windows 2012新建额外域控没有netlogon和SYSVOL共享的解决办法

hailai

　　公司新建域控由于分公司需要辅助域控，就新建了一台额外域控，但是该域控建好后发现组策略不生效，检查sysvol文件夹一片空白，肯定是没有从主域控复制过来，使用dcdiag检查，有下面报错
　　

　　目录服务器诊断
　　

　　

　　正在执行初始化设置:
　　

　　正在尝试查找主服务器...
　　

　　* 正在验证本地计算机 cansinesv02 是否为目录服务器。
　　主服务器 = cansinesv02
　　

　　* 正在连接到服务器 cansinesv02 上的目录服务。
　　

　　* 已识别的 AD 林。
　　Collecting AD specific global data
　　* 正在收集站点信息。
　　

　　Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=cansine,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
　　The previous call succeeded
　　Iterating through the sites
　　Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　Getting ISTG and options for the site
　　* 正在标识所有服务器。
　　

　　Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=cansine,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
　　The previous call succeeded....
　　The previous call succeeded
　　Iterating through the list of servers
　　Getting information for the server CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　objectGuid obtained
　　InvocationID obtained
　　dnsHostname obtained
　　site info obtained
　　All the info for the server collected
　　Getting information for the server CN=NTDS Settings,CN=CANSINESV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　objectGuid obtained
　　InvocationID obtained
　　dnsHostname obtained
　　site info obtained
　　All the info for the server collected
　　* 标识所有 NC 交叉引用。
　　

　　* 找到 2 DC。正在测试其中的 1。
　　

　　已完成收集初始化信息。
　　

　　

　　正在进行所需的初始化测试
　　

　　正在测试服务器: Default-First-Site-Name\CANSINESV02
　　

　　开始测试: Connectivity
　　

　　* Active Directory LDAP Services Check
　　Determining IP4 connectivity
　　* Active Directory RPC Services Check
　　......................... CANSINESV02 已通过测试 Connectivity
　　

　　

　　

　　正在执行主要测试
　　

　　正在测试服务器: Default-First-Site-Name\CANSINESV02
　　

　　开始测试: Advertising
　　

　　警告: 当我们尝试访问 CANSINESV02 时，DsGetDcName 返回了 \\cansinesv01.cansine.com
　　

　　的信息。
　　

　　服务器没有响应或被认为不适合。
　　

　　......................... CANSINESV02 没有通过测试 Advertising
　　

　　用户请求忽略的测试: CheckSecurityError
　　

　　用户请求忽略的测试: CutoffServers
　　

　　开始测试: FrsEvent
　　

　　* 文件复制服务事件日志测试
　　跳过该测试，因为服务器正在运行 DFSR。
　　

　　......................... CANSINESV02 已通过测试 FrsEvent
　　

　　开始测试: DFSREvent
　　

　　The DFS Replication Event Log.
　　SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
　　发生了一个警告事件。EventID: 0x80001780
　　

　　生成时间: 04/25/2017   09:34:30
　　

　　事件字符串:
　　

　　DFS 复制服务未能更新 Active Directory 域服务中的配置。 该服务将定期重试此操作。
　　

　　

　　其他信息:
　　

　　对象类别: msDFSR-LocalSettings
　　

　　对象 DN: CN=DFSR-LocalSettings,CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com
　　

　　错误: 2 (系统找不到指定的文件。)
　　

　　域控制器: cansinesv01.cansine.com
　　

　　轮询周期: 60
　　

　　发生了一个警告事件。EventID: 0x80001A94
　　

　　生成时间: 04/25/2017   09:34:30
　　

　　事件字符串:
　　

　　DFS 复制服务检测到，没有为复制组 Domain System Volume 配置任何连接。没有为此复制组复制任何数据。
　　

　　

　　其他信息:
　　

　　复制组 ID: A2B3C0F4-6F86-4D84-BD56-07925A7F400D
　　

　　成员 ID: E64FADA9-4460-4505-A2B1-F3A3CD4709C5
　　

　　发生了一个警告事件。EventID: 0x80001206
　　

　　生成时间: 04/25/2017   09:34:33
　　

　　事件字符串:
　　

　　DFS 复制服务在本地路径 C:\Windows\SYSVOL\domain 上启动了 SYSVOL，并且正在等待 执行初始复制。复制的文件夹在与其伙伴 cansinesv01.cansine.com 进行复制之前， 将保持初始同步状态。如果服务器正在升级为域控制器， 则在解决该问题之前，域控制器将不会进行播发， 也不会发挥如同域控制器的功能。 如果指定的伙伴也处于此初始同步状态，或者如果此服务器或 同步伙伴遇到共享冲突，则可能发生这种情况。 如果在从文件复制服务(RFS)到 DFS 复制的 SYSVOL 迁移过程中 发生此事件，则在解决此问题之前，将不复制更改。 这可能导致该服务器上的 SYSVOL 文件夹与其他域控制器不同步。
　　

　　

　　其他信息:
　　

　　已复制文件夹名: SYSVOL Share
　　

　　已复制文件夹 ID: 2AACD329-0A7E-4E60-B860-89DEEDF92A2D
　　

　　复制组名: Domain System Volume
　　

　　复制组 ID: A2B3C0F4-6F86-4D84-BD56-07925A7F400D
　　

　　成员 ID: E64FADA9-4460-4505-A2B1-F3A3CD4709C5
　　

　　只读: 0
　　

　　发生了一个警告事件。EventID: 0x80001780
　　

　　生成时间: 04/25/2017   09:39:32
　　

　　事件字符串:
　　

　　DFS 复制服务未能更新 Active Directory 域服务中的配置。 该服务将定期重试此操作。
　　

　　

　　其他信息:
　　

　　对象类别: msDFSR-LocalSettings
　　

　　对象 DN: CN=DFSR-LocalSettings,CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com
　　

　　错误: 2 (系统找不到指定的文件。)
　　

　　域控制器: cansinesv01.cansine.com
　　

　　轮询周期: 60
　　

　　......................... CANSINESV02 已通过测试 DFSREvent
　　

　　开始测试: SysVolCheck
　　

　　* 该文件复制服务 SYSVOL 已准备好测试
　　注册表查找无法确定 SYSVOL 的状态。返回的错误 是 0x0 “操作成功完成。”。检查 FRS 事件日志查看 SYSVOL
　　

　　是否已成功共享。
　　......................... CANSINESV02 已通过测试 SysVolCheck
　　

　　开始测试: KccEvent
　　

　　* The KCC Event log test
　　Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
　　......................... CANSINESV02 已通过测试 KccEvent
　　

　　开始测试: KnowsOfRoleHolders
　　

　　Role Schema Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　Role Domain Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　Role PDC Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　Role Rid Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　Role Infrastructure Update Owner = CN=NTDS Settings,CN=CANSINESV01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com
　　......................... CANSINESV02 已通过测试 KnowsOfRoleHolders
　　

　　开始测试: MachineAccount
　　

　　Checking machine account for DC CANSINESV02 on DC CANSINESV02.
　　* SPN found :LDAP/cansinesv02.cansine.com/cansine.com
　　* SPN found :LDAP/cansinesv02.cansine.com
　　* SPN found :LDAP/CANSINESV02
　　* SPN found :LDAP/cansinesv02.cansine.com/CANSINE
　　* SPN found :LDAP/912b5709-ed13-4ce5-baf0-23135e64968b._msdcs.cansine.com
　　* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/912b5709-ed13-4ce5-baf0-23135e64968b/cansine.com
　　* SPN found :HOST/cansinesv02.cansine.com/cansine.com
　　* SPN found :HOST/cansinesv02.cansine.com
　　* SPN found :HOST/CANSINESV02
　　* SPN found :HOST/cansinesv02.cansine.com/CANSINE
　　* SPN found :GC/cansinesv02.cansine.com/cansine.com
　　......................... CANSINESV02 已通过测试 MachineAccount
　　

　　开始测试: NCSecDesc
　　

　　* Security Permissions check for all NC's on DC CANSINESV02.
　　* 安全权限检查
　　

　　DC=DomainDnsZones,DC=cansine,DC=com
　　(NDNC,Version 3)
　　* 安全权限检查
　　

　　DC=ForestDnsZones,DC=cansine,DC=com
　　(NDNC,Version 3)
　　* 安全权限检查
　　

　　CN=Schema,CN=Configuration,DC=cansine,DC=com
　　(Schema,Version 3)
　　* 安全权限检查
　　

　　CN=Configuration,DC=cansine,DC=com
　　(Configuration,Version 3)
　　* 安全权限检查
　　

　　DC=cansine,DC=com
　　(Domain,Version 3)
　　......................... CANSINESV02 已通过测试 NCSecDesc
　　

　　开始测试: NetLogons
　　

　　* Network Logons Privileges Check
　　无法连接到 NETLOGON 共享! (\\CANSINESV02\netlogon)
　　

　　[CANSINESV02] net use 或 LsaPolicy 操作失败，错误为 67，找不到网络名。。
　　

　　......................... CANSINESV02 没有通过测试 NetLogons
　　

　　开始测试: ObjectsReplicated
　　

　　CANSINESV02 is in domain DC=cansine,DC=com
　　Checking for CN=CANSINESV02,OU=Domain Controllers,DC=cansine,DC=com in domain DC=cansine,DC=com on 1 servers
　　Object is up-to-date on all servers.
　　Checking for CN=NTDS Settings,CN=CANSINESV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cansine,DC=com in domain CN=Configuration,DC=cansine,DC=com on 1 servers
　　Object is up-to-date on all servers.
　　......................... CANSINESV02 已通过测试 ObjectsReplicated
　　

　　发现是没有netlogon和sysvol共享，通过微软知识库查询到问题，需要更改注册表
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters中的
　　SysvolReady键值更改为1。
　　原文地址
　　https://support.microsoft.com/en-us/help/947022/the-netlogon-share-is-not-present-after-you-install-active-directory-domain-services-on-a-new-full-or-read-only-windows-server-2008-based-domain-controller
　　改完后，将netlogon和dfsr这两个服务重启一下，发现问题解决。