none
Modification GPO impossible

    Discussion générale

  • Bonjour,

    Sur un serveur 2012 R2 avec pour rôle AD / DNS j'ai un message d'erreur lors de ma modification de GPO

    ---------------------------
    Modèles de sécurité
    ---------------------------
    Paramètre incorrect.

    Impossible d’enregistrer \\fqdn\SysVol\fqdn\Policies\{A857C109-3E8D-4C02-960E-A84BBBF9A7BC}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf. Assurez-vous que cet objet existe.

    Après vérification le fichier GptTmpl.inf existe. lors de la modification de la GPO dans le répertoire au moment du message d'erreur j'ai un fichier GptTmpl.inf qui apparait.

    J'ai vérifié les droits dans le répertoire Sysvol ainsi que sur le fichier lui même et c'est identique à un autre AD. j'ai effectué des test DCDiag et j'ai l'erreur suivante :

             Résumé des résultats des tests DNS:

             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Domaine: fqdn

                   DELLR210                     PASS PASS FAIL PASS PASS PASS n/a  
             
             Durée totale écoulée pour tester tous les contrôleurs de domaine:

             3 min. 31 sec.

             ......................... Le test DNS

              de fqdn a échoué

    J'ai essayé avec plusieurs utilisateurs admins du domaine ou du groupes d'administration mais ça ne change pas.

    J'ai pas mal parcourus le web mais sans succes. Si une personne à des pistes à me donner ou une idée.

    Merci.

    mardi 14 novembre 2017 12:39

Toutes les réponses

  • Bonjour Megaouf,

    Veuillez consulter l'article suivant :
    https://technet.microsoft.com/en-us/library/cc526683.aspx

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 15 novembre 2017 11:19
    Modérateur
  • Bonjour,

    Sur un serveur 2012 R2 avec pour rôle AD / DNS j'ai un message d'erreur lors de ma modification de GPO

    ---------------------------
    Modèles de sécurité
    ---------------------------
    Paramètre incorrect.

    Impossible d’enregistrer \\fqdn\SysVol\fqdn\Policies\{A857C109-3E8D-4C02-960E-A84BBBF9A7BC}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf. Assurez-vous que cet objet existe.

    Après vérification le fichier GptTmpl.inf existe. lors de la modification de la GPO dans le répertoire au moment du message d'erreur j'ai un fichier GptTmpl.inf qui apparait.

    J'ai vérifié les droits dans le répertoire Sysvol ainsi que sur le fichier lui même et c'est identique à un autre AD. j'ai effectué des test DCDiag et j'ai l'erreur suivante :

             Résumé des résultats des tests DNS:

             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Domaine: fqdn

                   DELLR210                     PASS PASS FAIL PASS PASS PASS n/a  
             
             Durée totale écoulée pour tester tous les contrôleurs de domaine:

             3 min. 31 sec.

             ......................... Le test DNS

              de fqdn a échoué

    J'ai essayé avec plusieurs utilisateurs admins du domaine ou du groupes d'administration mais ça ne change pas.

    J'ai pas mal parcourus le web mais sans succes. Si une personne à des pistes à me donner ou une idée.

    Merci.

    Vérifier les permissions effectives de sécurité sur vos GPO : il semble que celle-ci aient été modifiées. Pour rappel, les GPO ont des permissions sur l'annuaire (manipulation de l'objet) et sur le dossier SYSVOL (manipulation des fichiers).

    mercredi 15 novembre 2017 12:38
  • Si vous faites repadmin /showrepl vous avez des erreurs ?

    Combien de DC ?

    Quel DNS primaire et secondaire ?

    Vous utilisez des zones DNS intégrés AD sur vos DCs ?

    Les mises à jours sécurisées sont autorisées ?

    Dans DNS vous avez bien une zone msdsc et une zone au nom du domaine ?

    Le répertoire SYSvol est identique sur tous les DCs? 


    mercredi 15 novembre 2017 17:49
    Modérateur
  • Bonjour et merci pour vos réponses.

    Voici pour les informations manquantes :

    Nous avons 1 seul DC qui détient tous les rôles pour l'AD avec le DNS intégré. seul le DNS primaire est renseigné correctement en 127.0.0.1. Les mises à jour dynamiques sont en sécurisé seulement.

    J'ai bien la zone _msdcs.fqdn dans le DNS.

    Teodora j'ai vérifie les enregistrements DNS est tout est bon. j'ai effectué le test à la fin et j'ai reçu la réponse suivante :

       Démarrage du test: RegisterInDNS

          La configuration DNS est suffisante pour autoriser ce contrôleur de
          domaine … inscrire dynamiquement les enregistrements de contrôleur de
          domaine dans le système DNS.
          La configuration DNS est suffisante pour autoriser cet ordinateur …
          inscrire dynamiquement l'enregistrement A correspondant … son nom DNS.
          ......................... Le test RegisterInDNSde DELLR210 a réussi

    Voici le resultat de la commande repadmin /showrepl :

    Repadmin: exécution de la commande /showrepl sur le contrôleur de domaine complet localhost
    Default-First-Site-Name\DELLR210
    Options DSA: IS_GC
    Options de site: (none)
    GUID de l'objet DSA: bc9868b0-83de-4c0e-92e1-334ec149d6fe
    ID de l'invocation DSA: bc9868b0-83de-4c0e-92e1-334ec149d6fe

    Loic, je ne suis pas certain alors je préfères demander, les permissions sur l'annuaire se trouvent bien dans la console Utilisateurs et ordinateurs Active directory > System > Policies?

    dans l'annuaire j'ai 4 objets marqué comme inconnu et après versification qui n'existe pas/plus dans le répertoire sysvol et la console Gestion des stratégies de groupe.

    j'ai aussi un message d'erreur lorsque je déroule certaine GPO qui la aussi ne sont plus présente dans le répertoire Sysvol et dans la console de gestion des stratégies de groupe. voici le message :

    ---------------------------
    Services de domaine Active Directory
    ---------------------------
    Les données de {0B095EE0-B78D-4825-9B85-FDB44FEF49B6} ne sont pas accessibles depuis le contrôleur de domaine DELLR210.fqdn car :

    Cet objet ne se trouve pas sur le serveur.
    Réessayez ultérieurement ou choisissez un autre contrôleur de domaine en sélectionnant Se connecter au contrôleur de domaine dans le menu contextuel Domaine.

    Voici des informations supplémentaires qui pourraient être utiles, ou pas :

    • je n'ai pas eu besoin de modifier de GPO depuis au moins 1 mois donc je ne sais pas vraiment quand le problème est apparu.
    • Nous avons un DAG Exchange 2013 et Kaspersky For Exchange a été installé il y a un peu plus d'un mois sans problème particulier.
    • Nous avons un redirecteur conditionnel pour une relation d'approbation avec un second domaine.

    Merci pour votre aide.

    Cordialement.


    • Modifié Megaouf jeudi 16 novembre 2017 15:33
    jeudi 16 novembre 2017 15:33
  • Bonsoir,

    Je me permet de relancer un coup le sujet car je suis toujours bloqué par le problème. Si quelqu'un a une piste à me donner.

    Merci.

    vendredi 24 novembre 2017 18:17
  • Loic, je ne suis pas certain alors je préfères demander, les permissions sur l'annuaire se trouvent bien dans la console Utilisateurs et ordinateurs Active directory > System > Policies?

    Oui mais pour voir la partie sécurité il faut activer les fonctionnalités avancées dans la console.

    Tu arrives à modifier la default domain policy et  la default domain controllers policy ?

    Si tu crée une nouvelle GPO pas d'erreur ?

    Tu peux nettoyer dans l'AD les objets qui n'existe plus dans sysvol ?

    Tu peux essayer de modifier la GPO qui a des erreurs de droits sur Sysvol ?

    vendredi 24 novembre 2017 18:34
    Modérateur
  • Vérifie également les droits de délégation de la GPO : j'ai eu la surprise jeudi dernier de découvrir que certains administrateur retirait au groupe "authenticated users" le droit de lecture, ce qui rend l'accès depuis le sysvol impossible aux utilisateurs non spécifiquement défini (ce qui inclus les admins dans une session non élevée).
    samedi 25 novembre 2017 10:13
  • Bonsoir à tous et merci pour vos réponses.

    Je m'excuse pour le temps de réponse mais j'ai eu d’autres problèmes à gérer.

    Alors j'arrive bien à modifier les GPO default domain policy et default domain controllers policy.

    J'arrive effectivement à créer une GPO et je peux la modifier. Mais si je touche aux groupes restreints ou services etc dans Paramètres de sécurité j'obtiens toujours le message d'erreur :

    ---------------------------
    Modèles de sécurité
    ---------------------------
    Paramètre incorrect.

    Impossible d’enregistrer \\fqdn\SysVol\fqdn\Policies\{A857C109-3E8D-4C02-960E-A84BBBF9A7BC}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf. Assurez-vous que cet objet existe.

    Je peux modifier la GPO en erreur, j'ai ajouté des groupes restreints directement dans le fichier GptTmpl.inf puis après avoir modifier un paramètre dans la GPO avec la console j'ai bien les groupes restreints de listé. Mais si je les modifies par la console j'ai de nouveau le message d'erreur sans prise en compte des changement.

    Merci et bonne soirée.

    lundi 11 décembre 2017 21:17