Tartományi Group Policy Windows XP SP3 klienseken!

All replies

• 

  

  0

  Sign in to vote

  Hali,
  
  A kliens gépeken az eseménynaplóban milyen hibák vannak? Látják a DC-t rendesen? (a futtatásba: %logonserver% és sysvol foldert keresd).
  Szerveren ugyan megy, de egy RSoP-t nem ártana megnézni. A gpupdate /force -ra mit mond?
  
  Üdv.

  Tuesday, August 18, 2009 7:51 PM
• 

  

  0

  Sign in to vote

  Mintha remlene, hogy regebben gepet nem tudtam tartomanyba leptetni, mert az ISA-n nem volt RPC engedelyezve... En az ISA korul gyanakodnek...
  
  A.

  Wednesday, August 19, 2009 5:56 AM
• 

  

  0

  Sign in to vote

  Hali!
  
  Először is köszönöm a figyelmet. Tehát, az eseménynapló Alkalmazás mappájában a következő hibát jegyezte be:
  "A Windows nem tudja megszerezni a számítógép-hálózat tartományvezérlőjének nevét. (Nem várt hálózati hiba történt. ). A csoportházirend-feldolgozás megszakadt." (Eseményazonosító: 1054) Ezen kívül más hibabejegyzés nincsen. A futtatásban a %logonserver% a \\tartományvezérlő -re mutat, melyen a NETLOGON és SYSVOL nevű megosztások vannak. A NETLOGON folder teljesen üres, ha esetleg ez számít valamit. Az RSoP-t futtatva hiba lép fel a következő üzenettel:
  Az eredő házirend adatai érvénytelenek. Valószínűleg megsérültek az adatok, vagy pedig törölték, illetve létre sem hozták őket. Részletek: Érvénytelen névtér
  A szerveren lefut az RSoP, nem jelez különösebb hibát.
  A gpupdate /force -ra a következő történik:
  Házirned frissítése...
  User - a házirendfrissítés befejeződött.
  Computer - a házirendfrissítés befejeződött.
  
  Remélem nem reménytelen a helyzet!
  
  Áron

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 8:42 AM
• 

  

  0

  Sign in to vote

  Igen, az RPC engedélyezve van, amíg nem volt egy Rule létrehozva neki, addig be sem engedte léptetni a tartományba a gépeket. Tehát elméletileg ezzel nincsen gond. Természetesen, ettől még lehet, hogy az ISA körül van a gáz.

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 8:44 AM
• 

  

  0

  Sign in to vote

  A Sysvol mappa az érdekes neked, mert abban van egy mappa a domain névvel, majd az alatt kell legyen, hogy policies és az alatt a policy-k GUID mappái.
  Azokat látod? Még körbenéznék a DNS terén is azért! A gpupdate után sem jönnek le a GPO-k? Még valami a kliensek LAN-on vagy Wifi-n vannak?
  
  Üdv.

  Wednesday, August 19, 2009 10:49 AM
• 

  

  0

  Sign in to vote

  A Sysvol mappában pontosan azok vannak amiket írtál, megvannak a User ID nevű mappák. A gpupdate után nem lesz változás, a gpresult eredménye ugyan az marad. Minden kliens LAN-on keresztül csatlakozik a hálózathoz, WiFi egyáltalán nincsen.
  A DNS-nél milyen problémák lehetnek?
  
  Áron

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 11:16 AM
• 

  

  0

  Sign in to vote

  Nem hangzik jól a dolog, mert ISA alaptelepítés után engedélyezi az AD kommunikációt, semmit nem kell létrehozni. Tehát ISA szabályokat, logokat kellene nézni. Aztán meg kliensen nslookup, ilyesmi.

  Wednesday, August 19, 2009 12:17 PM
• 

  

  0

  Sign in to vote

  RPC-t sem kell külön engedélyezni, Vista 64bit és ISA 2004 esetén fordult elő, hogy eldobálta a hibásnak vélt RPC csomagokat.

  Wednesday, August 19, 2009 12:24 PM
• 

  

  0

  Sign in to vote

  Igen, és ami még esetleg gond lehet, ha nem Windows tűzfalat használsz akkor az még blokkolhat dolgokat vagy valami spam írtó.
  Lehet érdemes lenne egy "tiszta telepítésű" sp3-at tesztként hozzáadni az AD-hoz.
  
  Üdv.

  Wednesday, August 19, 2009 12:25 PM
• 

  

  0

  Sign in to vote

  Az nslookup-re ezt dobja:
  
  Nem található kiszolgálónév a címhez (192.168.0.1): Non-existent domain
  Az alapértelmezett kiszolgálók nem érhetők el.
  Alapértelmezett kiszolgáló: UnKnown
  Adress: 192.168.0.1
  
  Ezt kapom akkor is, ha a kliens tartományi tagként van belépve, és akkor is, ha az XP úgy indul el, ha egyszerűen csak Munkacsoporthoz tartozik.
  A DNS Eseménynaplójában ez a bejegyzés kerül bele, meglehetősen szép számmal:
  
  A DNS-kiszolgáló nem tudta befejezni a zóna (Gyafa.local) enumerálását a címtárban. A DNS-kiszolgáló úgy van konfigurálva, hogy a zóna információit az Active Directoryból vegye, így a címtár nélkül ne tudja betölteni a zónát. Ellenőrizze, hogy az Active Directory megfelelően működik-e, és enumerálja újra a zónát. A bővített hibakeresési információ (amely lehet üres is): "". Az eseményadatok tartalmazzák a hibát.
  
  Gyanítom, hogy akkor ezek szerint vagy a DNS nem jó, vagy maga az AD nem működik megfelelően.
  
  Ha az ISA-ban nem engedélyeztem az RPC protokollt, akkor az történt, hogy amikor a klienseket átállítottam, hogy tartományba lépjenek be, akkor nem engedte és különbőző hibaüzeneteket kaptam, mint például "A csomópont végpontjai elfogytak." .
  
  Ezek szerint akkor jobb lenne az egészet újratelepíteni? Ahogy olvastam több helyen is, nem ajánlott ISA és AD egy gépen.
  Vagy még menthető?

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 1:07 PM
• 

  

  0

  Sign in to vote

  A klienseken csak a Windows-os tűzfal van, bekapcsolt állapotban. Arra én is gondoltam, hogy egy friss XP-t megpróbálni beléptetni, egy laptoppal meg is próbáltam, de ugyan ez volt a helyzet. Jobb lenne megpróbálni feltenni újra a Szervert?

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 1:10 PM
• 

  

  0

  Sign in to vote

  Ez nagyon DNS hibának tűnik. Dcdiag-ot futtatál már?
  
  Szerintem ez segíthet:
  
  http://technet.microsoft.com/en-us/library/bb727055.aspx
  
  Gondolom mikor írtad a kliens DNS beállításaira, hogy "belső IP" cím akkor a DC-re gondoltál amin fut a DNS, ugye?
  
  Üdv.

  • Edited by Krisz21 Wednesday, August 19, 2009 1:31 PM

  Wednesday, August 19, 2009 1:22 PM
• 

  

  0

  Sign in to vote

  A dcdiag a következőt adja vissza:
  
  Starting test: RegisterInDNS
     This domain controller cannot register domain controller Locator DNS
     records. This is because it cannot locate a DNS server authoritative for
     the zone gyafa. This is due to one of the following:

     1. One or more DNS servers involved in the name resolution of the gyafa
     name are not responding or contain incorrect delegation of the DNS zones;
     or

     2. The DNS server that this computer is configured with contains
     incorrect root hints.

     The list of such DNS servers might include the DNS servers with which
     this computer is configured for name resolution and the DNS servers
     responsible for the following zones: gyafa

     Verify the correctness of the specified domain name and contact your
     network/DNS administrator to fix the problem.

     You can also manually add the records specified in the
     %systemroot%\system32\config\netlogon.dns file.

  
     ......................... server1 failed test RegisterInDNS
  
  Közben megnéztem a linket, amit küldtél, igyekszem alaposan végignézni, hátha összejön valami.
  Természetesen a klienseknél arra az IP-re gondoltam, ami a DNS szerver IP címe. Tehát a szerver IP címe 192.168.0.1, ezen fut az AD, DNS és ISA, és ezt a címet állítottam be a klienseknek.

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 3:39 PM
• 

  

  0

  Sign in to vote

  Egy gépen az ISA, DC, DNS, stb.. Ha ez nem egy SBS szerver nem igazán szerencsés összeállítás!
  Az ISA-t mindenképp külön vasra tenném, hacsak ez nem egy teszt rendszer. Ha már így van csak ötlet. Lehet a DNS-t nem engedi így az ISA, talán kellene egy policy neki.
  
  Üdv.
  
  

  Wednesday, August 19, 2009 4:27 PM
• 

  

  0

  Sign in to vote

  Igen, ha másért nem is, csak ilyen problémák elkerülése végett nyilván érdemes külön gépre tenni. Azért köszönöm a segítséget, sajnos még elég kezdő vagyok, de amint látni, tanulni való akad bőven.
  
  Áron

  ---

  Intel Quad XEON

  Wednesday, August 19, 2009 4:45 PM
• 

  

  0

  Sign in to vote

  Ez mindent megmagyaráz. Az ISA alapértelmezett szabályai engedik ugyan a hálózatban az AD-hoz kapcsolódó forgalmat, na de az ISA felé persze nem. Szóval szét kellene választani, vagy egy rakás szabályt módosítani a System Policy-ban.

  • Marked as answer by Othorvath Sunday, October 18, 2009 10:37 PM

  Wednesday, August 19, 2009 9:05 PM
• 

  

  0

  Sign in to vote

  Egyetertek. Vagy masik gepre rakni az ISA-t, vagy teljesen leszedni (ideiglenesen), de utana meg megneznem az AD-DNS beallitasait. A DNS AD-integralt?
  
  Flowman: nem csak Vista eseten talalkoztam az RPC-hibaval, hanem XP eseten is...
  
  A.

  Thursday, August 20, 2009 4:55 PM