Remove From My Forums

Windows Server 2016 problema Group Policy

Domanda
0

Registrati per votare
Buon pomeriggio,

come da titolo ho un problema enorme con un Windows Server 2016. E' stato messo in dominio e , come dovrebbe essere , ha acquisito nelle sue policy localy il setting delle Group Policy settate sul domain Controller(server 2012).

C'è solo un problema... quasi tutti i giorni capita che non mantenga le group policy e ,dato che tale server è utilizzato come terminal server,i clienti non riescono più a collegarsi in RDP.

Come mai perde le policy a random? come mai la policy relativa al "consenti accesso tramite servizi terminal" si modifica da sola e prende delle informazioni diverse da quelle settate sul domain controller(ossia win server 2012) ?

Help me please

saluti

Renato
- Modificato NinoRCTNModerator venerdì 14 settembre 2018 05:09 Formattazione titolo
giovedì 13 settembre 2018 13:55

Risposte

0

Registrati per votare
Nel domain controller ho fatto la modifica direttamente sotto "Default Domain Policy".

io avrei messo il win2k16 in una OU dedicata e su questa OU avrei applicato la policy con la modifica sul diritto tramite terminal service. non avrei modificato la default domain policy.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it
- Proposto come risposta Fabrizio GiammariniMVP, Moderator lunedì 1 ottobre 2018 09:19
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator martedì 2 ottobre 2018 13:58
martedì 18 settembre 2018 10:59

Moderatore

Tutte le risposte

0

Registrati per votare

Ciao Renato, potresti indicare a che livello imposti questa policy. Inoltre, dovresti verificare attraverso un gpresult la reale applicazione della policy sul server in questione sia prima che dopo la modifica per capire da dove arriva la modifica. In ogni caso puoi dare una breve descrizione dell'infrastruttura con i vari ruoli dei server.

Saluti
Nino
www.testerlab.it

venerdì 14 settembre 2018 05:08

Moderatore
0

Registrati per votare

Ciao,ho 2 domain controller win 2012 + win2016 (no domain controller).

I 2 domain controller mantengono sempre le stesse gp mentre win2016 le acquisisce a random.

Nello specifico mi interessa che non si modifichi mai "consenti accesso tramite servizi terminal".

Nel domain controller ho fatto la modifica direttamente sotto "Default Domain Policy".

Un'altra cosa che non ti ho detto è che se io riavvio il server 2016 (1/2volte) mi riprende le gp corrette.

Ciao

Renato

venerdì 14 settembre 2018 07:12
0

Registrati per votare
serverdati(win2012) = domain controller file server (gpresult la preleva da qui)

servermail(win2012) = domain controller mail

serverbluenext(win2016) = server x gestionale aziendale usato tramite RDP
- Modificato INFOCLOUD venerdì 14 settembre 2018 07:17
venerdì 14 settembre 2018 07:16
0

Registrati per votare
Ciao Renato, piccolo chiarimento...

Vai sotto utenti e computer di Active Directory > Domain Controller e riporta l'elenco dei server

Esegui e posta il risultato di ipconfig /all dei due Domain Controller (?) e del 2016

Esegui il gpresult sul Server 2016

www.testerlab.it
- Modificato NinoRCTNModerator venerdì 14 settembre 2018 07:25
venerdì 14 settembre 2018 07:21

Moderatore
0

Registrati per votare

l'elenco dei server è quanto riportato sopra.

Ci sono questi come GC

serverdati(win2012) = domain controller file server (gpresult la preleva da qui) DNS1

servermail(win2012) = domain controller mail DNS2

mentre quest'ultimo l'ho inserito solo in dominio e basta:

serverbn(win2016) = server x gestionale aziendale usato tramite RDP

per gli IP vario i dns in base al domain controller primario/secondario.

sul serverbn ho messo solo DNS1(prima era settato con DNS1 e nel secondario DNS2)

(c) 2016 Microsoft Corporation. Tutti i diritti sono riservati.

C:\Users\Administrator>gpresult /R

Strumento Risultati Criteri di gruppo del sistema operativo

Microsoft (R) Windows (R) versione 2.0

© 2016 Microsoft Corporation. Tutti i diritti sono riservati.

Creato il 14/09/2018 alle 10:19:55

Dati RSOP per STUDIO\administrator su SERVERBN : Modalità di registrazione

---------------------------------------------------------------------------

Configurazione SO: Server membro

Versione SO: 10.0.14393

Nome sito: Default-First-Site-Name

Profilo mobile: N/D

Profilo locale: C:\Users\Administrator

Connesso attraverso

un collegamento lento?: No

IMPOSTAZIONI COMPUTER

----------------------

CN=SERVERBN,CN=Computers,DC=STUDIO,DC=local

Ultima applicazione dei

criteri di gruppo: 14/09/2018 in 10:11:11

Criteri di gruppo applicato da: SERVERDATI.STUDIO.local

Soglia del collegamento lento

dei criteri di gruppo: 500 kbps

Nome dominio: STUDIO

Tipo di dominio: Windows 2008 o versione successiva

Oggetti Criteri di gruppo applicati

------------------------------------

Default Domain Policy

Criteri gruppo locale

Il computer fa parte dei seguenti gruppi di sicurezza

-----------------------------------------------------

BUILTIN\Administrators

Everyone

SQLServerMSSQLServerADHelperUser$SERVERBN

Utenti desktop remoto

BUILTIN\Users

NT AUTHORITY\NETWORK

NT AUTHORITY\Authenticated Users

Questa organizzazione

SERVERBN$

Computer del dominio

Identità con asserzione dell'autorità di autenticazione

Livello obbligatorio di sistema

IMPOSTAZIONI DELL'UTENTE

-------------------------

CN=Administrator,CN=Users,DC=STUDIO,DC=local

Ultima applicazione dei

criteri di gruppo: 14/09/2018 in 10:09:24

Criteri di gruppo applicato da: SERVERDATI.STUDIO.local

Soglia del collegamento lento

dei criteri di gruppo: 500 kbps

Nome dominio: STUDIO

Tipo di dominio: Windows 2008 o versione successiva

Oggetti Criteri di gruppo applicati

------------------------------------

N/D

I seguenti oggetti Criteri di gruppo non sono stati

applicati perché sono stati esclusi dal filtro

-----------------------------------------------------------------------------------------------------

Criteri gruppo locale

Filtro: Non applicato (Vuoto)

L'utente fa parte dei seguenti gruppi di sicurezza

--------------------------------------------------

Domain Users

Everyone

BUILTIN\Administrators

BUILTIN\Users

Utenti desktop remoto

NT AUTHORITY\INTERACTIVE

ACCESSO CONSOLE

NT AUTHORITY\Authenticated Users

Questa organizzazione

LOCALE

Domain Admins

Proprietari autori criteri di gruppo

Organization Management

Enterprise Admins

Schema Admins

Identità con asserzione dell'autorità di autenticazione

Ogg. non autoriz. a replica passw. in controller sola lettura

Livello obbligatorio alto

C:\Users\Administrator>

venerdì 14 settembre 2018 08:43
0

Registrati per votare
c'è qualcuno che mi può aiutare?

per risolvere il problema devo reinstallare il server con una nuova licenza di win server 2012?(evitando server 2016)
- Modificato INFOCLOUD lunedì 17 settembre 2018 13:59
lunedì 17 settembre 2018 13:59
0

Registrati per votare

Il tuo gpresult conferma il fatto che le GPO non vengono caricate.
Visto che parli di applicazione "intermittente" è probabile che tu abbia problemi di replica tra i due DC, ti consiglio di eseguire un dcdiag e un repadmin per ricercare meglio le cause del problema.

lunedì 17 settembre 2018 20:47

Moderatore
0

Registrati per votare
Ciao,

sui 2 domain controller le GPO sono identiche.

Il problema lo riscontro solo su Win 2016.

Quando riavvio win2016 per fargli riprendere le GPO corrette,ho constatato che le gpo sui 2 domain controller win2012 sono uguali.Ovvero sui 2 domain controller rimangono impostate nel modo corretto.

??

:(
- Modificato INFOCLOUD martedì 18 settembre 2018 07:52
martedì 18 settembre 2018 07:26
0

Registrati per votare
Nel domain controller ho fatto la modifica direttamente sotto "Default Domain Policy".

io avrei messo il win2k16 in una OU dedicata e su questa OU avrei applicato la policy con la modifica sul diritto tramite terminal service. non avrei modificato la default domain policy.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it
- Proposto come risposta Fabrizio GiammariniMVP, Moderator lunedì 1 ottobre 2018 09:19
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator martedì 2 ottobre 2018 13:58
martedì 18 settembre 2018 10:59

Moderatore
0

Registrati per votare

prova ad eseguire quanto ti ho suggerito poco sopra.

forse non sarà risolutivo ma ci permetterà di isolare il problema per identificarlo oltre a mantenere una configurazione di AD più corretta.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it

martedì 18 settembre 2018 11:03

Moderatore
0

Registrati per votare

Sono dello stesso parere di Edoardo. In effetti la Default Domain Policy è una GPO particolare che andrebbe utilizzata solo in determinati contesti (ad esempio password policy a livello di dominio).

martedì 18 settembre 2018 20:27

Moderatore
0

Registrati per votare

Perdonatemi,seguirò il vostro consiglio.

Purtroppo,per come si presenta l'errore,dubito che possa risolvere il mio problema.

In ogni caso ora provo e vi faccio sapere.

Vi ringrazio molto.

Renato

mercoledì 19 settembre 2018 07:42
0

Registrati per votare

Se il problema persiste anche utilizzando una GPO ad-hoc, inserisci anche l' ipconfig /all del server e dei DC.
Potrebbe essere utile anche utilizzare questo script:
https://gallery.technet.microsoft.com/Group-Policy-processing-134c747b

mercoledì 19 settembre 2018 21:41

Moderatore
0

Registrati per votare

Buongiorno,

oggi ho effettuato le modifiche come segue :

1 creato una OU separata dove ho fatto un move solo per il Computer "SERVERBN".

2 ho bloccato l'ereditarieta per la OU e settato solo ciò che mi serve per questa macchina.

3 riavviato server win2016(SERVERBN) e verificato che le policy siano attive

martedì 25 settembre 2018 09:27
0

Registrati per votare
Inserisci il nuovo gpresult e un ipconfig /all del server e di un DC.
Ovviamente si da per scontato che sia stato eseguito un gpupdate /force prima del riavvio del server.
- Modificato Fabrizio GiammariniMVP, Moderator martedì 25 settembre 2018 09:36
martedì 25 settembre 2018 09:36

Moderatore
0

Registrati per votare

C:\Users\Administrator>gpresult /r

Strumento Risultati Criteri di gruppo del sistema operativo
Microsoft (R) Windows (R) versione 2.0
© 2016 Microsoft Corporation. Tutti i diritti sono riservati.

Creato il 25/09/2018 alle 11:27:58

Dati RSOP per STUDIO\administrator su SERVERBN : Modalità di registrazione
---------------------------------------------------------------------------

Configurazione SO:           Server membro
Versione SO:                 10.0.14393
Nome sito:                   Default-First-Site-Name
Profilo mobile:             N/D
Profilo locale:              C:\Users\Administrator
Connesso attraverso
un collegamento lento?:      No

IMPOSTAZIONI COMPUTER
----------------------
    CN=SERVERBN,OU=SERVERBLUENEXT,DC=STUDIO,DC=local
    Ultima applicazione dei
    criteri di gruppo:                   25/09/2018 in 11:16:06
    Criteri di gruppo applicato da:     SERVERDATI.STUDIO.local
    Soglia del collegamento lento
    dei criteri di gruppo:               500 kbps
    Nome dominio:                        STUDIO
    Tipo di dominio:                        Windows 2008 o versione successiva

    Oggetti Criteri di gruppo applicati
    ------------------------------------
        Policydedicata
        Criteri gruppo locale

    Il computer fa parte dei seguenti gruppi di sicurezza
    -----------------------------------------------------
        BUILTIN\Administrators
        Everyone
        SQLServerMSSQLServerADHelperUser$SERVERBN
        Utenti desktop remoto
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        Questa organizzazione
        SERVERBN$
        Computer del dominio
        Identità con asserzione dell'autorità di autenticazione
        Livello obbligatorio di sistema

IMPOSTAZIONI DELL'UTENTE
-------------------------
    CN=Administrator,CN=Users,DC=STUDIO,DC=local
    Ultima applicazione dei
    criteri di gruppo:                   25/09/2018 in 11:16:23
    Criteri di gruppo applicato da:     SERVERDATI.STUDIO.local
    Soglia del collegamento lento
    dei criteri di gruppo:               500 kbps
    Nome dominio:                        STUDIO
    Tipo di dominio:                        Windows 2008 o versione successiva

    Oggetti Criteri di gruppo applicati
    ------------------------------------
        N/D

    I seguenti oggetti Criteri di gruppo non sono stati
applicati perché sono stati esclusi dal filtro
    -----------------------------------------------------------------------------------------------------
        Criteri gruppo locale
            Filtro: Non applicato (Vuoto)

    L'utente fa parte dei seguenti gruppi di sicurezza
    --------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Administrators
        BUILTIN\Users
        Utenti desktop remoto
        NT AUTHORITY\INTERACTIVE
        ACCESSO CONSOLE
        NT AUTHORITY\Authenticated Users
        Questa organizzazione
        LOCALE
        Domain Admins
        Proprietari autori criteri di gruppo
        Organization Management
        Enterprise Admins
        Schema Admins
        Identità con asserzione dell'autorità di autenticazione
        Ogg. non autoriz. a replica passw. in controller sola lettura
        Livello obbligatorio alto

C:\Users\Administrator>

martedì 25 settembre 2018 09:36
0

Registrati per votare

SUFFISSO DNS PRIMARIO STUDIO.local

192.168.9.239 /24 IP DEL SERVERBN

192.168.9.254 GATEWAY

DNS1 192.168.9.1 SERVERDATI

martedì 25 settembre 2018 09:41
0

Registrati per votare

questo è il dc

martedì 25 settembre 2018 09:49
0

Registrati per votare

SUFFISSO DNS PRIMARIO STUDIO.local

192.168.9.239 /24 IP DEL SERVERBN

192.168.9.254 GATEWAY

DNS1 192.168.9.1 SERVERDATI

il problema si verifica ancora ?

il server terminal potrebbe ricevere altre policy oltre a quelle di dominio e di OU che potrebbero esssere con contrasto per quanto riguarda l'accesso tramite terminal services ?
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it

martedì 25 settembre 2018 09:54

Moderatore
0

Registrati per votare

Per rispondere alla domanda "se il problema si verifica ancora" , dovrei attendere almeno altre 24 ore.

Vi aggiorno domani..... speriamo che così funzioni.

martedì 25 settembre 2018 12:17
0

Registrati per votare

Buongiorno,

con la policy settata come sopra non si è più verificato il problema.

Ringrazio tutti per i consigli preziosi forniti.

Saluti

Renato

lunedì 1 ottobre 2018 09:17

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Windows Server 2016 problema Group Policy

Domanda

Risposte

Tutte le risposte