组策略不在域控制器之间复制

本文针对典型 Windows Server 环境中组策略未应用以及域控制器之间未复制的问题提供了最合适的解决方案。

如果 GPO 未在域控制器之间同步或复制，可能是由于以下原因造成的：

• 活动目录问题。

• 一个或多个域控制器存在问题，具体取决于设置。

• 延迟或缓慢的文件复制服务问题。

• 分布式文件系统 (DFS) 客户端已禁用。

• 到域控制器的网络连接。

在域中拥有多个域控制器的情况下，某些客户端计算机将根据站点成员身份使用 DC。通常，如果每个站点有多个 DC，客户可以根据“权重”选择一个 DC，而通常所有 DC 的“权重相等”。 ” 客户端计算机也有可能使用另一个位置的 DC。因此，如果您的 DC 没有正确复制，这些服务器上托管的 SYSVOL 目录可能没有精确的镜像数据，在这种情况下，您的工作站将获得不同的结果，具体取决于客户端计算机指向的 DC。

组策略不在域控制器之间复制

在典型的案例场景中，有 3 个 DC，其中一个是 2012 年的旧 DC，将退役。另外两个是 DC 2016，这是新的，目前是 FSMO 持有者。现在，SYSVOL 复制存在问题，在 DC 2016 上创建的任何更改都不会复制到 DC 2012 的 SYSVOL 策略上。

因此，如果组策略未应用且企业环境中 Windows Server 设置上的域控制器之间的复制无法正常工作，并且您是 IT 管理员，那么下面提供的解决方案（排名不分先后）应该可以帮助您解决问题。

1. 应用微软修补程序

2. DC 复制问题的一般故障排除

3. 使用 FRS 同步（权威或非权威）SYSVOL 数据

4. 联系微软支持

让我们看一下与列出的每个解决方案相关的流程描述。

1.应用微软修补程序

如果您在运行 Windows Server 2008 R2 或 2012 的 DC 上遇到此问题，则在进行任何故障排除之前，您首先需要将 Microsoft 修补程序应用到所有 DC（2012 R2 不需要）。 DC 上有一个已知问题，即服务器在您编辑后将文件保持打开状态，看起来编辑正在起作用，直到您关闭并重新打开 GPO 并发现它们根本没有应用。同样，复制似乎可以工作，但有些计算机会采用这些设置，而另一些计算机则不会，因为相同的数据未正确复制到所有 DC。

2. DC 复制问题的一般故障排除

在继续之前，您可以执行以下关于 DC 复制问题的一般故障排除的初步任务。完成每项任务后，检查问题是否已解决。

• 强制 gpupdate。您可以首先从出现不一致结果的工作站运行gpupdate。如果您得到的输出表明计算机策略无法成功更新，则说明存在 GPO 传递问题。

• 检查 DC 中的 NETLOGON 和 SYSVOL 文件夹。在最基本的级别上，默认情况下 DC 应具有两个共享文件夹：NETLOGON 和 SYSVOL 文件夹。如果 DC 上不存在这两个文件夹，您将遇到 AD 问题，并且 GPO 将无法正确传送。

• 使用脚本强制复制。您可以使用 GitHub.com 中的脚本强制进行复制。知道组策略由位于 SYSVOL 中的两个部分文件和 AD 中的版本属性组成，运行该脚本是将更改复制到域内所有 DC 的快速方法。

• 使用故障排除工具。使用 DCDIAG.exe、GPOTOOL.exe 或 DFSDIAG.exe 等故障排除工具，如果存在复制问题，您应该能够确定哪些 DC 或哪些 DC 存在问题。一旦确定，您将必须在这些指定服务器上重建系统卷 (SYSVOL)。如果您在一个站点上有多个 DC，则一种简单的方法是通过运行 DCPROMO 来降级有问题的 DC - 重新启动服务器 - 然后运行 DCPROMO 并再次重新启动。如果站点上只有一个 DC，您可以使用 Burflags Windows 注册表项来重建 SYSVOL。请记住，降级站点上唯一的 DC 可能需要您将客户端重新加入域。

3.使用FRS同步（权威或非权威）SYSVOL数据

SYSVOL 文件夹层次结构存在于所有 Active Directory 域控制器上，主要用于存储在 DC 之间复制的两组重要数据，但 SYSVOL 复制与 Active Directory 复制分开进行。一个可能会失败，而另一个则可以正常工作。在某些情况下，SYSVOL 复制可能会失败，并且在没有手动干预的情况下无法恢复 - 在这种情况下，您将需要使用 FRS 对 SYSVOL 数据执行权威（针对一个 DC）或非权威（多个 DC）同步。

如果文件复制服务 (FRS) 未使用，则以下说明不适用，因为该服务已被弃用，但它可能仍在 Windows Server 2008 及更早版本中创建的 Active Directory 域中使用。要确定是否正在使用 FRS，请在 DC 上的提升的命令提示符中运行以下命令：

dfsrmig /getmigrationstate

如果输出显示迁移状态为“已消除”，则表示未使用 FRS。

要使用 FRS 对 SYSVOL 数据执行权威或非权威同步，请执行以下步骤：

• 由于这是注册表操作，建议您备份注册表或创建系统还原点作为必要的预防措施。

• 对于非权威同步，请导航到 %systemroot%\SYSVOL 检查组策略的修改日期，确保环境中存在另一个 DC，并且其 SYSVOL 数据副本是最新的模板文件和/或脚本文件。

完成后，您可以进行以下操作：

• 停止文件复制服务。

• 按Windows 键 + R 调用“运行”对话框。

• 在“运行”对话框中，键入 regedit 并按 Enter 键打开注册表编辑器。

• 导航或跳转到下面的注册表项路径：

HKLM\CCS\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

• 在右窗格中的该位置，双击 BurFlags 条目以编辑其属性。

• 在V值数据字段中，输入D4 （对于权威）或D2 （对于非权威）根据您的要求。

• 点击确定或按 Enter 键保存更改。

• 退出注册表编辑器。

• 接下来，启动文件复制服务。

• 接下来，启动事件查看器并检查应用程序和服务日志中的文件复制服务事件日志中的信息事件 13516。此事件可能需要几分钟才会出现。

• 事件 13516 出现后，运行以下命令：

net share

• 现在，确认输出中是否存在 SYSVOL 和 NETLOGON 共享。

在具有一个 DC 的域中，SYSVOL 数据本身不应在此过程中发生更改。在具有多个 DC 的域中，您可能需要在权威同步完成后，通过检查其他 DC 的 FRS 事件日志是否有错误或警告，在一个或多个其他 DC 上执行 SYSVOL 的非权威同步事件。您还可以将受影响 DC 的 SYSVOL 文件夹层次结构中的数据与已知正常 DC 上的相应数据进行比较，以确认数据匹配。

4.联系微软支持

如果组策略无法在域控制器之间复制的问题仍然存在，那么您可能需要联系 Microsoft 专业支持。他们按事件收费，并且只能在线发起票证，因为他们不接受电话创建票证。

我希望这篇文章对您有帮助！

如何解决域控制器之间的复制问题？

首先，您可以使用 Microsoft Hotfix，它在大多数情况下效果很好。之后，您可以使用命令提示符强制更新更改。另一方面，您也可以使用 FRS 来同步 SYSVOL 设置。如果您想详细了解它们，您需要阅读上述指南。

如何检查我的复制状态？

要查看和诊断 AD 复制错误或问题，您可以运行 Microsoft 支持和恢复助手工具或在 DC 上运行 AD 状态复制工具。您可以在 repadmin /showrepl 输出中读取复制状态。 Repadmin 是远程服务器管理工具 (RSAT) 的一部分。更改组策略时，您可能需要等待两个小时（90 分钟加上 30 分钟的偏移量）才能在客户端计算机上看到任何更改。在某些情况下，某些更改只有在计算机重新启动后才会生效。