Errore client policy di gruppo

Tutte le risposte

• 

  

  0

  Registrati per votare

  Hai solo un folder redirect su cartelle comuni (ad esempio Documenti, Download, Immagini) oppure c'è anche il roaming completo della cartella del profilo? In particolare bisogna capire se è reindirizzata anche la cartella AppData e, sopratutto, il file ntuser.dat del profilo.
  Si tratta molto probabilmente di una corruzione del profilo, ma dobbiamo cercare di capire il perché si propaga in tutti i computer.
  

  venerdì 4 settembre 2020 09:43

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Il Folder redirect è su Desktop, Documenti, Download, etc .... nel Roaming profile c'è AppData e anche ntuser.dat.
  
  i pc dove lo user "bloccato" non accede non da problemi per gli altri. Ogni tanto altri utenti vengono bloccati. Che sia una o più vm rovinate che "scassano i profili"? Poco fa latri due utenti sono incorsi nello stesso errore. Non posso passare il mio tempo a rifare profili.

  venerdì 4 settembre 2020 12:54

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Non ho capito se oltre al reindirizzamento delle cartelle di soli dati utilizzi anche i profili roaming...

  Ovvero il file ntuser.dat dell'utente viene anch'esso memorizzato su server o no?
  
  
  

  • Modificato Fabrizio GiammariniMVP, Moderator venerdì 4 settembre 2020 13:07

  venerdì 4 settembre 2020 13:05

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  sì, il file ntuser.dat e la cartella appdata/roaming vengono sincronizzati

  sabato 5 settembre 2020 15:39

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Se per "vengono sincronizzati" intendi sempre tramite un reindirizzamento cartelle allora è sicuramente quello il problema che causa questa corruzione diffusa dei profili.
  Le policy del reindirizzamento cartelle vanno utilizzati solo per i dati utenti, ovvero le cartelle Documenti, Desktop, ecc... mentre se è necessario mantenere da un client e l'altro anche le altre impostazioni del profilo è necessario implementare in aggiunta i profili roaming (o "profili mobili" nelle traduzioni italiane delle guide).
  Questo è necessario perché il servizio CSC utilizzato per mantenere le cartelle reindirizzate sincronizzate è inadeguato per file critici del profilo come ad esempio ntuser.dat o la cartella appdata.
  https://docs.microsoft.com/it-it/windows-server/storage/folder-redirection/folder-redirection-rup-overview

  A questo punto ti chiederai se tramite i soli profili roaming potresti già "sincronizzare" tutto insieme, in realtà si può fare ma utilizzando il reindirizzamento cartelle vai a "separare" i dati utenti (generalmente più pesanti) dalla cartella generale del profilo (che invece necessita di venire scaricata interamente prima del login) e questo porta ad un sostanziale miglioramento delle prestazioni, specialmente nelle fasi di login e logout.
  Poi, chiariamoci, una corruzione di un profilo utente si può sempre verificare, in Windows sono cose che capitano, ma in questo modo saranno sicuramente più rare e basterà agire solo sul profilo roaming.
  

  • Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 7 settembre 2020 08:58
  • Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 12 ottobre 2020 10:27

  domenica 6 settembre 2020 07:28

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Mi sono espresso male, scusate. I dati di Roaming (ntuseer.dat, appdata etc...) li lasciamo gestire al dominio che li appoggia in una cartella denominata UserProfiles$ su un server di share.

  MI scso per l'approssimazione della risposta, nel dominio ci sono delle policy fatte per fare il redirect delle cartelle utenti, ma nessuna policy per i profili di roaming che dovrebbero essere gestiti in modo standard.

  mercoledì 23 settembre 2020 12:02

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Se utilizzate già dei profili roaming allora probabilmente si sono semplicemente corrotti, questo si può verificare soprattutto durante la fase di caricamento/scaricamento delle impostazioni del profilo dal server se i dati da scambiare sono molti.
  Credo che la soluzione più veloce sia intanto di ricrearli direttamente (altrimenti andrebbero controllate manualmente le autorizzazioni per ogni profilo problematico) ricollegandoci poi il reindirizzamento cartelle per i dati.
  Per evitare che si verifichi il problema nuovamente in futuro esegui un controllo sulla dimensione dei profili corrotti, se è eccessiva (indicativamente pari o superiore a 1GB) vuol dire che non tutti i dati vengono reindirizzati correttamente (bisogna rivedere le GPO per alleggerire la dimensione della cartella delle impostazioni del profilo).

  mercoledì 23 settembre 2020 12:38

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Sì, la sensazione è che il problema si verifichi sul login perché trovo nel backup della notte precedente i profili "puliti" (ovvero NTUSER.DAT consistenti), segno che l'ultimo logoff prima di andare a casa è andato a buon fine. Al mattino poi gli utenti, un po' a caso, anche se si verifica sempre per un gruppo di una 20na di utenti, si ritrovano bloccati dall'errore. Andando a spulciare nel loro profilo trovo un NTUSER.DAT di 8k, sempre! Ogni volta che l'utente è bloccato il suo ntuser.dat è di 8k e aprendo l'hive con regedit contiene solo voci standard, come se fosse un "modello" vuoto. I profili sono intorno a300/400Mb, non di più e la causa è il maledetto Firefox che, nonostante metta la cache in Local e non in Roaming, però gonfia il Roaming di non so cosa.

  Dopo aver ripristinato l'utenza come dici tu, ovvero ricreando il profilo, ho scoperto che ripristinando il backup del ntuser.dat tutto rifunziona subito. L'unico dubbio è che le vm sulle quali il login ha causato il problema, che contengono quindi il famoso ntuser.dat a 8k e un profilo "vuoto" perché evidentemente non è riuscito a sincronizzare, possano ricapitare all'utente incasinando di nuovo il profilo.

  La cosa che non capisco è: perché se si verifica l'errore che io presuppongo essere un problema sul sync del profilo in fase di login, poi mi trovo sporco il profilo sul server (l'ntuser.dat a 8k)? Come se s'incartasse al login generando un profilo con ntuser.dat basico sulla vm ospite, che poi però viene sincronizzato in uscita sul server. Perché quando premi il pulsante "Ok" dell'errore di policy, windows non sega la connessione, ma esegue un logoff, almeno a giudicare da quanto vedo, sporcando quindi il profilo sul server.

  Sono ormai 4 settimane che sto diventando matto dietro a questo problema e non riesco a riprodurlo!

   

  giovedì 24 settembre 2020 14:23

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Controllato ogni profilo: i più grandi sono 600Mb e non danno problemi, tutti gli altri sono sotto i 400Mb.

  giovedì 24 settembre 2020 14:36

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Quindi ricapitolando, se ho capito bene, se prendi la copia del profilo appena l'utente si è disconnesso funziona ma appena viene eseguito il login e si ri-verifica l'errore ti ritrovi subito dopo con il profilo corrotto.
  Hai provato a replicare il problema utilizzando un'installazione pulita di Windows?
  Temo ci sia qualche servizio o processo ad avvio automatico che interferisce con il caricamento dei profili.
  Che antivirus utilizzi? Sul server che contiene le cartelle condivise dei profili c'è per caso un antivirus in esecuzione?
  Potrebbe anche trattarsi di un processo in esecuzione sul server che "blocca" i file proprio in fase di caricamento/scaricamento.

  giovedì 24 settembre 2020 17:39

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Sì più o meno è così, almeno a giudicare dagli orari di logoff e login e quello che trovo nel sistema di backup che viene eseguito ogni 6 ore.

  Non abbiamo fatto un installazione pulita di w10 ma fatto un rollback a una versione della vm prima dell'ultima modifica 8installazione dll odbc per sql server e aggiornamento di firefox).

  Usiamo l'antivirus id MS sia su client che su server.

  Ormai è un mese che stiamo impazzendo con almeno 10 persone bloccate anche più volte ogni giorno 8su una giornata di lavoro di 11 ore), l'assistenza esterna che ci gestisce il sistema non ne esce e dal ticket aperto con MS la settimana scora ancora non è uscito niente.

  venerdì 25 settembre 2020 08:00

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Io intanto proverei a fare dei test di questo tipo:
  - Sul server prova ad aggiungere un'eccezione per la cartella condivisa dei profili alla scansione in tempo reale dell'antivirus (tanto questi dati vengono già analizzati dall'antivirus sul client)
  - Crea una macchina virtuale con un'installazione pulita (senza alcun software) della stessa release di Windows 10, inseriscila in dominio ed esegui poi dei login con gli utenti problematici in momenti differenti.
  

  In base ai risultati di questi test forse si può capire meglio la causa del problema.
  Andrebbe poi analizzato anche il registro eventi del client non appena si verifica l'errore, dubito che non ci siano eventi collegati.

  
  

  • Modificato Fabrizio GiammariniMVP, Moderator venerdì 25 settembre 2020 08:34

  venerdì 25 settembre 2020 08:33

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  MIcrosoft, interpellata, ci ha detto di reinstallare il server di share (che contiene gli Userprofiles). Operazione che non è servita a nulla, ovviamente. Sono convinto che il problema sia sui client. Adesso tentiamo la ricostruzione dei client windows 10 puliti.

  lunedì 28 settembre 2020 10:27

  Risposta

  |

  Citazione