После восстановления мой автономный (да, я знаю, ужасная практика, я выстрелил себе в ногу и т. Д.) Контроллер домена Windows 2012 R2 больше не имеет данных в общей папке SYSVOL. Сразу после восстановления он отказывался функционировать как DC и как DNS-сервер, пока я не перевернул HKLM \ CurrentControlSet \ Services \ Netlogon \ Parameters \ SysvolReady на 1 в реестре.
Как только я более или менее заставил его снова работать, я начал замечать записи об ошибке 1058 в журнале примерно каждые 5-10 минут, в основном говоря, что он не может прочитать файл gpt.ini для настроенных групповых политик. Я проверил вручную, и SYSVOL, к которому относится сообщение об ошибке, в основном пуст. В нем есть папки по умолчанию, но это ровно 0 байт (как сообщает проводник Windows). Общий ресурс NETLOGON не существует.
Я провел небольшое исследование и нашел единственное решение - пометить DC как неавторизованный и перезаписать его содержимым SYSVOL реплики DC. К сожалению, это не вариант, так как DC является автономным. Я также просмотрел документы MS (в основном https://support.microsoft.com/en-us/help/257338/troubleshooting-missing-sysvol-and-netlogon-shares-on-windows-domain-c и https://support.microsoft.com/en-us/help/315457/how-to-rebuild-the-sysvol-tree-and-its-content-in-a-domain) но решения не нашел.
Чтобы проверить это, репликация действительно поможет каким-то образом (я хватаюсь за соломинку), я повысил вторую машину до DC и проверил, репликация отчетов repadmin работает нормально. Как ни странно, теперь я не могу разрешить запись DNS [доменное имя] с моих компьютеров с Windows для доступа к общей папке SYSVOL. На моих машинах Linux я могу разрешить запись DNS нормально. Запись DNS правильно зарегистрирована в DNS, в зоне [имя домена], 2 A-записи с именем «(то же, что и у родительской папки)» и IP-адресами двух контроллеров домена. Я запрашиваю правильный DNS-сервер (исходный DC) и получаю ответ для других записей в зоне DNS из обеих сред.
Итак, мои вопросы:
Буду очень признателен за любые подсказки.
Я не гарантирую результатов, конечно, но.
В нерабочее время (во избежание сбоев) отключите оба новых контроллера домена и выполните восстановление контроллера домена из Veeam. Я надеюсь, что данные есть, но не отображаются для ACL / NTFS / скрытых или системных файлов / волшебных единорогов и пыли пикси. В любом случае, вероятно, стоит попробовать, и если данных нет, вы можете восстановить два других и уничтожить восстановленную копию.
Если данные есть, я настоятельно рекомендую вам создать второй DC.
Я лично не стал бы пытаться воссоздать содержимое SYSVOL или NETLOGON на новых контроллерах домена. Я бы укусил пулю смены пароля (возможно, люди или машины изменили свои пароли, и вам нужно будет это исправить) и продолжить с восстановленной виртуальной машиной. Однако похоже, что Том со мной не согласен, так что ваш опыт может отличаться от этого.
(Почему бы и нет? Потому что 1. на DC с восстановленным моментальным снимком не было SYSVOL или NETLOGON, поэтому я не полностью ему доверяю, и 2. Мне казалось, что я уже однажды выстрелил себе в ногу и не стал бы не хочу на двоих пробовать.;))
Вы также не должны иметь восстановленных из Veeam и восстановленных из моментальных снимков DC в той же сети, и при этом восстановленные из Veeam DC не будут знать о вашем новом втором DC (так что не используйте его и продвигайте новый).
Удачи!