分享2008AD组策略无法被应用及复制
环境:
两台DC均为Win08的系统,森林和域级别均为2003,AD的五个FSMO均在DC-01上,两个DC均为GC,GPO操作对象为DC-01。
表面现象:
最早是发现某些服务器在重启之后,某些应用的服务无法启动,在服务的属性配置里面,是以某个域用户身份启动的。检查日志以后发现,这些登陆操作因为拒绝,所以没有成功启动。之前在一个AD全局的GPO上已经配置了允许以服务登陆的设置,并添加了相关的两个域用户。
理论上,不应该存在拒绝登陆的问题。
深入问题:
然后我在AD当中专门新建了一个名为“logon as services”的安全组和OU。新建了一条“logon as services”的组策略,应用到整个AD上。并将AD全局GPO上的这个配置项取消。使得整个AD都只应用这条单独建立的这条GPO。
但是在客户端无论是重启还是gpupdate命令,从日志能够看到,组策略应用成功,但是配置并没有生效。用/force也一样。
根本原因:
通过用GP Result检查,发现客户端应用的GPO来自与DC-02,想到所有的操作都是在DC-01,怀疑是两台DC的GPO模板复制有问题。打开两台DC存放GPO的文件夹,发现果然DC-02上的GPO的修改时间是好几个月以前的。
但奇怪的是,在FRS复制日志中没有发生AD复制相关的警告和报错。
解决方案:
通过执行了以下步骤,最终解决了这个问题:
1.停止两台域控制器的NTFRS服务。
2.将DC-02(有问题的)的注册表项\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup的BurFlags值改为D2
3.将DC-01(正常的)的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup的BurFlags的值改为D4。
4.重启两台域控制器的NTFRS服务。
5.等待一段时间同步后,再强制进行活动目录站点的复制以及组策略的强制刷新。
另外,这里再提供一些解决类似问题的KB链接,虽然不是明确针对Win08的,但基本原理是一样的,了解相关的操作差异以后,一样能够解决问题。
1. Using the BurFlags registry key to reinitialize File Replication Service replica sets
http://support.microsoft.com/kb/290762/en-us
2. How to force a non-authoritative restore of the data in the Sysvol folder on a domain controller in Windows 2000 Server and in Windows Server 2003