none
GPO на клиентском ПК RRS feed

  • Вопрос

  • В сети 3 контроллера домена.

    На одном из клиентских ПК с Windows 7 в консоле результирующей политики версия SYSVOL указывается как 65535.

    При этом логи в ПК "Журнал приложений и служб \ Microsoft \ Windows \ Windows \ GroupPolicy" без ошибок.

    На всех контроллерах домена выполнено dcdiag /test:SysVolCheck, без ошибок.

    В консоле управления GPO проверяю репликацию версий AD и SysVol всех КД, все совпадает.

    Версии обновления 65535 для GPO у меня вообще нет.

    Вижу, что проблема локальная и только для данного клиентского ПК.

    Все что, в голову пришло проверил. Даже вывел и ввел ПК в домен, все то же.

    15 июля 2016 г. 13:04

Ответы

  • Кажется разобрался, хотя результат странный получился.

    Включил детализирование логов групповой политики (http://clintboessen.blogspot.com/2014/01/how-to-enable-group-policy-debugging-on.html)

    В c:\Windows\debug\UserMode\gpsvc.log нашел, что 2 ГПО компьютер не может прочитать. Это нормально, т.к. эти политики применяются членами группы, в которую этот ПК не входит. Но, там указано, что локальная версия данной политики на ПК 65535. При этом политики не применяются ни к какому OU!

    Я вручную добавил "Прошедших проверку" для этик 2-х политик, но только для чтения, а не применения политики. После чего ситуация исправилась.

    Правда проблема разрешилась, но осадок остался. Видимо когда-то политика применялась к данному ПК (но версия не могла быть 65535), потом доступ ограничили и ПК вышел из поля применения этой политики, после чего он не мог прочитать, чтобы сравнить версии. Но почему-то, из-за этого он показывал некорректную версию для все политик. ))


    27 июля 2016 г. 11:37

Все ответы

  • Установите на клиентском компьютере исправление

    https://support.microsoft.com/en-us/kb/2866345

    Дополнительные подробности можно посмотреть в этой статье:

    http://terrytlslau.tls1.cc/2014/05/sysvol-65535-and-ad-sysvol-version.html

    15 июля 2016 г. 13:46
    Модератор
  • Спасибо, проверю. Но в ссылке не указывается Windows 7 в разделе "Applies to"

    Добавлено:

    Действительно, данное обновление для Windows 7 не существует...

    • Изменено Xudojnik 15 июля 2016 г. 14:02
    15 июля 2016 г. 13:50
  • Попробуйте удалить папки C:\Windows\System32\GroupPolicy и C:\Windows\System32\GroupPolicyUsers

    Сазонов Илья

    https://isazonov.wordpress.com/

    15 июля 2016 г. 14:01
    Модератор
  • Действительно, для Windows 7 исправление не предлагается. Тогда проверьте workaround: хотя бы с целью тестирования настройте так, чтобы объекты групповых политик, находящиеся в структуре AD выше расположения компьютера, не использовали фильтры безопасности и WMI-фильтры. Проблема должна исчезнуть. Последовательно включая фильтры на GPO, возможно, удастся продвинуться в решении проблемы.
    15 июля 2016 г. 14:07
    Модератор
  • To Сазонов Илья,

    Удалил. После применения политики папки не воссоздаются, что по-моему странно.

    Журнал политики перечисляет примененные политики, но версии SysVol 65535.

    Сделал изменение в одной политике, удачно применилась на данном ПК.


    • Изменено Xudojnik 18 июля 2016 г. 14:09
    18 июля 2016 г. 14:06
  • osr_, Спасибо, буду тестировать этот вариант


    • Изменено Xudojnik 18 июля 2016 г. 14:09
    18 июля 2016 г. 14:06
  • Вервия GPO на клиенте не меняется ни в какую ((
    21 июля 2016 г. 9:06
  • Проблема с этой политикой только на одном компьютере?

    Сазонов Илья

    https://isazonov.wordpress.com/

    21 июля 2016 г. 9:07
    Модератор
  • Удалите папки

    C:\ProgramData\Microsoft\Group Policy

    C:\Windows\System32\GroupPolicy

    C:\Windows\System32\GroupPolicyUsers

    и обновите политику.


    Сазонов Илья

    https://isazonov.wordpress.com/

    21 июля 2016 г. 9:09
    Модератор
  • Да. проблема только на этой станции
    22 июля 2016 г. 13:51
  • Удалите папки

    C:\ProgramData\Microsoft\Group Policy

    C:\Windows\System32\GroupPolicy

    C:\Windows\System32\GroupPolicyUsers

    и обновите политику.


    Сазонов Илья

    https://isazonov.wordpress.com/

    Удалил C:\ProgramData\Microsoft\Group Policy, не помогает.

    Случайно также удалил C:\ProgramData\Group Policy

    Папки

    C:\Windows\System32\GroupPolicy

    C:\Windows\System32\GroupPolicyUsers

    были удалены ранее.

    Ничего из указанного выше так и не воссоздалось заново! (И после перезагрузок, и после принудительного обновления политик). Кстати WMI-фильтры имеются, но не используются ни в одном GPO домена

    25 июля 2016 г. 11:13
  • А вывести и ввести обратно машинку не пробовали?

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    25 июля 2016 г. 11:36
  • А вывести и ввести обратно машинку не пробовали?

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    Писал в 1-м посте, не помогло
    25 июля 2016 г. 12:49
  • А что показывают логи? Обычные и расширенные?

    Сазонов Илья

    https://isazonov.wordpress.com/

    26 июля 2016 г. 3:19
    Модератор
  • А что показывают логи? Обычные и расширенные?

    Сазонов Илья

    https://isazonov.wordpress.com/

    Журналы без ошибок.

    Журнал "Приложение" показывает предупреждение WinLogon 6005, 6006

    Журнал "Система" без ошибок и предупреждений

    Журнал "Microsoft-Windows-GroupPolicy/Operational" одно предупреждение GroupPolicy 6314 (Не удалось оценить полосу пропускания групповой политики. Обработка групповой политики будет продолжена. Предполагается канал связи быстро.)

    27 июля 2016 г. 8:59
  • Кажется разобрался, хотя результат странный получился.

    Включил детализирование логов групповой политики (http://clintboessen.blogspot.com/2014/01/how-to-enable-group-policy-debugging-on.html)

    В c:\Windows\debug\UserMode\gpsvc.log нашел, что 2 ГПО компьютер не может прочитать. Это нормально, т.к. эти политики применяются членами группы, в которую этот ПК не входит. Но, там указано, что локальная версия данной политики на ПК 65535. При этом политики не применяются ни к какому OU!

    Я вручную добавил "Прошедших проверку" для этик 2-х политик, но только для чтения, а не применения политики. После чего ситуация исправилась.

    Правда проблема разрешилась, но осадок остался. Видимо когда-то политика применялась к данному ПК (но версия не могла быть 65535), потом доступ ограничили и ПК вышел из поля применения этой политики, после чего он не мог прочитать, чтобы сравнить версии. Но почему-то, из-за этого он показывал некорректную версию для все политик. ))


    27 июля 2016 г. 11:37