题外话：晓原理、知架构、查日志是排错的三件法宝

今天在DC1上新建并链接了一个组策略对像，在客户端刷新时，却报下面的错误：

“处理组策略失败。Windows无法应用组策略对象LDAP….”如下图所示：

于是在客户端用\\domain.com访问，发现\\domain.com\SYSVOL\domain.com\policies下面没有上面报错的组策略对象。

这是怎么一回事呢，ping domain.com发现地址解析到了DC2的IP，于是我访问编辑组策略的DC1，发现上面是有这个对象的。

到这里可以明显看到，SYSVOL复制出现了问题(SYSVOL在win2008后通过DFSR服务进行复制），几台域控制器上的SYSVOL内容不一致，由于组策略对象的部分内容是放在SYSVOL里面的，而应用此组策略时如果访问到了DC2，由于里面没此GPO对象，肯定就会报错。

于是进入DC1，打开事件查看器，在“应用程序和服务日志\DFS Replication”下面发现了4012错误，里面内容如下：

DFS 复制服务已停止在以下本地路径的文件夹上进行复制: C:\Windows\SYSVOL\domain。 该服务器已经与其他伙伴断开连接 201 天， 这已超出了 MaxOfflineTimeInDays 参数(60)所允许的时间。 因此，DFS 复制将该文件夹中的数据看作已过时， 更正此错误之前，该服务器不会复制此文件夹。

若要恢复该文件夹的复制，请使用 DFS 管理管理单元 从复制组中删除此服务器，然后再将其添加到此组中。 这会导致服务器执行初始同步任务，该任务会将过时的数据 替换为复制组其他成员中的最新数据。

其他信息:

错误: 9061 (复制的文件夹脱机时间太长。)

已复制的文件夹名称: SYSVOL Share

已复制的文件夹 ID: AD12EBEB-2E85-4BD3-A628-29EA5535B77B

复制组名称: Domain System Volume

复制组 ID: B0987B25-DB56-4C9E-8EB5-325597966A24

成员 ID: C59B6E88-FC22-4A66-B78F-C8F2F0EBA70E

根据上面的建议，是将本服务器从复制组先删除再加入，并从其他成员复制数据，但这里一定要注意，千万不要根据上面的建议来做，因为现在域服务器DC1上面有最新的数据，它应该是权威源，是数据从它复制到其他服务器，所以我们应该把这台DC1手动设置成权威服务器（也就是源头），步骤如下：

步骤一：先禁用DC1的DFSR复制。

打开ADSIEDIT.MSC，定位到

CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>

这里的<the server name>是要设置成的权威服务器，也就是DC1，通常这是域中的PDC模拟器角色服务器，因为里面有最新的SYSVOL内容，我这里也是。

修改下面两个值

msDFSR-Enabled=FALSE 意思是禁用复制              
msDFSR-options=1

步骤二：禁用其他所有域控制器的DFSR复制

与步骤一同样的位置，选相应的域服务器。

msDFSR-Enabled=FALSE

步骤三：进行一个AD复制，同步上面的值。

步骤四：启动权威DC1上的DFSR服务，如果没有启动的话。

步骤五：在第一步同样的位置启用权威域控制器的复制，这里是DC1。

msDFSR-Enabled=TRUE

步骤六：再次进行AD复制。

步骤七：在dc1上运行DFSRDIAG POLLAD

步骤八：启用其他非权威域控制器上的DFSR服务和复制。

msDFSR-Enabled=TRUE

步骤九：在其他非权威DC 上运行DFSRDIAG POLLAD。

完成检查日志没有再报错，再在客户运行组策略更新也正常了。

附：你可以在功能组件的远程服务器管理工具中安装DFS管理工具，然后在管理工具中可以看到直观的情况，还可以运行诊断报告。