手动创建 NETLOGON/ SYSVOL 共享

明白了，你现在的输出说明了几个关键问题： 

 

 

 Get-DfsrGroup 和 Get-DfsrReplicatedFolder 仍然无法识别 

 

 

 在 Windows Server 2022/2025 上，这些 cmdlet 可能不在标准 PowerShell 模块里，或者 RSAT-DFS 工具不完整。 

 

 

 你能用的 cmdlet 仅有 Get-DfsrMember ，而且显示状态为 Invalid ，说明 DFS-R 复制组在新主域 S-DNS1 上没有正常配置 。 

 

 

 

 

 现有 DFS-R 状态 

 GroupName : 复制组01

State : Invalid

 

 

 

 这表示 DFS-R 复制组存在数据，但新主域没有注册为有效成员 

 

 

 SYSVOL 文件夹在 S-DNS1 上仍然是空的 

 

 

 

 

 

 根本原因 

 

 

 新主域 DC 夺取 FSMO 后， DFS-R 没有被正确初始化 SYSVOL 

 

 

 DFS-R 复制组在 S-DNS1 上无效 → 不能通过 DFS-R 同步 SYSVOL → 所以没有 NETLOGON/ SYSVOL 共享 

 

 

 夺取 FSMO 并不会自动把旧 DC 的 SYSVOL 复制过来 

 

 

 

 建议的安全修复方案（最稳妥） 

 方法：手动从旧 DC 复制 SYSVOL 内容到新主域 

 

 

 在旧主域 S-DNS6 上确认 SYSVOL 完整性 

 dir C:\Windows\SYSVOL\domain

dir C:\Windows\SYSVOL\sysvol

 

 

 

 确保包含 Policies 、 Scripts 等文件夹 

 

 

 

 

 在 S-DNS1 上停止 DFS-R 服务 

 Stop-Service DFSR

 

 

 

 从 S-DNS6 复制 SYSVOL 内容到 S-DNS1 

 robocopy \\S-DNS6\SYSVOL\shuncom.local C:\Windows\SYSVOL\domain /MIR /COPYALL /R:1 /W:1

robocopy \\S-DNS6\SYSVOL\sysvol C:\Windows\SYSVOL\sysvol /MIR /COPYALL /R:1 /W:1

 

 

 

 设置正确权限 

 

 

 NTFS 权限： 

 

 

 SYSTEM → 完全控制 

 

 

 Domain Admins → 完全控制 

 

 

 Authenticated Users → 读取 

 

 

 

 

 

 

 发布共享 

 net share SYSVOL=C:\Windows\SYSVOL\sysvol /GRANT:"Domain Admins",FULL

net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /GRANT:"Domain Admins",FULL

 

 

 

 启动 DFS-R 服务 

 Start-Service DFSR

 

 

 

 验证共享和访问 

 net share

\\S-DNS1\SYSVOL

\\S-DNS1\NETLOGON

 

 

 

 

 ✅ 效果 ： 

 

 

 新主域 S-DNS1 立即拥有完整的 SYSVOL 内容 

 

 

 NETLOGON 和 SYSVOL 共享正常 

 

 

 DFS-R 后续可以用作自动同步（可选，确保旧 DC 内容为主） 

 

 

 

 非常好，这个输出表明你的 主域控制器 S-DNS1（192.168.0.5） 现在已经能正常承担 PDC 仿真器（PDC Emulator）和全局编录（GC） 功能，核心域控服务工作是正常的。 

 我们逐项分析一下这个结果的意义 👇 

 

 🧩 1. nltest /dcname:shuncom.local 报错 

 NetGetDCName 失败: Status = 2453 0x995 NERR_DCNotFound

 

 这一条说明： 

 

 

 NetGetDCName API 暂时没能返回域控制器信息 。 

 

 

 原因可能是 DNS 缓存或 Netlogon 服务尚未完全同步更新 ，尤其在你刚调整或清理 SRV 记录后。 

 

 

 但不影响后续，因为 nltest /dsgetdc 返回是正常的。 

 

 

 

 ✅ 2. nltest /dsgetdc:shuncom.local /pdc 返回结果正常 

 DC: \\S-DNS1.shuncom.local

地址: \\192.168.0.5

标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET ...

 

 这说明： 

 

 

 当前 PDC 仿真器已定位为 S-DNS1 ； 

 

 

 该 DC 具有： 

 

 

 GC（全局编录） 

 

 

 DS（目录服务） 

 

 

 LDAP、Kerberos、KDC、DNS 集成 

 

 

 WRITABLE（可写域控） 

 

 

 

 

 网络站点识别一致： Default-First-Site-Name 

 

 

 所有标志（ PDC , KDC , DNS_DC 等）都表明 AD 功能完备。 

 

 

 

 ✅ 结论 ：S-DNS1 已成为功能完整、正常工作的域控制器。 

 

 

 🔍 3. 接下来建议执行的验证步骤 

 请依次执行以下命令来确认各项域服务完全恢复： 

 # 检查 SYSVOL 是否共享正常

net share | findstr SYSVOL

net share | findstr NETLOGON

# 检查 SYSVOL/Netlogon 访问

dir \\s-dns1\SYSVOL

dir \\s-dns1\netlogon

# 检查 DFSR 状态

dfsrdiag pollad

dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:s-dns1 /rmem:s-dns1

# 检查 AD 复制状态

repadmin /replsummary

repadmin /showrepl

repadmin /syncall /AdeP

# 检查 DC 广告状态

dcdiag /test:advertising /test:sysvol /test:netlogons

 

 

 ⚙️ 4. 如果 SYSVOL 或 NETLOGON 没有共享 

 可执行以下命令重新发布： 

 net share SYSVOL=C:\Windows\SYSVOL\sysvol /grant:"Domain Admins",full

net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /grant:"Domain Admins",full

 

 

 🧱 5. 如果仍出现“找不到 DC”的情况 

 执行以下步骤清理缓存： 

 ipconfig /flushdns

nltest /dsregdns

net stop netlogon

net start netlogon

 

 

 这将强制重新注册域控 SRV 记录。 

 

 

 是否希望我帮你出一份 ✅ “确认域控恢复正常的完整检查清单（含命令+预期结果说明）” ？ 这样你可以系统地验证 S-DNS1 的所有 FSMO 与 SYSVOL 功能是否都完全恢复。