none
Windows Server 2016 problema Group Policy RRS feed

  • Domanda

  • Buon pomeriggio,

    come da titolo ho un problema enorme con un Windows Server 2016. E' stato messo in dominio e , come dovrebbe essere , ha acquisito nelle sue policy localy il setting delle Group Policy settate sul domain Controller(server 2012).

    C'è solo un problema... quasi tutti i giorni capita che non mantenga le group policy e ,dato che tale server è utilizzato come terminal server,i clienti non riescono più a collegarsi in RDP.

    Come mai perde le policy a random? come mai la policy relativa al "consenti accesso tramite servizi terminal" si modifica da sola e prende delle informazioni diverse da quelle settate sul domain controller(ossia win server 2012) ?

    Help me please

    saluti

    Renato


    giovedì 13 settembre 2018 13:55

Risposte


  • Nel domain controller ho fatto la modifica direttamente sotto "Default Domain Policy".


    io avrei messo il win2k16 in una OU dedicata e su questa OU avrei applicato la policy con la modifica sul diritto tramite terminal service. non avrei modificato la default domain policy.

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 18 settembre 2018 10:59
    Moderatore

Tutte le risposte

  • Ciao Renato, potresti indicare a che livello imposti questa policy. Inoltre, dovresti verificare attraverso un gpresult la reale applicazione della policy sul server in questione sia prima che dopo la modifica per capire da dove arriva la modifica. In ogni caso puoi dare una breve descrizione dell'infrastruttura con i vari ruoli dei server.

    Saluti
    Nino


    www.testerlab.it

    venerdì 14 settembre 2018 05:08
    Moderatore
  • Ciao,ho 2 domain controller win 2012 + win2016 (no domain controller).

    I 2 domain controller mantengono sempre le stesse gp mentre win2016 le acquisisce a random.

    Nello specifico mi interessa che non si modifichi mai "consenti accesso tramite servizi terminal".

    Nel domain controller ho fatto la modifica direttamente sotto "Default Domain Policy".

    Un'altra cosa che non ti ho detto è che se io riavvio il server 2016 (1/2volte) mi riprende le gp corrette.

    Ciao

    Renato

    venerdì 14 settembre 2018 07:12
  • serverdati(win2012) = domain controller file server (gpresult la preleva da qui)

    servermail(win2012) = domain controller mail

    serverbluenext(win2016) = server x gestionale aziendale usato tramite RDP


    • Modificato INFOCLOUD venerdì 14 settembre 2018 07:17
    venerdì 14 settembre 2018 07:16
  • Ciao Renato, piccolo chiarimento...

    Vai sotto utenti e computer di Active Directory > Domain Controller e riporta l'elenco dei server

    Esegui e posta il risultato di ipconfig /all dei due Domain Controller (?) e del 2016

    Esegui il gpresult sul Server 2016


    www.testerlab.it



    venerdì 14 settembre 2018 07:21
    Moderatore
  • l'elenco dei server è quanto riportato sopra.

    Ci sono questi come GC

    serverdati(win2012) = domain controller file server (gpresult la preleva da qui)  DNS1

    servermail(win2012) = domain controller mail                                                       DNS2

    mentre quest'ultimo l'ho inserito solo in dominio e basta:

    serverbn(win2016) = server x gestionale aziendale usato tramite RDP

    per gli IP vario i dns in base al domain controller primario/secondario.

    sul serverbn ho messo solo DNS1(prima era settato con DNS1 e nel secondario DNS2)

    (c) 2016 Microsoft Corporation. Tutti i diritti sono riservati.
    C:\Users\Administrator>gpresult /R
    Strumento Risultati Criteri di gruppo del sistema operativo
    Microsoft (R) Windows (R) versione 2.0
    © 2016 Microsoft Corporation. Tutti i diritti sono riservati.
    Creato il 14/09/2018 alle 10:19:55
    Dati RSOP per STUDIO\administrator su SERVERBN : Modalità di registrazione
    ---------------------------------------------------------------------------
    Configurazione SO:           Server membro
    Versione SO:                 10.0.14393
    Nome sito:                   Default-First-Site-Name
    Profilo mobile:             N/D
    Profilo locale:              C:\Users\Administrator
    Connesso attraverso
    un collegamento lento?:      No
    IMPOSTAZIONI COMPUTER
    ----------------------
        CN=SERVERBN,CN=Computers,DC=STUDIO,DC=local
        Ultima applicazione dei
        criteri di gruppo:                   14/09/2018 in 10:11:11
        Criteri di gruppo applicato da:     SERVERDATI.STUDIO.local
        Soglia del collegamento lento
        dei criteri di gruppo:               500 kbps
        Nome dominio:                        STUDIO
        Tipo di dominio:                        Windows 2008 o versione successiva
        Oggetti Criteri di gruppo applicati
        ------------------------------------
            Default Domain Policy
            Criteri gruppo locale
        Il computer fa parte dei seguenti gruppi di sicurezza
        -----------------------------------------------------
            BUILTIN\Administrators
            Everyone
            SQLServerMSSQLServerADHelperUser$SERVERBN
            Utenti desktop remoto
            BUILTIN\Users
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            SERVERBN$
            Computer del dominio
            Identità con asserzione dell'autorità di autenticazione
            Livello obbligatorio di sistema
    IMPOSTAZIONI DELL'UTENTE
    -------------------------
        CN=Administrator,CN=Users,DC=STUDIO,DC=local
        Ultima applicazione dei
        criteri di gruppo:                   14/09/2018 in 10:09:24
        Criteri di gruppo applicato da:     SERVERDATI.STUDIO.local
        Soglia del collegamento lento
        dei criteri di gruppo:               500 kbps
        Nome dominio:                        STUDIO
        Tipo di dominio:                        Windows 2008 o versione successiva
        Oggetti Criteri di gruppo applicati
        ------------------------------------
            N/D
        I seguenti oggetti Criteri di gruppo non sono stati
    applicati perché sono stati esclusi dal filtro
        -----------------------------------------------------------------------------------------------------
            Criteri gruppo locale
                Filtro:  Non applicato (Vuoto)
        L'utente fa parte dei seguenti gruppi di sicurezza
        --------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            Utenti desktop remoto
            NT AUTHORITY\INTERACTIVE
            ACCESSO CONSOLE
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            LOCALE
            Domain Admins
            Proprietari autori criteri di gruppo
            Organization Management
            Enterprise Admins
            Schema Admins
            Identità con asserzione dell'autorità di autenticazione
            Ogg. non autoriz. a replica passw. in controller sola lettura
            Livello obbligatorio alto
    C:\Users\Administrator>

    venerdì 14 settembre 2018 08:43
  • c'è qualcuno che mi può aiutare?

    per risolvere il problema devo reinstallare il server con una nuova licenza di win server 2012?(evitando server 2016)


    • Modificato INFOCLOUD lunedì 17 settembre 2018 13:59
    lunedì 17 settembre 2018 13:59
  • Il tuo gpresult conferma il fatto che le GPO non vengono caricate.
    Visto che parli di applicazione "intermittente" è probabile che tu abbia problemi di replica tra i due DC, ti consiglio di eseguire un dcdiag e un repadmin per ricercare meglio le cause del problema.
    lunedì 17 settembre 2018 20:47
    Moderatore
  • Ciao,

    sui 2 domain controller le GPO sono identiche.

    Il problema lo riscontro solo su Win 2016.

    Quando riavvio win2016 per fargli riprendere le GPO corrette,ho constatato che le gpo sui 2 domain controller win2012 sono uguali.Ovvero sui 2 domain controller rimangono impostate nel modo corretto.

    ??

    :(


    • Modificato INFOCLOUD martedì 18 settembre 2018 07:52
    martedì 18 settembre 2018 07:26

  • Nel domain controller ho fatto la modifica direttamente sotto "Default Domain Policy".


    io avrei messo il win2k16 in una OU dedicata e su questa OU avrei applicato la policy con la modifica sul diritto tramite terminal service. non avrei modificato la default domain policy.

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 18 settembre 2018 10:59
    Moderatore
  • prova ad eseguire quanto ti ho suggerito poco sopra.

    forse non sarà risolutivo ma ci permetterà di isolare il problema per identificarlo oltre a mantenere una configurazione di AD più corretta.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 18 settembre 2018 11:03
    Moderatore
  • Sono dello stesso parere di Edoardo. In effetti la Default Domain Policy è una GPO particolare che andrebbe utilizzata solo in determinati contesti (ad esempio password policy a livello di dominio).
    martedì 18 settembre 2018 20:27
    Moderatore
  • Perdonatemi,seguirò il vostro consiglio.

    Purtroppo,per come si presenta l'errore,dubito che possa risolvere il mio problema.

    In ogni caso ora provo e vi faccio sapere.

    Vi ringrazio molto.

    Renato

    mercoledì 19 settembre 2018 07:42
  • Se il problema persiste anche utilizzando una GPO ad-hoc, inserisci anche l' ipconfig /all del server e dei DC.
    Potrebbe essere utile anche utilizzare questo script:
    https://gallery.technet.microsoft.com/Group-Policy-processing-134c747b
    mercoledì 19 settembre 2018 21:41
    Moderatore
  • Buongiorno,

    oggi ho effettuato le modifiche come segue :

    1 creato una OU separata dove ho fatto un move solo per il Computer "SERVERBN".

    2 ho bloccato l'ereditarieta per la OU e settato solo ciò che mi serve per questa macchina.

    3 riavviato server win2016(SERVERBN) e verificato che le policy siano attive

    martedì 25 settembre 2018 09:27
  • Inserisci il nuovo gpresult e un ipconfig /all del server e di un DC.
    Ovviamente si da per scontato che sia stato eseguito un gpupdate /force prima del riavvio del server.
    martedì 25 settembre 2018 09:36
    Moderatore
  • C:\Users\Administrator>gpresult /r

    Strumento Risultati Criteri di gruppo del sistema operativo
    Microsoft (R) Windows (R) versione 2.0
    © 2016 Microsoft Corporation. Tutti i diritti sono riservati.

    Creato il 25/09/2018 alle 11:27:58


    Dati RSOP per STUDIO\administrator su SERVERBN : Modalità di registrazione
    ---------------------------------------------------------------------------

    Configurazione SO:           Server membro
    Versione SO:                 10.0.14393
    Nome sito:                   Default-First-Site-Name
    Profilo mobile:             N/D
    Profilo locale:              C:\Users\Administrator
    Connesso attraverso
    un collegamento lento?:      No


    IMPOSTAZIONI COMPUTER
    ----------------------
        CN=SERVERBN,OU=SERVERBLUENEXT,DC=STUDIO,DC=local
        Ultima applicazione dei
        criteri di gruppo:                   25/09/2018 in 11:16:06
        Criteri di gruppo applicato da:     SERVERDATI.STUDIO.local
        Soglia del collegamento lento
        dei criteri di gruppo:               500 kbps
        Nome dominio:                        STUDIO
        Tipo di dominio:                        Windows 2008 o versione successiva

        Oggetti Criteri di gruppo applicati
        ------------------------------------
            Policydedicata
            Criteri gruppo locale

        Il computer fa parte dei seguenti gruppi di sicurezza
        -----------------------------------------------------
            BUILTIN\Administrators
            Everyone
            SQLServerMSSQLServerADHelperUser$SERVERBN
            Utenti desktop remoto
            BUILTIN\Users
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            SERVERBN$
            Computer del dominio
            Identità con asserzione dell'autorità di autenticazione
            Livello obbligatorio di sistema


    IMPOSTAZIONI DELL'UTENTE
    -------------------------
        CN=Administrator,CN=Users,DC=STUDIO,DC=local
        Ultima applicazione dei
        criteri di gruppo:                   25/09/2018 in 11:16:23
        Criteri di gruppo applicato da:     SERVERDATI.STUDIO.local
        Soglia del collegamento lento
        dei criteri di gruppo:               500 kbps
        Nome dominio:                        STUDIO
        Tipo di dominio:                        Windows 2008 o versione successiva

        Oggetti Criteri di gruppo applicati
        ------------------------------------
            N/D

        I seguenti oggetti Criteri di gruppo non sono stati
    applicati perché sono stati esclusi dal filtro
        -----------------------------------------------------------------------------------------------------
            Criteri gruppo locale
                Filtro:  Non applicato (Vuoto)

        L'utente fa parte dei seguenti gruppi di sicurezza
        --------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            Utenti desktop remoto
            NT AUTHORITY\INTERACTIVE
            ACCESSO CONSOLE
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            LOCALE
            Domain Admins
            Proprietari autori criteri di gruppo
            Organization Management
            Enterprise Admins
            Schema Admins
            Identità con asserzione dell'autorità di autenticazione
            Ogg. non autoriz. a replica passw. in controller sola lettura
            Livello obbligatorio alto

    C:\Users\Administrator>















    martedì 25 settembre 2018 09:36
  • SUFFISSO DNS PRIMARIO STUDIO.local

    192.168.9.239 /24    IP DEL SERVERBN  

    192.168.9.254  GATEWAY

    DNS1 192.168.9.1   SERVERDATI

    martedì 25 settembre 2018 09:41
  • questo è il dc

    martedì 25 settembre 2018 09:49
  • SUFFISSO DNS PRIMARIO STUDIO.local

    192.168.9.239 /24    IP DEL SERVERBN  

    192.168.9.254  GATEWAY

    DNS1 192.168.9.1   SERVERDATI

    il problema si verifica ancora ?

    il server terminal potrebbe ricevere altre policy oltre a quelle di dominio e di OU che potrebbero esssere con contrasto per quanto riguarda l'accesso tramite terminal services ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 25 settembre 2018 09:54
    Moderatore
  • Per rispondere alla domanda "se il problema si verifica ancora" , dovrei attendere almeno altre 24 ore.

    Vi aggiorno domani..... speriamo che così funzioni.

    martedì 25 settembre 2018 12:17
  • Buongiorno,

    con la policy settata come sopra non si è più verificato il problema.

    Ringrazio tutti per i consigli preziosi forniti.

    Saluti

    Renato

    lunedì 1 ottobre 2018 09:17