none
Erro acesso sysvol/netlog e GPO RRS feed

  • Pergunta

  • Bom dia,

    Recentemente percebemos que nosso servidor 2008 r2, não estava aplicando algumas GPO, então comecei a investigar o problema, achando que poderia ser algo trivial, pois bem, não consegui resolver e acho que pode ser algo bem mais grave que não consegui achar a solução.

    O Problema

    O erro de fato estourou na aplicação da GPO, então foi investigar isso, no event view acabei deparando com o erro

    A Diretiva de Grupo não foi processada. O Windows não pôde aplicar as configurações de

    diretiva baseado no Registro para o objeto de Diretiva de Grupo

    LDAP://CN=User,cn={5EB7A8E5-4089-44A9-A4CC-BC6185EBE00A},cn=policies,cn=system,DC=corp,DC=local.

    As configurações de Diretiva de Grupo não serão resolvidas enquanto esse evento não for resolvido.

    Exiba os detalhes do evento para obter mais informações sobre nome e caminho do arquivo que causou a falha.

    Então comecei a buscar as soluções, e tentei todas as que encontrei nos fórum:

    https://social.technet.microsoft.com/Forums/pt-BR/38926607-534f-4d8e-879b-98af62cb4233/erro-de-diretiva-de-grupo?forum=winsrv2008pt

    Tentei rodar os comandos:

    dcGpoFix : Para resetar as configurações da GPO

    Gpudate /Force (renomeando o arquivo registry.pol)

    Entre outras tentativas que encontrei nos fóruns

    Como eu tenho backup dos meu GPO, a última tentativa foi remover a função GPO e reinstalar, também sem sucesso.

    Já sem dormir, rs, comecei a olhar o problema de um lado diferente, será que tem outra coisa errada no domínio ?

    Comecei então a revisar meu DC e seus serviços, DNS, DHCP, confesso que não achei nada anormal, então rodei o comando dcDiag para verificar o resultado:

    Log dcdiag

    E verifiquei que ele não passou em alguns testes, fui ver então a pasta NETLOGON e SYSVOL e descobri que o erro na verdade está no compartilhamento, pois ninguém tem acesso a elas.

    Bom, pelo caminho

    C:\Windows\SYSVOL\sysvol\corp.local

    Eu consigo acessar e revisei as permissões, e elas também estão compartilhadas, porém ao tentar abrir pela compartilhamento, recebo o erro abaixo:

    Tentei rodar comando como dcDiag /fix, sem sucesso.

    Já não consigo passar deste ponto, sem ver luz no túnel, alguém já passou por isso e pode me ajudar ?


    Atenciosamente, José Luiz http://joseluiz.net Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 13 de março de 2018 10:53

Respostas

  • Bom dia, infelizmente  nenhuma das soluções aplicou ao erro, foi até contratado pessoal externo com certificação, e mesmo assim não resolveu.

    Esgotamos todas as possibilidades postadas aqui, link externos, até no fórum da MS USA, nada resolveu.

    A última alternativa seria escalar o problema para MS, mas o custo das horas ficariam inviáveis e alinhados ao insucesso optamos por migrar o servidor e mudar nossa política de infra e segurança.

    Após a migração, este servidor já foi formatado

    Obrigado


    Abraços http://joseluiz.net

    • Marcado como Resposta IgorFKModerator sexta-feira, 6 de julho de 2018 12:27
    sexta-feira, 29 de junho de 2018 14:10

Todas as Respostas

  • Bom dia Jose tudo bem ? Caso tenha mais de um controlador de domínio na sua rede, tente verificar se a replica entre os servidores está ocorrendo de maneira correta.

    De uma olhada nesse link. talvez tenha informação que ajude nas ACLS desses diretórios.

    Procure também verificar os log de eventos desse(s) controlador(es) de domínio, provavelmente esta reportando alguma informação que pode auxiliar na resolução.

    https://social.technet.microsoft.com/Forums/pt-BR/e76b9bc0-383a-48c3-bbe1-f5b663c48367/pasta-sysvol-netlogon-no-aparecem-ao-promover-dc?forum=winsrv2008pt

    Espero ter ajudado. Se útil, por favor classifique


    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    terça-feira, 13 de março de 2018 12:44
  • Opa obrigado por responder, eu reconheço o link (ja devia ter visitado), no link existe um KB mas não está mais disponível

    http://support.microsoft.com/kb/290762

    Bom a solução era despromover o DC, mas quero esgotar as possibilidades antes de uma medida dessas.

    Só possuo um AD, e no Event View tem o report de 2 erros:

    1. A diretiva de segurança não pode ser propagada. Não é possível acessar o modelo. Código de erro = 3.
        \\corp.local\sysvol\corp.local\Policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.


    2.

    A Diretiva de Grupo não foi processada. O Windows não pôde aplicar as configurações de diretiva baseado no Registro para o objeto de Diretiva de Grupo LDAP://CN=Machine,CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=corp,DC=local. As configurações de Diretiva de Grupo não serão resolvidas enquanto esse evento não for resolvido. Exiba os detalhes do evento para obter mais informações sobre nome e caminho do arquivo que causou a falha.

    Mas estão relacionados a erros de acesso a pasta...


    Atenciosamente, José Luiz http://joseluiz.net Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 13 de março de 2018 13:48
  • Ok. Precisa reparar as configurações da ACL

    https://support.microsoft.com/en-us/help/2275315/you-cannot-read-the-gpo-in-the-sysvol-directory-in-windows-7-or-in-win

    https://support.microsoft.com/en-us/help/2838154/permissions-for-this-gpo-in-the-sysvol-folder-are-inconsistent-with-th

    Veja se assim da certo.


    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    terça-feira, 13 de março de 2018 14:18
  • Opa,

    O Segundo link já tinha acessado, vou analisar o primeiro, mas.

    Eu acho que o erro está em não conseguir acessar a pasta SYSVOL e NETLOGON, que consequentemente me reporta o erro da GPO, já que não consegue ler.

    Não é isso ?

    ou é ao contrário, a GPO não aplica, logo não tenho acesso a pasta NETLOGON e SYSVOL


    Atenciosamente, José Luiz http://joseluiz.net Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 13 de março de 2018 14:55
  • É exatamente por não ter acesso ao diretório compartilhado que não se aplica as GPO's corretamente.

    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    terça-feira, 13 de março de 2018 16:32
  • Eu entendi, me desculpe se não consigo explicar.

    Mas o problema é por não ter acesso as pastas, a GPO é apenas um reflexo.

    Bom, o fato é que nenhum dos link resolveu o problema.


    Atenciosamente, José Luiz http://joseluiz.net Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 13 de março de 2018 16:56
  • Verifique nos logs de eventos qual o erro relacionado a essa questão esta reportando.

    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    terça-feira, 13 de março de 2018 19:33
  • Só encontrei aqueles dois erros no Event Viewer.

    Mas descobri outra detalhe agora.

    Qualquer pasta que eu compartilhe, ao tentar via compartilhamento, \\srv-dc01\pasta

    aparece a msg


    Atenciosamente, José Luiz http://joseluiz.net Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 13 de março de 2018 19:49
  • Verifique as configurações do disco se estão com as permissões corretas.

    Tente alterar as ACLS desse diretório (pasta) de modo que ele receba as permissões do volume.

    Verifique também a possibilidade de algum virus estar alterando isso.


    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    terça-feira, 13 de março de 2018 19:55
  • Estou revisando, passando antivírus, fazendo mais testes e reconfigurando alguns serviços.

    Ps. tem como fazer um backup somente dos usuários do AD ? para subir em outro servidor se for necessário ?


    Atenciosamente, José Luiz http://joseluiz.net Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 13 de março de 2018 20:30
  • Tente adicionar um controlado de domínio adicional, se possível virtual ao invés do backup convencional

    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    quarta-feira, 14 de março de 2018 00:53
  • José, boa noite!

    Já tive problemas com replicação a qual impactava nas minhas GPOS, também tive problema de sumir o SYSVOL e NETLOGON.

    O procedimento que utilizei foi o D2 D4 modificando o registro do windows, o que ele força uma restauração do compartilhamento e dos diretórios do SYSVOL e NETLOGON, porém recomendo fazer uma cópia dos scripts que você tem antes.

    http://www.agilitynetworks.com.br/blogdaagility/reconstrucao-do-sysvol-no-windows-2008-r2/

    Veja se te ajuda

    quarta-feira, 14 de março de 2018 02:16
  • Valeu pessoal, nada funcionou..

    ps. AD com com nível funcional 2008 não usa o FSR e sim o DFSR, mas tentei reconstruir a replicação usando o d2 d4 também sem sucesso.

    Enfim, estou partindo para formatar o servidor...


    Abraços http://joseluiz.net

    quarta-feira, 14 de março de 2018 15:24
  • Só uma observação se o nível funcional for 2008 e esse AD for migração de 2003 ele pode ser FSR sim, a não ser que você faça manualmente o processo de migração de FSR e DFSR.

    Abraço

    quarta-feira, 14 de março de 2018 16:22
  • Ah sim. mas o AD não é migração, foi criado com o nível desde a primeira instância...


    Abraços http://joseluiz.net

    quarta-feira, 14 de março de 2018 16:26
  • Jose, tenta verificar as permissões do diretório onde esta as pastas se estão replicando de forma correta para as pastas abaixo dela.


    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    quarta-feira, 14 de março de 2018 20:04
  • Boa tarde , Jose Luiz ! Tive um problema semelhante ao seu e só consegui resolver da seguinte maneira:

    1º - desinstale o "Client for Microsoft Network" e reinicie o server.

    2º - Instale novamente o "Client for Microsoft Network" e reinicie novamente o servidor, que todos os compartilhamentos voltarão a funcionar!

    OBS: Muito importante que voce tenha acesso fisico ao servidor, pois quando voce desisntalar o "Client for Microsoft Network" o serviço de acesso remoto via Terminal server nao vai mais funcionar!!!

    espero que minha experiência te ajude!

    at,

    Sergio Feitosa

    terça-feira, 20 de março de 2018 15:26
  • Bom dia passei por isso e fui investigar nos caminhos mais difíceis, porem a solução foi bem simples verifique se a opção Compartilhamento Arquivos está habilitada nas configurações de rede se estiver habilite e faça o teste.

    Dourado

    • Marcado como Resposta IgorFKModerator sexta-feira, 29 de junho de 2018 14:01
    • Não Marcado como Resposta Jose Luiz Borges sexta-feira, 29 de junho de 2018 14:05
    sexta-feira, 29 de junho de 2018 12:00
  • Bom dia, infelizmente  nenhuma das soluções aplicou ao erro, foi até contratado pessoal externo com certificação, e mesmo assim não resolveu.

    Esgotamos todas as possibilidades postadas aqui, link externos, até no fórum da MS USA, nada resolveu.

    A última alternativa seria escalar o problema para MS, mas o custo das horas ficariam inviáveis e alinhados ao insucesso optamos por migrar o servidor e mudar nossa política de infra e segurança.

    Após a migração, este servidor já foi formatado

    Obrigado


    Abraços http://joseluiz.net

    • Marcado como Resposta IgorFKModerator sexta-feira, 6 de julho de 2018 12:27
    sexta-feira, 29 de junho de 2018 14:10