none
Creo GPO para Wsus y no se puede sincronizar

    Pregunta

  • Estimados buenas tardes

    Tengo un problema, cree una GPO para Wsus, y en las terminales con windows 10 me pasa esto:

    --------

    C:\Windows\system32>gpupdate /force
    Actualizando directiva...

    La directiva de equipo no se puede actualizar correctamente debido a los siguientes errores:

    Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\ga.local\SysVol\ga.local\Policies\{05A33263-0167-44EC-8A6E-2D7F3F5EF30D}\gpt.ini desde un controlador de dominio. La configuración de la directiva de grupo no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un error temporal y puede deberse a alguna de la causas siguientes:
    a) Un problema con la resolución de nombres o con la conectividad de red al controlador de dominio actual.
    b) Latencia del servicio de replicación de archivos (una cuenta creada en otro controlador de dominio no se replicó en el controlador de dominio actual).
    c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.
    Se completó correctamente la Actualización de directiva de usuario.

    Para diagnosticar el error, revise el registro de eventos o ejecute GPRESULT /H GPReport.html para obtener acceso a la información sobre los resultados de la directiva de grupo.

    ------------


    La GPO que hace referencia es la que comento, esta echa como siempre y  no tiene nada raro.  Que puedo empezar a mirar aparte de GPResult, que solamente veo esto:

    ------------

    Resumen
         Durante la última directiva de equipo actualización el 17/5/2019 15:38:23
         
        2 errores detectados
        Se detectó un vínculo de alta velocidad Más información...
        Los siguientes GPO tienen alertas especiales
         
    Nombre GPO    Alerta
    Default Domain Policy    Error de coincidencia de versiones de AD/SYSVOL
    Workplace Homepage on Browsers    Error de coincidencia de versiones de AD/SYSVOL
         Durante la última directiva de usuario actualización el 17/5/2019 15:38:36
         
        No se detectaron errores
        Se detectó un vínculo de alta velocidad Más información...
        Los siguientes GPO tienen alertas especiales
         
    Nombre GPO    Alerta
    Default Domain Policy    Error de coincidencia de versiones de AD/SYSVOL
    Detalles del equipo
    General
    Nombre de equipo    GA\ARBUEN10R3036
    Dominio    ga.local
    Sitio    PP
    Unidad organizativa    ga.local/EQUIPOS/Argentina/Oficinas/Windows 10
    Pertenencia a grupo de seguridad    
    mostrar
    Estado del componente ocultar
    Nombre del componente    Estado    Tiempo consumido    Última hora de proceso    Registro de eventos
    Infraestructura de directivas de grupo    Correcto    1 segundo(s) 176 milisegundo(s)    17/5/2019 15:38:23    Ver registro
    Group Policy Local Users and Groups    Correcto    10 segundo(s) 328 milisegundo(s)    17/5/2019 14:24:01    Ver registro
    Registro    Correcto    94 milisegundo(s)    17/5/2019 14:21:41    Ver registro
    Scripts    Correcto    62 milisegundo(s)    17/5/2019 14:21:41    Ver registro
    Security    Correcto    454 milisegundo(s)    17/5/2019 14:21:41    Ver registro
    Software Installation    En espera    656 milisegundo(s)    17/5/2019 14:24:02    Ver registro
    Software Installation no finalizó el procesamiento de directivas; se debe reiniciar el sistema para que se aplique la configuración. La directiva de grupo intentará aplicar la configuración la próxima vez que se reinicie el equipo.

    Es posible que se haya registrado información adicional. Revise en la pestaña Eventos de directiva de la consola o del registro de eventos de la aplicación los eventos entre 17/5/2019 14:24:02 y 17/5/2019 14:24:02.
    Datos recopilados el: 17/5/2019 15:48:53    
    mostrar todo

    ---------------
    viernes, 17 de mayo de 2019 19:02

Todas las respuestas

  • Hola "Marcelo Fusse",

    * Algunas consultas, por ejemplo:

    1 - Solo sucede en Windows 10 ?
    2 - Que OS tiene tu DC ?

    * Si tienes DCs con OS Windows Server 2012 R2 aplica:

    MS15-011: Vulnerability in Group Policy could allow remote code execution: February 10, 2015
    https://support.microsoft.com/en-us/help/3000483/ms15-011-vulnerability-in-group-policy-could-allow-remote-code-executi

    MS15-014: Vulnerability in Group Policy could allow security feature bypass: February 10, 2015
    https://support.microsoft.com/en-us/help/3004361/ms15-014-vulnerability-in-group-policy-could-allow-security-feature-by

    https://blogs.technet.microsoft.com/askpfeplat/2015/02/22/guidance-on-deployment-of-ms15-011-and-ms15-014/

    * Visualiza (UNC hardening) 

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ

    * Pregunta similar del Foro:

    GPT.ini file is not able read by client from the domain contoller
    https://social.technet.microsoft.com/Forums/en-US/0cf8a521-738f-4392-83ba-ccd7da8461ec/gptini-file-is-not-able-read-by-client-from-the-domain-contoller?forum=winserverGP

    Saludos.
    viernes, 17 de mayo de 2019 20:39
  • Hola Marcelo ¿hay más de un Controlador de Dominio?

    Porque el error que marca no tiene relación con WSUS, sino con problemas de replicación o comunicación

    ---------------------------------
    Default Domain Policy    Error de coincidencia de versiones de AD/SYSVOL
    Workplace Homepage on Browsers    Error de coincidencia de versiones de AD/SYSVOL
    ----------------------------------

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 17 de mayo de 2019 22:46
    Moderador
  • Buen dia a ambos

    Ante todo gracias a sys respuestas!

    Es correcto, tengo mas de un DC (10 en total, en distinto site por pais.).

    son todos Windows server 2012 R2 std.

    Con respecto a si pasa solo en windows 10, no, pasa en terminales al azar, primero parecia que fuecen windows 10, pero ahora veo algunas maquinas que replicaron y otras no, asi que descarto que solo sera por es OS

    lunes, 20 de mayo de 2019 13:10
  • Algo que sumo que me llamo la atención es que no aparece la carpeta de esa GPO dentro de sysvol.
    lunes, 20 de mayo de 2019 14:57
  • Sino esta la carpeta de GPO xxx, tienes un problema en ese DC.
    Veririfica si existe en otro DC.
    Crea un GPO tmp y verifica si se crea la carpeta xxx.
    Consulta, intentaron hacer un merge de GPOs ? o algo por el estilo como restore de GPOs, etc.. ?

    Comentamos como es tu esquema AD:

    1 - Cuantos sites fisicos tienes
    2 - Cuantos sites logicos en Ad tienes
    3 - Cuantos DCs fisicos por sites tienes
    4 - Tienes algun DC virtual, donde 
    5 - Como son los enlaces 

    Salduos.
    lunes, 20 de mayo de 2019 15:29
  • La gpo si entro desde los DC a  \\dominio\sysvol\policies la veo, pero, los terminales no la ven.. eso me llama la atencion.

    Borre la GPO, cree una nueva, temperal, y la crea, la veo dentro del sysvol pero la terminales no las ven, le di permisos de usuarios de dominio y equipos de dominio y nada..

    Con respecot a merge o restore nada de nada...

    Son todos DC fisicos, atravez de redes punto a punto, se ven perfectos, es mas, si creo la GPO se replican enseguida, Site tengo 5.

    Para la prueba, para que te des una idea, creo la GPO dentro del DC, que esta en la misma red que la terminal (mi pc), y apenas la creo, hago un gpupdate y me tira ese error.

    Gracias por la ayuda!

    lunes, 20 de mayo de 2019 15:33
  • Aplica esta nota de Foro:

    GPT.ini file is not able read by client from the domain contoller
    https://social.technet.microsoft.com/Forums/en-US/0cf8a521-738f-4392-83ba-ccd7da8461ec/gptini-file-is-not-able-read-by-client-from-the-domain-contoller?forum=winserverGP

    Desde Winddows Client ejecuta (compara la hora actual de DC PDC)

    w32tm /query /status

    Saludos.
    martes, 21 de mayo de 2019 2:26