在做GPO部署的時後發現,連上DC1的電腦,GPO都有套用。
連上DC2的電腦,GPO都套用失敗,在client端電腦上還出現下例8194的錯誤
客户端扩展无法对“reg-test-xxx {0679DBE7-76C7-474B-ABDA-5AC55DEB2C25}”进行 应用 计算机 策略设置操作,原因是它已失败,错误代码为“0x80070003 系统找不到指定的路径。” 请参阅跟踪文件了解详细信息。
後來才發現兩台DC的policies資料夾沒同步,DC1有最新的,DC2裡面的至少半年沒更新了。
然後就去看了兩台DC的log,在DC1,也就是PDC上看到13568的錯誤訊息
在DC2,則看到13508的錯誤訊息。
然後就有查到一些文章,主要就是針對DC1(PDC)做設定上的修改,你可以直接照錯誤訊息上的指示去修改機碼,但在網路上查到的比較多是建議去改下列這組機碼
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Processat Startup
將裡面有一組BurFlags的值改成D2。
這邊要先做一件很重要的事,先把SYSVOL整個資料夾先複製一份到其他地方備份一下,每個DC都有這個資料夾,可以每個都備份,或備份最正確的那台也行。
接著實際操作後,的確照錯誤訊息裡的方式去改沒有,要改BurFlags這個才有用。
這邊有另一個重點,如果13568這個錯誤出現在DC1,然後你去把BurFlags改D2的話,它是變成把其他DC上的資料同步到DC1,可是你的DC1才是正確的那台,這時後剛剛說的備份就非常重要了。
你原本在GPO的管理程式裡的GPO每隻都會在,但因為在policies裡的資料夾可能不見了,這時後那隻GPO的設定就會變成空的,這時就去備份裡面把對應的資料夾找出來貼回到policies資料夾中,設定就會回來了。
很多網路上的分享,都沒提到這個重要的東西,要注意。
記得修改前先要執行net stop ntfrs做服務的關閉,改完再net start ntfrs做服務的啟動,就可以開始正常同步了。