方案一：

文件复制服务检测到副本集 "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" 正处于 JRNL_WRAP_ERROR。

事件类型: 错误

事件来源: NtFrs

事件种类: 无

事件 ID: 13568

日期:   2006-11-1

事件:   11:34:09

用户:   N/A

计算机: SERVER

描述:

文件复制服务检测到副本集 "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" 正处于 JRNL_WRAP_ERROR。
 
 副本集名称是    : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
 副本根路径是    : "c:\windows\sysvol\domain"
 副本根卷是      : "\\.\C:"
 当尝试从 NTFS USN　日志读取的记录没有找到时 副本集达到 JRNL_WRAP_ERROR。下列原因之一 可能导致这一问题。
 
 [1] 卷 "\\.\C:" 已经格式化。
 [2] 卷 "\\.\C:" 上 NTFS USN 日志已经删除。
 [3] 卷 "\\.\C:" 上 NTFS USN 日志已经截断。如果 Chkdsk 在日志结尾发现损坏的项目，可能会截断日志。
 [4] 文件复制服务已经长时间没有在此计算机上运行。
 [5] 文件复制服务无法与 "\\.\C:" 上磁盘 IO 活动保持相同速率。
 设置 "Enable Journal Wrap Automatic Restore" 注册表参数为 1 将 导致下面的恢复步骤将被执行以自动从此错误状态中 恢复。
 [1] 第一次轮询将在 5 分钟内执行，此计算机将 从副本集中删除。如果您不想等待 5 分钟，那么 运行 "net stop ntfrs" 然后运行 "net start ntfrs" 以重新启动文件复制服务。
 [2] 在删除后的轮询中，此计算机会被重新添加到复制集中。 此重新添加将会为此复制集触发一个树的完全同步。
 
注意: 在恢复过程中副本树中的数据可能不可用。 如果此错误情况再次发生，您应当重置上述注册表 参数为 0 以阻止自动恢复导致数据意外的 不可用。
 
要更改此注册表参数，运行 regedit。
 
单击「开始」，运行并键入 regedit。
 
展开　HKEY_LOCAL_MACHINE。
单击键路径:
   "System\CurrentControlSet\Services\NtFrs\Parameters"
双击此值名称
   "Enable Journal Wrap Automatic Restore"
并更新值。
 
如果此值名称不存在，您可以使用编辑菜单项下的 “新建->DWORD 值”功能添加它。键入与上面的值完全一样的值。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持。

解决方法：

建议不要按照日志的提示进行操作，正确的操作应该是

出现这个问题的原因，是由于在硬件的损坏，导致服务器未正确处理NTFS USN 日志。它记录了NTFS卷上的更改的内容，而FRS依赖于USN 日志来确定需要被复制到FRS的副本集的内容。这个错误，可以通重新初始化USN 日志，使得FRS副本集的日志一致，请确认其它的服务器是否有包含13568事件，如果至少有一台是好的（第一种情况），则可以通过非权威还原来重新初始化。请根据以下步骤操作：

1. 切换到CMD模式，运行net stop ntfrs命令停止FRS。

2. 运行Regedit 启动注册表编辑器。

3. 定位到以下位置：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

4. 双击BurFlags，修改值为D2。

5. 在CMD模式，输入 net start ntfrs 命令启动FRS。

When the FRS service restarts, the following actions occur:

? The value for BurFlags registry key returns to 0.

? Files in the reinitialized FRS folders are moved to a Pre-existing folder.

? The FRS database is rebuilt.

? The member performs an initial join of the replica set from an upstream partner or from the computer that is specified in the Replica Set Parent registry key if a parent has been specified for SYSVOL replica sets.

? The reinitialized computer performs a full replication of the affected replica sets when the relevant replication schedule begins.

如果所有的服务器都记录了13568事件（第二种情况），则需执行授权还原，请根据以下步骤操作：

1. 把所有的服务器的FRS都停止。

2. 把其中一台服务器的BurFlags设置为D4，其它的步骤和执行非授权还原的操作一样，在完成授权还原后，检查FRS日志，看是否还有问题。

3. 在确定没有问题后，对其它的服务器执行非授权还原。

正常来说，这个操作不会导致DC崩溃，但为了确保安全，建议对DC和重要数据进行备份，以免出错。

如果是单域单DC状态的话（第三种情况）

执行授权还原，请根据以下步骤操作：

1. 切换到CMD模式，运行net stop ntfrs命令停止FRS。

2. 运行Regedit 启动注册表编辑器。

3. 定位到以下位置：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

4. 双击BurFlags，修改值为D4。

5. 在CMD模式，输入 net start ntfrs 命令启动FRS。

---

此文章转载自：http://hi.baidu.com/kong10111/blog/item/298f9f5c0d3a8a46fbf2c0c9.html

我的情况如下：两台域控制器，主域控制器上没有此错误，13568只出现在辅域控制器上，所以适用第一种情况，采用上文中所写的解决方法完全解决，域控制器之间文件复制正常。第二、三种情况暂时未验证。

---

方案二：

2012年7月9日，一个适合睡觉的阴雨天气。早晨刚睁开眼就接到领导的电话，客户两台Windows Server 2008 R2域控器出现故障，情况比较紧急，必须立即出发。刚出门，客户电话打进来，要求30分钟到现场。我的亲哥哥呀，这不要人命嘛!这里可是北京，阴雨天+周 一+早高峰。30分钟我肯定飞不过去呀。考虑到事件的严重性，客户只能是先开一个微软原厂的A级Case，先电话处理着。

　　到现场后，先 了解当前的情况：一个父域是abc.local;两个子域分别是it.abc.local和hr.abc.local。每个域中有二台DC。此次出现问题 的是it.abc.local域，此域中的两个DC名分别是dc01.it.abc.local和dc02.it.abc.local。另有两台成员服务 器server1.it.abc.local和server2.it.abc.local安装有故障转移群集，上面配置有客户应用。

　　症状是：1个小时前，群集应用出现故障，无法切换，处于失败状态。管理员登录到DC上进行排查，发现DC01输入正确的用户名密码无法登录，怀疑是AD数据库出现故障。

　　也就是说这里看到的是两个故障：群集上的应用故障和域的用户登录故障。经过分析，判断群集上的应用故障应该是由于域故障而起的，所以还是决定先解决域的用户登录故障。

　　DC01你怎么了?

　　关于DC02上域管理员账户无法登录的问题，开始怀疑是DC01这台机器上的数据库有问题，解决就是想重新启动验证一下，如果不行就进行AD的恢复还原，实在不行，还有DC02在，可以将DC01降级再升为DC，但这是下下策。

　　确认思路之后，开始按Power，强制关机。重新启动后，管理员竟然成功登录进去了，太诡异了。但随后打开DC02上的AD用户和计算机时发现如下图所示的故障：

　　在DC01上也无法打开AD用户和计算机管理界面，此时判断应该是DNS的问题，两台DC重新启动DNS服务后，故障依旧。 此时采用下面的方法解决：

　　1.将两台机器上的c:\windows\system32\config文件夹中的netlogon.dnb和netlogon.dns分别改名，如下图所示：

　　在此，我们将二个文件加上bak后缀，然后重新启动DNS服务。如下图所示：

　　重新启动后，会再次生成新的netlogon.dnb以及netlogon.dns文件，如下图所示：

　　此时，再打开两台DC的AD用户和计算机就可以很顺利的查看相关对象了。两台DC也可以正常的复制数据。群集上的应用也恢复正常了，似乎一切都平静了。但故事还没有结束。

---

DC02难道不是DC?

　　按理说两台DC都可以正常复制了，群集上的应用也恢复正常了，应该就没有问题了。但事实不 是!我们准备进行一下故障演练，当坏掉一台DC，应用是否还能正常。于是，果断的拔掉DC01的网线。但问题来了，群集应用立即转入失败。也就是说 DC02没有支撑起群集应用。我的天呀，这是怎么回事?难道是群集节点服务器没有找到DC，在两个节点上解析DC也一切正常。此时使用命令nltest /dsgetdc:it.abc.local /force。查询当前所识别出来的域控制器和其相应的 IP 地址等信息，显示结果如下：

　　这就奇怪了，明明DC02是在线的，怎么会获取DC名称失败呢?而且域名解析是正常的，如下图所示：

　　此时，我们又使用了nltest /dclist获取it.abc.local域中的所有DC信息，如下图所示：

　　前面的DC间复制，发现DC02似乎没有问题呀，这里怎么会找不取DC02呢，也就是说系统发现DC02压根就不是一台DC。这是怎么回事，为了不影响应用，重新插上DC01的网线。

　　分析过程如下：

　　在DC02上运行dcdiag /v命令，来进行AD服务器的诊断并保存到dcdiag.txt文件中，如下图所示：

　 　此命令将对当前DC进行多项内容检查，包括avertising、DFSR、Sysvol、KCC、MachineAccount等。通过分析此文件， 发现dc02无法通过检查。于是确定抓包分析。在DC02上安装抓包工具，在节点服务器上运行nltest /dsgetdc:it.abc.local /force命令，我们来分析DNS的解析过程是否有问题，结果如下图所示：

　 　在进行此步调试的时候，仍然需要将DC01处于脱机状态，客户端的DNS指向DC02并且清除DNS缓存。但我们从抓包所看DNS解析是没有问题。客户 端请求解析_ldap.tcp.default-first-site-name._sites.dc._msdcs.it.abc.local所对应的 SRV记录，DC02也为此返回了正确的地址。

　　接下来检查DC02上KDC和Netlogon的运行状态，使用的命令如下：sc query 服务，如下图所示：

　　这两个服务也算正常，但是当我们使用net share查看共享的时候，却看不到netlogon和sysol这两个共享文件夹，显示如下图所示：

---

圆满解决

　　下面的操作就有点复杂了，我们要想办法实现netlogon和sysvol的自动共享，其中sysvol 文件夹是安装AD时创建的，它用来存放组策略和脚本相关信息，用户登录或计算机启动时，会首先在SYSVOL文件查找组策略和启动脚本。而且此文件夹中的 信息，会自动复制到域中所有DC上。那现在DC02上没有出现，我们就需要想办法从DC01复制过来，同理，当sysvol文件夹复制成功 后，Netlogon文件夹也会一起出现。方法如下：

　　步骤1：net stop ntfrs 首先停止文件复制服务

　　 步骤2：删除或者是改名 c:\windows\ntfrs\jet\netfrs.jdb;c:\windows\ntfrs\jet\sys\edb.chk; c:\windows\ntfrs\jet\log\edb.log、es00001.jrs、edbres00002.jrs三个文件。可以删除也可以 改名。

　　步骤3：修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NtFrs\Parameters\Backup/Restore\Process at Startup在右边找到BurFlags由0改为D2。如下图所示：

　　最常见的值 BurFlags 注册表项是：D2称为非授权模式还原;D4称为的授权模式还原。

　　步骤3：net start ntfrs 再启动文件复制服务。

　　步骤4：稍等五分钟左右，检查应用程序和服务日志下的文件复制服务日志：

　 　看到此图中存在13554的日志，入站源和出站目标是dco1，一般就说明已经从DC01上开始进行文件复制了。此时，最好在dc01上也重新启动 Ntfrs服务。此时就可以使用net share查看sysvol文件夹是否出现。如果还未出现，可以使用命令： repadmin /showrepl 查看复制AD复制状态。

　　很显示，复制没有成功。看来革命尚未成功，同志仍需努力。接下来我们需要利用repdump.exe工具进行检查：

　　Rpcdump的作用是：查询远程过程调用 (RPC) 终结点的状态及有关 RPC 的其他信息。

　　然后分析生成的rpcdump.txt文件，下面我们摘抄一部分分析：

　　其中Protseq:ncacn_ip_tcp： 也有可能是ncacn_http协议等， 为RPC over HTTP 选择指定的协议序列。Endpoint:49662：定RPC 服务器进程为远程过程调用侦听的TCP/IP 端口。

　　Annotation：ntfrs API：相应的服务。Stringbinding: ncacn_ip_tcp:dc01.it.abc.local[49662]：连接字符串，协议名：对方主机名：端口。

　　在此次故障中，是因为手动指定了文件复制服务所使用的端口，而此端口可能与其他服务存在冲突，所以需要将文件复制服务所使用的端口改为动态分配，方法是需要修改注册表，如下图所示：

　 　需要将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ntfrs \Paramenters中的Rpc Tcp/ip Port Assigment删除。如果你打开某台DC，没有这一项则说明文件复制服务使用的端口是动态分配。如果是手动的，则需要考虑是否与其他端口冲突。查看某 端口是否冲突也很简单，使用下面的命令：

　　Netstat –abon >c:\netstat.txt 此命令执行结束后，从此文本命令中查找该端口(如49153)所对应的PID。

　　如下图所示：

　　可以看到49153被eventlog程序所用，PID是824。然后使用下面的命令tasklist/svc，可以进一步824所对应的具体程序或服务：

　 　通过以上两个命令就可以找出服务所使用的端口信息，以及文件复制服务所用的端口是否存在冲突。另外，如果需要检测135端口，也可以使用Netstat –abon >c:\netstat.txt分析，在另一台DC上使用telnet远程测试一下： telnet dc02.it.abc.local 135，在此不再论述。

　　经过以上步骤的分析和操作，故障基本上就可以解决了，在节点server1上执行nltest /dclist:it.abc.local命令返回DC信息，如下图所示：

　　好了，我们此次故障算是圆满解决了。也希望大家能从此篇文章中有所收获，如果你在工作中遇到了此问题，也希望与你交流。本文来自：http://server.it168.com/a2012/0712/1371/000001371360_2.shtml