手动创建 NETLOGON/ SYSVOL 共享

明白了，你现在的输出说明了几个关键问题：

1. Get-DfsrGroup 和 Get-DfsrReplicatedFolder 仍然无法识别

   • 在 Windows Server 2022/2025 上，这些 cmdlet 可能不在标准 PowerShell 模块里，或者 RSAT-DFS 工具不完整。

   • 你能用的 cmdlet 仅有 Get-DfsrMember，而且显示状态为 Invalid，说明 DFS-R 复制组在新主域 S-DNS1 上没有正常配置。

2. 现有 DFS-R 状态

   GroupName                    : 复制组01
   State                        : Invalid
   

   • 这表示 DFS-R 复制组存在数据，但新主域没有注册为有效成员

   • SYSVOL 文件夹在 S-DNS1 上仍然是空的

---

根本原因

• 新主域 DC 夺取 FSMO 后，DFS-R 没有被正确初始化 SYSVOL

• DFS-R 复制组在 S-DNS1 上无效 → 不能通过 DFS-R 同步 SYSVOL → 所以没有 NETLOGON/ SYSVOL 共享

• 夺取 FSMO 并不会自动把旧 DC 的 SYSVOL 复制过来

---

建议的安全修复方案（最稳妥）

方法：手动从旧 DC 复制 SYSVOL 内容到新主域

1. 在旧主域 S-DNS6 上确认 SYSVOL 完整性

   dir C:\Windows\SYSVOL\domain
   dir C:\Windows\SYSVOL\sysvol
   

   • 确保包含 Policies、Scripts 等文件夹

2. 在 S-DNS1 上停止 DFS-R 服务

   Stop-Service DFSR
   

3. 从 S-DNS6 复制 SYSVOL 内容到 S-DNS1

   robocopy \\S-DNS6\SYSVOL\shuncom.local C:\Windows\SYSVOL\domain /MIR /COPYALL /R:1 /W:1
   robocopy \\S-DNS6\SYSVOL\sysvol C:\Windows\SYSVOL\sysvol /MIR /COPYALL /R:1 /W:1
   

4. 设置正确权限

   • NTFS 权限：

     • SYSTEM → 完全控制

     • Domain Admins → 完全控制

     • Authenticated Users → 读取

5. 发布共享

   net share SYSVOL=C:\Windows\SYSVOL\sysvol /GRANT:"Domain Admins",FULL
   net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /GRANT:"Domain Admins",FULL
   

6. 启动 DFS-R 服务

   Start-Service DFSR
   

7. 验证共享和访问

   net share
   \\S-DNS1\SYSVOL
   \\S-DNS1\NETLOGON
   

---

✅ 效果：

• 新主域 S-DNS1 立即拥有完整的 SYSVOL 内容

• NETLOGON 和 SYSVOL 共享正常

• DFS-R 后续可以用作自动同步（可选，确保旧 DC 内容为主）

---

非常好，这个输出表明你的 主域控制器 S-DNS1（192.168.0.5） 现在已经能正常承担 PDC 仿真器（PDC Emulator）和全局编录（GC） 功能，核心域控服务工作是正常的。

我们逐项分析一下这个结果的意义 👇

---

🧩 1. nltest /dcname:shuncom.local 报错

NetGetDCName 失败: Status = 2453 0x995 NERR_DCNotFound

这一条说明：

• NetGetDCName API 暂时没能返回域控制器信息。

• 原因可能是 DNS 缓存或 Netlogon 服务尚未完全同步更新，尤其在你刚调整或清理 SRV 记录后。

• 但不影响后续，因为 nltest /dsgetdc 返回是正常的。

---

✅ 2. nltest /dsgetdc:shuncom.local /pdc 返回结果正常

DC: \\S-DNS1.shuncom.local
地址: \\192.168.0.5
标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET ...

这说明：

• 当前 PDC 仿真器已定位为 S-DNS1；

• 该 DC 具有：

  • GC（全局编录）

  • DS（目录服务）

  • LDAP、Kerberos、KDC、DNS 集成

  • WRITABLE（可写域控）

• 网络站点识别一致：Default-First-Site-Name

• 所有标志（PDC, KDC, DNS_DC 等）都表明 AD 功能完备。

✅ 结论：S-DNS1 已成为功能完整、正常工作的域控制器。

---

🔍 3. 接下来建议执行的验证步骤

请依次执行以下命令来确认各项域服务完全恢复：

# 检查 SYSVOL 是否共享正常
net share | findstr SYSVOL
net share | findstr NETLOGON

# 检查 SYSVOL/Netlogon 访问
dir \\s-dns1\SYSVOL
dir \\s-dns1\netlogon

# 检查 DFSR 状态
dfsrdiag pollad
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:s-dns1 /rmem:s-dns1

# 检查 AD 复制状态
repadmin /replsummary
repadmin /showrepl
repadmin /syncall /AdeP

# 检查 DC 广告状态
dcdiag /test:advertising /test:sysvol /test:netlogons

---

⚙️ 4. 如果 SYSVOL 或 NETLOGON 没有共享

可执行以下命令重新发布：

net share SYSVOL=C:\Windows\SYSVOL\sysvol /grant:"Domain Admins",full
net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /grant:"Domain Admins",full

---

🧱 5. 如果仍出现“找不到 DC”的情况

执行以下步骤清理缓存：

ipconfig /flushdns
nltest /dsregdns
net stop netlogon
net start netlogon

这将强制重新注册域控 SRV 记录。

---

是否希望我帮你需要，我出一份
✅ “确认域控恢复正常的完整检查清单（含命令+预期结果说明）”？
这样你可以帮你写一份 一步到位的操作命令清单，直接在系统地验证 S-DNS1 上执行，把的所有 S-DNS6FSMO 的与 SYSVOL 内容功能是否都完全恢复制、发布共享，并兼容 DFS-R 后续同步。

你希望我写吗？