none
win2008r2, group policy folder redirection non applicata, solo per alcuni utenti, dopo cambio percorso cartelle reindirizzate RRS feed

  • Domanda

  • Buongiorno a tutti,

    server 2008r2 con client win7

    da circa un mese ho cambiato (via group policy) il percorso delle cartelle reindirizzate per alcuni utenti: da \\server1\userdata$\%username% a \\server2\userdata$\%username%. In questi percorsi sono salvate le cartelle documenti, desktop, menu avvio degli utenti.

    Il cambio è avvenuto senza problemi, le cartelle sono migrate da un server all'altro, man mano che gli utenti effettuavano i vari logoff/logon. I permessi sulle cartelle sono corretti.

    La policy è applicata a una OU, e viene replicata correttamente sui 3 domain controller.

    Da un paio di giorni accade che solo 2 utenti, quando si loggano sul loro pc abituale, si trovano il loro desktop e la loro cartella documenti abituale. (quella sul nuovo percorso \\server2\userdata$\%username%)
    Se invece si loggano su un terminal server, si ritrovano vecchi dati che risiedevano su \\server1\userdata$\%username%.

    Ho effettuato queste prove:
    eliminato il profilo utente sul terminal server, e poi ri-loggato
    gpupdate /force (qui dà un errore e dice che deve effettuare una disconnessione)
    gpupdate /logoff
    ho provato gpresult /h c:\temp\profilo.htm
    Quest'ultima prova se effettuata sul pc locale, indica il percorso corretto, se effettuata sul server terminal, indica il vecchio percorso.

    In pratica è come se loggandomi sul server terminal, non venissero applicate le policy.
    Da qualche parte, sul terminal server, rimangono le vecchie impostazioni.

    Se spengo fisicamente il server1, e provo a loggarmi sul server terminal, ottengo all' avvio l'errore: impossibile accedere al percorso \\server1\userdata$\utente\desktop.

    Cosa posso controllare?

    Grazie

    marco

    ps: da gpresult:  Impossibile eseguire Folder Redirection a causa dell'errore riportato di seguito.
    Impossibile completare la funzione.  È possibile che siano state registrate informazioni aggiuntive. Esaminare gli eventi tra 24/02/2017 19:27:36 e 24/02/2017 19:28:07 nella scheda Eventi criteri della console oppure nel registro eventi applicazioni.

    dal registro eventi:
    Nome registro: System
    Origine:       Microsoft-Windows-GroupPolicy
    Data:          24/02/2017 19:28:07
    ID evento:     1085
    Categoria attività:Nessuna
    Livello:       Avviso
    Parole chiave:
    Utente:        nomedominio\Simo
    Computer:      terminalserver.dominio.local
    Descrizione:
    Impossibile applicare le impostazioni Folder Redirection. È possibile che per le impostazioni Folder Redirection sia disponibile un file di registro specifico. Fare clic sul collegamento "Ulteriori informazioni".
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>1085</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>1</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2017-02-24T18:28:07.917478100Z" />
        <EventRecordID>129358</EventRecordID>
        <Correlation ActivityID="{BD90F7C8-3DC2-4B57-9426-EF59FF51B85A}" />
        <Execution ProcessID="960" ThreadID="5100" />
        <Channel>System</Channel>
        <Computer>terminalserver.dominio.local</Computer>
        <Security UserID="S-1-5-21-2505998712-4029162006-896648778-1289" />
      </System>
      <EventData>
        <Data Name="SupportInfo1">1</Data>
        <Data Name="SupportInfo2">4432</Data>
        <Data Name="ProcessingMode">1</Data>
        <Data Name="ProcessingTimeInMilliseconds">32324</Data>
        <Data Name="ErrorCode">1003</Data>
        <Data Name="ErrorDescription">Impossibile completare la funzione. </Data>
        <Data Name="DCName">\\NomeDC.local</Data>
        <Data Name="ExtensionName">Folder Redirection</Data>
        <Data Name="ExtensionId">{25537BA6-77A8-11D2-9B6C-0000F8080861}</Data>
      </EventData>
    </Event>




    • Modificato mrcmobile venerdì 24 febbraio 2017 21:34
    venerdì 24 febbraio 2017 20:51

Risposte

  • fai loggare uno di questi utenti in sessione terminal, fagli lanciare dalla sessione terminal un gpupdate /force e controlla gli errori nel registro eventi della sessione teminal per individuare per quale motivo non viene cambiato il path della folder redirection.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    martedì 7 marzo 2017 10:17
    Moderatore

Tutte le risposte

  • Ciao, hai verificato se i tre DC sono replicati correttamente?

    Quando spegni "server1" che penso sia uno dei tre DC l'autenticazione deve avvenire da uno degli altri due DC.  Una volta spento il DC dovresti riavviare il server RDS per verificare con quale dei rimanenti DC si autentica.

    Verifica la presenza degli eventi così come riportato nella seguente Library https://technet.microsoft.com/en-us/library/cc727303%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Saluti
    Nino

    domenica 26 febbraio 2017 11:07
    Moderatore
  • Ciao Nino, grazie per la risposta,

    le repliche tra i vari Dc direi che funzionano, se genero un nuovo utente o faccio qualche variazione sugli utenti esistenti, queste modifiche si replicano sui 3 DC.
    Server1 non è un DC, è solo un file server. Effettuando un dcdiag sul Server2 (DC) vedo questo errore:

    FrsEvent

    Inizio test: Advertising
             ......................... Server2 ha superato il test Advertising
          Inizio test: FrsEvent
             Si sono verificati eventi con avvisi o errori nelle ultime 24 ore dopo
             la condivisione di SYSVOL. Gli errori di replica di SYSVOL possono
             causare problemi con i Criteri di gruppo.
             ......................... Server2 ha superato il test FrsEvent
          Inizio test: DFSREvent
             ......................... Server2 ha superato il test DFSREvent
          Inizio test: SysVolCheck
             ......................... Server2 ha superato il test SysVolCheck
          Inizio test: KccEvent
             ......................... Server2 ha superato il test KccEvent

    lunedì 27 febbraio 2017 07:57
  • esegui net share su tutti i DC per verificare se sono presenti le share di sistema. Se puoi cancella gli eventi e riavvia i DC con cadenza di circa 30min l'uno dall'altro e poi esegui un dcdiag.

    Non mi è chiaro cosa centri "Server1" con l'errore. Oltre ad essere un File Server ha altri ruoli?

    Saluti
    Nino

    lunedì 27 febbraio 2017 10:53
    Moderatore
  • Ciao Nino,

    ho provato netshare: su tutti i DC ci sono le condivisioni Netlogon e sysvol.

    Non mi è possibile riavviare le macchine adesso.
    ho comunque provato DCDIAG:
    su due DC appare l'errore FRSEVENT ma poi il test viene superato

          Inizio test: Advertising
             ......................... xxxxx ha superato il test Advertising
          Inizio test: FrsEvent
             Si sono verificati eventi con avvisi o errori nelle ultime 24 ore dopo
             la condivisione di SYSVOL. Gli errori di replica di SYSVOL possono
             causare problemi con i Criteri di gruppo.
             ......................... xxxxxx ha superato il test FrsEvent

    per quanto riguarda server1: mio errore, mi sono spiegato male.
    Server1 è uno degli attuali DC, dove ho fatto puntare la cartella UserData$ con i desktop degli utenti.

    Server2, è un file server, dove risiedeva la cartella UserData$ con i desktop degli utenti, fino a circa un mese fa.
    Ora succede che, nonostante le policy specifichino che le cartelle reindirizzare debbano risiedere su server1\userdata$\%username%\Deskop .... , per alcuni utenti queste policy vengono ignorate, e questi utenti continuano a trovarsi il desktop sul vecchio percorso server2\userdata$\%username%\Deskop.

    Peggio ancora: Utilizzando lo stesso utente, succcede che se effettuo il login da un certo pc, trovo il desktop su server1, se mi loggo da un altro pc trovo il desktop su server2.

    In definitiva. su alcune macchine non viene applicata la nuova policy di reindirizzamento, anche forzando con gpupdate /force


    lunedì 27 febbraio 2017 11:41
  • Sui due client che a parità di utente presentano differenti percorsi apri un prompt DOS ed esegui echo %LOGONSERVER%. Verifica se il DC indicato è lo stesso.

    Effettua la stessa verifica sugli stessi client con un altro account per capire se è il profilo dell'account oppure se è il client a non recepire la policy.

    Effettua un ulteriore test.  Su un client su cui viene correttamente elaborata la policy verifica a quale dei DC si autentica. Vediamo a quale DC corrisponde tra quelli primi due test.

    E' un test empirico ma vediamo se riusciamo ad isolare un DC su cui puntare l'attenzione per ulteriori test.

    Saluti
    Nino

    lunedì 27 febbraio 2017 11:58
    Moderatore
  • Ciao Nino, ho a disposizione solo un paio di account utente per fare le prove.

    comunque sia, vedo che il comando echo %LOGONSERVER% non restituisce sempre gli stessi risultati.

    A volte un utente si logga su un server, a volte su un altro, non c'è una regola precisa.

    Però ho notato che quando l'utente si logga su un particolare server (che chiamiamo aaa), salta fuori il problema del desktop sul percorso sbagliato.

    il DCDIAG su quel server incriminato riporta l'errore

    Inizio test: Advertising
             ......................... xxxxx ha superato il test Advertising
          Inizio test: FrsEvent
             Si sono verificati eventi con avvisi o errori nelle ultime 24 ore dopo
             la condivisione di SYSVOL. Gli errori di replica di SYSVOL possono
             causare problemi con i Criteri di gruppo.
             ......................... xxxxxx ha superato il test FrsEvent

    '

    lunedì 27 febbraio 2017 12:46
  • Se hai tre DC un riavvio lo farei... Se proprio non puoi verifica quali eventi sono presenti ed eventualmente riportane un paio

    Saluti
    Nino

    lunedì 27 febbraio 2017 13:08
    Moderatore
  • ciao Nico,

    ho provato a riavviare i server sabato, quando non stavano lavorando. Non è servito.

    Comunque adesso dopo innumerevoli login/logoff da macchine diverse, con due utenti a campione, ho quasi isolato il difetto.

    Noto tramite echo %LOGONSERVER%, che quando il login avviene su un particolare server, il desktop viene caricato sul vecchio percorso (teoricamente non piu' in uso)

    Sulla macchina appare l'avviso evento 501, non ci sono errori:
    Applicazione del criterio e reindirizzamento della cartella "Desktop" in "\\VecchioServer\user data$\simo\Desktop" completati.
     Opzioni di reindirizzamento: 0x9009.

    Se provo a cambiare pc, e casualmente il logon viene gestito da un altro DC, allora succede che la cartella Desktop passa dal vecchio al nuovo percorso.

    tipo:

    \\VecchioServer\user data$\simo\Desktop  sbagliato

    a

    \\NuovoServer\user data$\simo\Desktop corretto

    Monitorando le due cartelle, si vedono i file migrare da un desktop all'altro.

    Quando il difetto è presente, Gpresult /h mostra come percorso per il desktop, il vecchio percorso.

    Ma nelle group policy, su nessun server, è presente questa impostazione. La nuova policy di folder redirection è replicata correttamente su tutti i DC

    lunedì 27 febbraio 2017 15:02
  • apri il registro eventi sul dc che provoca il problema quando risulta essere il logonserver, vai in Application and Services logs e poi sotto Directory Service e sotto File Replication Service.

    riporta qui eventuali errori che trovi.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    venerdì 3 marzo 2017 10:37
    Moderatore
  • Ciao Edoardo,

    non ci sono errori sul logon server in concomitanza del verificarsi del problema.
    ci sono errori nel servizio replica file, riferiti ai giorni precedenti, tipo:

    Nome registro: File Replication Service
    Origine:       NtFrs
    Data:          02/03/2017 17:20:17
    ID evento:     13559
    Categoria attività:Nessuna
    Livello:       Errore
    Parole chiave: Classico
    Utente:        N/D
    Computer:      ITS3.nomedominio.local
    Descrizione:
    Il servizio Replica file ha rilevato che il percorso radice della replica è stato cambiato da "c:\windows\sysvol\domain" in "c:\windows\sysvol\domain". Se tale modifica è intenzionale, occorre creare un file con il nome NTFRS_CMD_FILE_MOVE_ROOT nel nuovo percorso radice.
    Ciò è stato rilevato per l'insieme di repliche seguente:
        "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
     
    La modifica del percorso radice della replica è un'operazione a due fasi che viene attivata dalla creazione del file NTFRS_CMD_FILE_MOVE_ROOT.
     
     [1] Al primo poll, che si verificherà entro 60 minuti, il computer verrà eliminato dall'insieme delle repliche.
     [2] Al poll seguente l'eliminazione, il computer verrà aggiunto di nuovo all'insieme delle repliche con il nuovo percorso radice. Tale aggiunta attiverà la sincronizzazione dell'intero albero dell'insieme delle repliche. Al termine della sincronizzazione tutti file si troveranno nel nuovo percorso. L'eliminazione dei file dal percorso originario ha luogo soltanto se i file non sono necessari.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="NtFrs" />
        <EventID Qualifiers="49152">13559</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2017-03-02T16:20:17.000000000Z" />
        <EventRecordID>705</EventRecordID>
        <Channel>File Replication Service</Channel>
        <Computer>ITS3.nomedominio.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>DOMAIN SYSTEM VOLUME (SYSVOL SHARE)</Data>
        <Data>c:\windows\sysvol\domain</Data>
        <Data>c:\windows\sysvol\domain</Data>
        <Data>60</Data>
      </EventData>
    </Event>

    venerdì 3 marzo 2017 15:28
  • siamo sulla strada sbagliata ossia questo errore non è quello che determina il problema.

    il problema iniziale è determinato dal fatto che la policy delle folder redirection vengono correttamente applicate ai client di dominio ma non viene applicata alla macchina chiamata

    terminalserver.dominio.local

    e questo è il motivo del percorso diverso trovato dai due utenti.

    ora precisa anche se il problema riguarda solo quei due utenti quando si collegano in terminal o se ci sono altri utenti terminal per i quali la forder redirection policy è corretta.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    domenica 5 marzo 2017 08:47
    Moderatore
  • Ciao Edoardo,

    il problema riguarda a spot solo alcuni utenti, che fanno parte di quella OU, alla quale ho modificato il folder redirection un mese fa,  da \\server1\userdata$\%username%\Desktop a \\server2\userdata$\%username%

    Gli utenti terminal che non fanno parte delle OU interessate alla modifica delle foldere redirection, non hanno problemi.

    Ho provato a variare manualmente il percorso del desktop dell'utente tramite regedit, una volta che l'utente si era loggato sul server.
    Ho modificato la chiave: "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Desktop" che riportava il percorso sbagliato.
    Al successivo login, si è di nuovo modificata con il percorso sbagliato.

    Quindi immagino che su quella macchina terminal server, da qualche parte, rimanga impostata (solo per alcuni utenti) la vecchia policy di folder redirection, con il vecchio percorso.
    Dove posso cercare questa errata impostazione?

    Grazie


    • Modificato mrcmobile martedì 7 marzo 2017 08:20
    lunedì 6 marzo 2017 18:28
  • fai loggare uno di questi utenti in sessione terminal, fagli lanciare dalla sessione terminal un gpupdate /force e controlla gli errori nel registro eventi della sessione teminal per individuare per quale motivo non viene cambiato il path della folder redirection.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    martedì 7 marzo 2017 10:17
    Moderatore
  • risultato di gpresult /force

    gpupdate /force
    Aggiornamento criteri in corso...

    Aggiornamento dei criteri utente completato.

    Durante l'elaborazione dei criteri utente sono stati generati gli avvisi seguent
    i:

    Estensione di Criteri di gruppo sul lato client (Folder Redirection): impossibil
    e applicare una o più impostazioni. È necessario elaborare le modifiche prima de
    ll'avvio del sistema o dell'accesso dell'utente. Sarà necessario attendere il co
    mpletamento dell'elaborazione dei criteri di gruppo prima del successivo avvio o
     accesso dell'utente. Questo può ridurre il livello delle prestazioni di avvio.
    Aggiornamento dei criteri computer completato.

    Per informazioni più dettagliate, esaminare il registro eventi o eseguire GPRESU
    LT /H GPReport.html dalla riga di comando per accedere alle informazioni sui ris
    ultati di Criteri di gruppo.

    Sono stati attivati dei criteri utente che possono essere
    eseguiti solo alla connessione.

    Disconnettersi?. (S/N)n

    provo la disconnessione e controllo il registro eventi, trovo:


    id evento 510 applicazioni
    L'applicazione del criterio di reindirizzamento delle cartelle è stata posticipata all'accesso successivo perché è attiva l'ottimizzazione dell'accesso a Criteri di gruppo.

    id evento 502 applicazioni
    Impossibile applicare il criterio e reindirizzare la cartella "RoamingAppData" in "\\vecchiopercorso\user data$\simone\Dati applicazioni".
     Opzioni di reindirizzamento: 0x9009.
     Errore: "Impossibile copiare i file da "\\nuovoserver\user data$\Simone\Dati applicazioni" a "\\vecchiopercorso\user data$\simone\Dati applicazioni"".
     Dettagli errore: "File attualmente non disponibile per l'utilizzo nel computer.
    ".

    id evento 1112 system
    Estensione di Criteri di gruppo sul lato client (Folder Redirection): impossibile applicare una o più impostazioni. È necessario elaborare le modifiche prima dell'avvio del sistema o dell'accesso dell'utente. Sarà necessario attendere il completamento dell'elaborazione dei criteri di gruppo prima del successivo avvio o accesso dell'utente. Questo può ridurre il livello delle prestazioni di avvio.

    id evento 1086 system
    Impossibile applicare le impostazioni Folder Redirection. È possibile che per le impostazioni Folder Redirection sia disponibile un file di registro specifico. Fare clic sul collegamento "Ulteriori informazioni".


    Da notare che durante queste operazioni, monitorando le cartelle posizionate sui due server (vecchio e nuovo) vedo le cartelle migrare dal vecchio al nuovo percorso e viceversa


    mercoledì 8 marzo 2017 08:59
  • come vedi ci siamo avvicinati di parecchio, anzi "parecchissimo":

    https://support.microsoft.com/it-it/help/2771101/folder-redirection-policy-fails-after-you-redirect-a-folder-to-a-different-sub-folder-in-windows-7-or-windows-server-2008-r2


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    mercoledì 8 marzo 2017 09:40
    Moderatore
  • ho un dubbio...

    qui dice che il problema si verrifica se sposti la cartella in una sottocartella nella stessa condivisione.

    You use the GPO to configure the folder redirection policy to redirect the document folder to a different sub folder in the same share folder. For example, you configure the following path: \\userst\s\1\appdata.

    L'esempio dice:

    da \\userst\s\1\prefs\appdata.

    a \\userst\s\1\appdata

    io invece ho modificato il percorso nelle gpo per puntare a una condivisione su un altro server.
    Non ho cambiato la sottocartella

    applicandolo al mio caso diventerebbe:

    da \\vecchioserver\s\1\appdata.

    a \\nuovoserver\s\1\appdata


    • Modificato mrcmobile mercoledì 8 marzo 2017 10:24
    mercoledì 8 marzo 2017 10:20
  • ok ma provare ad applicare la hotfix non può far male.

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    mercoledì 8 marzo 2017 10:42
    Moderatore
  • ok, provo prima su una macchina muletto (win7 64 bit), che per quegli utenti, si comporta allo stesso modo.

    Non mi permette di installare l'hotfix, appare: impossibile applicare l'aggiornamento al computer

    marco

    mercoledì 8 marzo 2017 11:07
  • la macchina da fixare è il server terminal, non i clients

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    mercoledì 8 marzo 2017 11:19
    Moderatore
  • anche sul server, stesso errore: impossibile applicare l'aggionamento al computer.

    Una volta ricevuta l'hotfix da MS, il file si chiama windows6.1-KB2771101-x64.msu

    Ho controllato anche tra gli aggirnamenti installati, per vedere se fosse già presente, ma non è mai stao installato.

    mercoledì 8 marzo 2017 11:49