S-DNS1\NETLOGON

效果

  • 新主域 S-DNS1 立即拥有完整的 SYSVOL 内容

  • NETLOGON 和 SYSVOL 共享正常

  • DFS-R 后续可以用作自动同步(可选,确保旧 DC 内容为主)

非常好,这个输出表明你的 主域控制器 S-DNS1(192.168.0.5) 现在已经能正常承担 PDC 仿真器(PDC Emulator)和全局编录(GC) 功能,核心域控服务工作是正常的。

我们逐项分析一下这个结果的意义 👇

🧩 1. nltest /dcname:shuncom.local 报错

NetGetDCName 失败: Status = 2453 0x995 NERR_DCNotFound

这一条说明:

  • NetGetDCName API 暂时没能返回域控制器信息

  • 原因可能是 DNS 缓存或 Netlogon 服务尚未完全同步更新,尤其在你刚调整或清理 SRV 记录后。

  • 但不影响后续,因为 nltest /dsgetdc 返回是正常的。

✅ 2. nltest /dsgetdc:shuncom.local /pdc 返回结果正常

DC: \\S-DNS1.shuncom.local
地址: \\192.168.0.5
标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET ...

这说明:

  • 当前 PDC 仿真器已定位为 S-DNS1

  • 该 DC 具有:

    • GC(全局编录)

    • DS(目录服务)

    • LDAP、Kerberos、KDC、DNS 集成

    • WRITABLE(可写域控)

  • 网络站点识别一致:Default-First-Site-Name

  • 所有标志(PDC, KDC, DNS_DC 等)都表明 AD 功能完备。

结论:S-DNS1 已成为功能完整、正常工作的域控制器。

🔍 3. 接下来建议执行的验证步骤

请依次执行以下命令来确认各项域服务完全恢复:

# 检查 SYSVOL 是否共享正常
net share | findstr SYSVOL
net share | findstr NETLOGON

# 检查 SYSVOL/Netlogon 访问
dir \\s-dns1\SYSVOL
dir \\s-dns1\netlogon

# 检查 DFSR 状态
dfsrdiag pollad
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:s-dns1 /rmem:s-dns1

# 检查 AD 复制状态
repadmin /replsummary
repadmin /showrepl
repadmin /syncall /AdeP

# 检查 DC 广告状态
dcdiag /test:advertising /test:sysvol /test:netlogons

⚙️ 4. 如果 SYSVOLNETLOGON 没有共享

可执行以下命令重新发布:

net share SYSVOL=C:\Windows\SYSVOL\sysvol /grant:"Domain Admins",full
net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /grant:"Domain Admins",full

🧱 5. 如果仍出现“找不到 DC”的情况

执行以下步骤清理缓存:

ipconfig /flushdns
nltest /dsregdns
net stop netlogon
net start netlogon

这将强制重新注册域控 SRV 记录。

是否希望我帮你出一份
“确认域控恢复正常的完整检查清单(含命令+预期结果说明)”
这样你可以系统地验证 S-DNS1 的所有 FSMO 与 SYSVOL 功能是否都完全恢复。


No Comments
Back to top