none
Nefungující GPO, DNS

    Dotaz

  • Dobrý den,

    omlouvám se, ale jsem v otázce serverů nováček. Doufám, že Vás svým dotazem nebudu příliš obtěžovat, ale každý nějak začínal předem děkuji za odpověď už si nevím rady.

    Takže k věci: dostal jsem za úkol zjistit důvod chyb a zprovoznit server na jedné škole. Problém je v tom, že je zde server s AD (Windows server 2003 standart edition sp2) a server, který slouží jako terminál (windows server 2008 R2 Enterprise SP1). Na tomto serveru (terminál) jsou dva disky jeden síťový rychlý disk s relativně malou kapacitou a druhý velký. Protože ve škole je spousta uživatelů síťový disk se příliš rychle zaplňoval a bylo potřeba nastavit v GPO přesměrování složek studentů na ten větší disk. Tato GPO je aplikována na organizační jednotku, ve které se nachází všichni studenti.

    Problémy:

    s GPO: když se přihlásím přes terminál za studenta jeho složka se vytvoří na C v users místo na D kde má být přesměrována, na D ve složce, kde se měli složky vytvářet, je celá řada složek studentů, ale jsou jakoby prázdné. Zkoušel jsem to aplikovat na celou doménu a přihlásit se na server s AD jako administrátor a složky se mi přesměrovali.

    Problém s aktualizacemi: aktualizace nejdou nainstalovat na server s AD.

    DNS: DNS v protokolu událostí neustále hlásí chybu s ID 7062 (zkoušel jsem projít body, které jsou pro tuto chybu popisovány a nenašel jsem problém) a ID 3000, že je DNS přeplněna.

    Důležitá informace je, že dříve jely AD na jiném serveru, ale byly nejspíš replikovány na stávající server, který se stal řadičem domény.

    Všechny zmíněné úkony, byly provedeny na test serveru po vytvoření VHD nikoli na ostrém serveru.

    Zkoušel jsem pomocí ntsutil přenést role serveru. Použil jsem i ntsutil metadata cleanup, ale neobjevil se mi tu jiný řadič domény ani server. Zkoušel jsem odinstalovat DNS a nastavit znovu. Zkoušel jsem nastavit GPO pro nově vytvořenou organizační jednotku s uživatelem, ale bez výsledku jakoby tam žádné GPO nebyly. 

    Podotýkám, že o server se pár let nikdo nestaral a já osobně jsem na něm nic nenastavoval, proto je dost těžké hledat příčinu problému.

    Předem děkuji za případnou pomoc a ochotu...uvědomuji si, že můj dotaz je obsáhlý, ale nevím jak jinak bych Vás zasvětil do dané problematiky.



    23. ledna 2014 9:29

Odpovědi

Všechny reakce

  • 1. GPO na terminalu: začal bych eventlogem a tím, že bych si vygeneroval výslednou sadu zásad pro konkrétního uživatele na TS. Od toho bych se odpíchnul.

    2. DNS: jaké DNS servery máš nastaveny ve vlastnostech TCP/IP protokolu na serveru?

    3. Aktualizace: co říka eventlog a windowsupdate.log?


    BB

    • Označen jako odpověď Onc_junior 23. ledna 2014 15:51
    23. ledna 2014 9:42
  • 1. Zkusil jsem nového uživatele, zde se mi GPO uplatnila. Je ve stejné organizační jednotce jako všichni studenti a má stejná práva, je i členem stejné skupiny.

    Zkusil jsem vygenerovat rsop u jednoho studenta a zde GPO přesměrování složky uplatněno není, ale pro danou organizační jednotku nastaveno je a na nového uživatele se uplatnilo.

    2. dns je nastaveno na serveru s Active directory na 127.0.0.1 a na TS je pro DNS nastavena IP serveru s AD.

    3. eventlog pro windows update hlásí, že se připojení ke službě automatických aktualizací nezdařilo (nelze navázat). Stažení a instalaci nelze spustit. Pokus bude opakován. 

    Když zapnu Windows Update a dám vyhledat aktualizace najde mi je to, ale když je dám instalovat nenainstaluje se ani jedna ze 139. windowsupdate.log je plný varování s chybovým kódem 80072efe

    PS: děkuji za ochotu :)

    23. ledna 2014 15:31
  • Ad 1.) A nemáš na té politice nějaké filtry? Jinak nevidím důvod, aby se na některé uživatele z OU aplikovala a na jiné ne. Možná bych zkusil vytvořit novou politiku.

    Ad 2.) Tvůj DNS server na DC je nastavený jako forwarder nebo se ptá root serverů? Zkus zrušit forwarding.

    Ad 3.) Řešilo se tady: http://social.technet.microsoft.com/Forums/ie/en-US/0ce7c1e6-7ef2-48e1-b7c9-c8f1e97c71d5/error-code-80072efe?forum=itprovistaie Podívej se, jestli Ti to nebude k užitku.


    BB

    • Označen jako odpověď Onc_junior 28. ledna 2014 14:36
    23. ledna 2014 15:57
  • Děkuji, podívám se na to, momentálně jsem časově indisponován. Jakmile se k tomu dostanu napíšu sem své poznatky mělo by to být ještě tento týden.
    28. ledna 2014 14:39
  • Mám nové poznatky. Server je připojený k internetu přes proxy. Po vypnutí proxy na testovacím serveru se mi podařilo nainstalovat aktualizace. Takže problém bude v proxy. 

    Po nainstalování aktualizací jsem odstranil starou politiku a vytvořil novou se stejnými parametry a aplikoval na server. Nyní mi fungují politiky jak mají, aktualizace taktéž, ale DNS neustále háže upozornění:

    Tento server DNS nalezl paket, který je adresován zpět tomuto serveru DNS. Adresa IP je (IP serveru s AD). Paket je pro název DNS_ldap._tcp.Default-First-Site._sites.dc._msdcs.(název domény). Tento paket bude zahozen.....

    ID7062

    potom další hlášky stejné jen je tam gc._msdcs.(název domény), _ldap._tcp.pdc._msdcs.(název domény), _kerberos._tcp.Default-First-Site._sites.dc._msdcs.(název domény), _kerberos._tcp.dc._msdcs.(název domény), 7941d1bc-13c0-4617-aca3-e515abd26607._msdcs.(název domény), _ldap._tcp.b31ace10-9118-4aed-9d82-a1213c153857.domains._mdscs.(název domény)

    Omlouvám se, ale nejsem ještě moc zběhlý takže info k DNS: na síťové kartě DC je nastaveno jako primární DNS 127.0.0.1, v dns v záznamech NS atp. je nastavena adresa IP DC

    Prosím o možné příčiny, možná to bude banalita, ale mějte semnou strpení :). Předem děkuji.

    6. února 2014 10:40
  • Proxy je nastaven (pomoci proxycfg resp. netsh) jak? Pozor, automaticke aktualizace neprojdou pres proxy server, ktery vyzaduje autentikaci: pro aktualizace povol neautentikovany pristup.

    MP

    • Označen jako odpověď Onc_junior 6. února 2014 11:00
    6. února 2014 10:47
    Moderátor
  • Když zadám proxycfg.exe napíše to, že je tam přímý přístup bez serveru proxy. Proxy byl nastaven pomocí Default domain policy kde jsem ho zrušil a poté mi začali aktualizace fungovat. Ten přímý přístup to píše u testovacího serveru i u ostrého kde je stále ta proxy pomocí doménové politiky nastavena.
    6. února 2014 10:59
  • Ok chápu, že už se Vám nechce semnou piplat. Nicméně vše již funguje proxy nějak blokovala aktualizace, které se nechtěli ani stáhnout - vyřešeno usb modemem s mobilním připojením, pomocí kterého jsem stáhl a nainstaloval aktualizace. Poté již aktualizace fungují i se zaplou proxynou. DNS chybové hlášky jsem vyřešil podle http://support.microsoft.com/kb/272020/cs tím, že jsem každé vytvořil fiktivní zónu. Teď je protokol událostí DNS prázdný. GPO mi nyní fungují, ale:

    Na Windows Serveru 2003 Standart Edition SP2 je možnost přesměrovat pouze Data aplikací, Dokumenty a Plocha + Nabídka start, ale nejvíc prostoru zabírá složka AppData, která se vytvoří na Tserveru, který běží na Windows Server 2008. 

    Dá se nějakým způsobem tato složka také přesměrovat? Prosím pokud Vás něco napadne poraďte.

    12. února 2014 11:18
  • Jak přesměrovat složky máš pospané tady: http://technet.microsoft.com/en-us/library/cc732275.aspx

    Ale Tvůj problém může být v tom, že se snažíš aplikovat politiky Serveru 2003 (reps. Win XP) aplikovat na Server 2008 (Win 7).

    Spusť GPMC konzolu z operačního systému Server 2008 a Win 7, možnost přesměrovat AppDaty by měla být dostupná.


    BB




    • Upravený Bohdan Bijecek 12. února 2014 12:55 Překlepy . . .
    • Označen jako odpověď Onc_junior 13. února 2014 10:37
    12. února 2014 12:54
  • Ano to vím, ale problém je v tom, že AD jsou na serveru s Win Serverem 2003 a profily se vytváří na serveru s Win Serverem 2008. Kde je pro C síťový disk který má jen 140GB a je hodně zaplněn. Pomocí doménové politiky jsou Data aplikací, Dokumenty a Plocha přesměrovány na druhý disk v serveru, ale pořád je zabrána spousta místa a právě AppData to zabírají. Takže doménovou politikou na danou OU to nenastavím páč je na Serveru 2003 no a když jsem si dal přidat politiku přes MMC konzoli na Serveru 2008 tak možnost přesměrování složky tam chybí. 

    Takže z toho nejspíš plyne, že se stávajícím systémem, není možnost složku AppData přesměrovat.

    Děkuji za ochotu mi pomoct. 

    13. února 2014 10:44
  • Opravdu na Serveru 2008 možnost pro přesměrování složky není? To se mi nezdá. Nemůžeš vypublikovat printscreen?

    BB

    13. února 2014 11:22
  • Bohužel nemůžu ještě vkládat obrázky ani odkazy, ale nevím jestli si rozumíme AD jsou na WS 2003 zde jsou vytvoření všichni uživatelé a taky OU, na kterou je aplikována doménová politika pro přesměrování složek do úložiště na terminal serveru s WS 2008. Všichni uživatelé se logují s tenkých klientů jen na terminal server. Tam se jim vytvoří profil na C: a přesměrované složky jdou na druhý disk na tomto serveru. Zde AD nejsou a já jsem volil cestu přes MMC konzolu přidáním modulu snap-in Editor objektů zásad... tam v nastavení uživatele a systému windows není možnost přesměrování složky jsou tam pouze scripty, nastavení zabezpečení, nastavení QoS a instalované riskárny. 
    13. února 2014 13:13