none
Нет обновлений политик домена RRS feed

  • Вопрос

  • Домен на 2003 R 2, нашел несколько групп ПК(несколько отделений банка) которые не обновляют Политики при загрузке самого ПК или Пользователя.

    При вводе в домен политика единожды подтянулась, и не запрашивают новых (пытаются выполнять старые скрипты, работают с настройками которые распространялись на момент ввода…   и т п). Если вывести-ввести ПК в домен то он их опять подтянет 1 раз и всё …

    Такая же ситуация и с пользователями, заходишь пользователем 1-й раз – получаешь политики, кладешь на пользователя другие политики – пытается выполнять старые… удаляешь учётку и снова заходишь – тянет новые….

    gpupdate /force выдаёт

    Обновление политики...

    Обновление политики User завершено.

    Обновление политики Computer завершено.

    Ничего в итоге не обновляя

    Подскажите плиз где рыть …

    7 октября 2009 г. 15:41

Ответы

  • dc2 находится в том же сайте, что и проблемные машины?

    ЗЫ: Наткнулся вот на такое обсуждение. Посмотрите последний пост. Не это ли ваш случай? Ссылка на KB.

    • Помечено в качестве ответа Ky4Ka 22 октября 2009 г. 15:27
    20 октября 2009 г. 16:37
  • dc2 находится в том же сайте, что и проблемные машины?

    ЗЫ: Наткнулся вот на такое обсуждение . Посмотрите последний пост. Не это ли ваш случай? Ссылка на KB .

    не проходит  ping dc1 -l 2048, хоть что-то уже выяснили))) буду бить сетевиков

    таки проблема реально крылась в данной ерунде)

    решил, только иначе... на тачках ТОБО прописал в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\(идентификатор сетевого интерфейса)\

    Value name: PingBufferSize
    Value type: DWORD
    Value : 500

    пинги не проходили по вине провайдера.. но этих гадов побороть нереально((

    всем пасиб за помощь

    • Изменено Ky4Ka 22 октября 2009 г. 15:26
    • Помечено в качестве ответа Ky4Ka 22 октября 2009 г. 15:27
    21 октября 2009 г. 6:34

Все ответы

  • А что в логах?..
    7 октября 2009 г. 16:39
    Отвечающий
  • в логах кроме обычных записей только нечто подобное

    Event Type:    Success Audit
    Event Source:    Security
    Event Category:    Logon/Logoff
    Event ID:    540
    Date:        08.10.2009
    Time:        8:47:39
    User:        (имя домена\юзера удалил)
    Computer:    DC1
    Description:
    Successful Network Logon:
         User Name:    (имя юзера удалил)
         Domain:        (имя домена удалил)
         Logon ID:        (0x0,0x672548F3)
         Logon Type:    3
         Logon Process:    Kerberos
         Authentication Package:    Kerberos
         Workstation Name:   
         Logon GUID:    {024766a0-3fdb-68ef-98b3-4b5abc729ca4}
         Caller User Name:    -
         Caller Domain:    -
         Caller Logon ID:    -
         Caller Process ID: -
         Transited Services: -
         Source Network Address:    192.168.12.40

    или

    Event Type:    Success Audit
    Event Source:    Security
    Event Category:    Directory Service Access
    Event ID:    565
    Date:        08.10.2009
    Time:        8:47:37
    User:        (домен\имя компа удалил)
    Computer:    DC1
    Description:
    Object Open:
         Object Server:    Security Account Manager
         Object Type:    SAM_GROUP
         Object Name:    S-1-5-21-589297662-2600867424-1250203817-1194
         Handle ID:    171995840
         Operation ID:    {0,1730496346}
         Process ID:    452
         Process Name:    C:\WINDOWS\system32\lsass.exe
         Primary User Name:    DC1$
         Primary Domain:    (имя домена удалил)
         Primary Logon ID:    (0x0,0x3E7)
         Client User Name:    (имя компа удалил)
         Client Domain:    (имя домена удалил)
         Client Logon ID:    (0x0,0x6725372F)
         Accesses:    READ_CONTROL
                AddMember
                ListMembers
                Undefined Access (no effect) Bit 7
               
         Privileges:    -

         Properties:
    ---
        group
    READ_CONTROL
    AddMember
    ListMembers
    Undefined Access (no effect) Bit 7
            General Information
                codePage
                countryCode
                objectSid
                primaryGroupID
                sAMAccountName
                comment
                displayName
            Group Membership
                member
            Public Information
                description

         Access Mask:    0


    ПС папки с политикой {024766a0-3fdb-68ef-98b3-4b5abc729ca4} не существует ...

    8 октября 2009 г. 9:39
  • А если попробовать пересоздать политику и прилинковать ее к OU с этими компьютерами?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    14 октября 2009 г. 8:21
    Модератор
  •   Пробовал  и накладывать новую политику поверх этого UO … пробовал и закинуть ПК\юзера в дрогой … результат =0...

    14 октября 2009 г. 14:58
  • Вы говорите, компьютеры из отделений? Может, срабатывают ограничения для slow link?

    14 октября 2009 г. 15:24
  • эм.. пасиб за предположение.... стоит значение по умолчанию, сейчас попробую задать значение поменьше...

    хотя... другие отделения насколько я помню на таких-же каналах (даже меньше есть)...
    14 октября 2009 г. 15:45
  • gpresult на проблемной машинке должен показать срабатывает ли порог.
    еще можно попробовать включить "Process even if the Group Policy objects have not changed". эт, если машины думают, что политика не менялась. с другой стороны это может привести к увеличению траффика.

    ЗЫ: еще gpresult покажет с какого контроллера и когда была загружена политика. Мб, она у вас реплицируется не на все контроллеры. Проверить можно с помощью gpotool.exe http://technet.microsoft.com/en-us/library/cc759170(WS.10).aspx Там так же есть указание на то, как включить логи.

    14 октября 2009 г. 16:11
  • отключение slow link (установка 0 в значении порога) ничего не дало...

    политики так и не обновляются ...
    C:\Documents and Settings\***>gpupdate /force
    Обновление политики...
    
    Обновление политики User завершено.
    Обновление политики Computer завершено.


    результат gpresult
    C:\Documents and Settings\***>gpresult
    Сведения:Пользователь "***" не имеет данных RSOP.
    под другим юзером...
    C:\Documents and Settings\***>gpresult
    Сведения:Объект политики не существует.

    репликацию между контроллерами проверял, всё ок
    15 октября 2009 г. 13:21
  • А номера версий в "gpt.ini" и контейнере GP в AD совпадают?..

    И что, кстати, в "%windir%\System32\groupolicy" находится? Попробуйте очистить эту папку.

    15 октября 2009 г. 13:30
    Отвечающий
  • А на клиентских машинах в логах ничего нет? Там, кстати, какая ОС стоит?

    ЗЫ: Посомотрите обсуждение по ссылке. http://www.eggheadcafe.com/software/aspnet/32268789/the-policy-object-does-no.aspx
    15 октября 2009 г. 13:43
  • эм... как бы сказать .. не нашел данной папки, чем был немало удивлён....
    16 октября 2009 г. 9:11
  • OC XP SP2 ... одну апнул до SP3...
    логи ..ничего необычного

    манимуляции с ДНС ни к чему не привели...
    16 октября 2009 г. 9:15
  • репликацию между контроллерами проверял, всё ок
    Проблема может быть связана с репликацией папки SYSVOL. Служба FRS.
    Вы запускали утилиту gpotool? Она проверяет идентичность групповых политик на контроллерах в папке SYSVOL и соответствующие им объекты в AD.

    dcdiag, netdiag на контрллерах ничего не показывает?
    16 октября 2009 г. 10:16
  • сори, тупанул нащёт папочки grouppolicy ... была... очистка ничего не поменяла...

    gpotool запускал всё ок....

    dcdiag всё ок

    netdiag

     WINS service test. . . . . : Skipped

    Trust relationship test. . . . . . : Skipped (єто на главном, на остальных пишет ок)

    WAN configuration test . . . . . . : Skipped
        No active remote access connections.

    IP Security test . . . . . . . . . : Skipped
    16 октября 2009 г. 11:48
  • с серверами, похоже, у вас все в порядке.

    вы запускали gpresult из под юзера? для этой утилитки нужны права админа. запустите ее еще разок из под администратора.

    проверьте, работает ли сервис TCP/IP NetBIOS Helper, не блокирует ли файрвол ICMP траффик к контроллеру?
    16 октября 2009 г. 16:12
  • Я бы попроблвал сбросить настройки безопасности в дефолтное состояниена на одной из проблемных машин и посмотреть - не поможет ли?
    http://support.microsoft.com/kb/313222

    17 октября 2009 г. 6:44
  • 1. Раз речь идёт об отделениях, - смею предположить, что у Вас AD разбито на несколько сайтов. Проверьте, к правильному ли сайту привязался проблемный компьютер (значение HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName)
    Обратите особое внимание на контроллеры этого сайта. Кстати, нет ли между отделениями каких-либо файрволов, которые режут трафик?
    2. Та политика, что успела примениться, не гасит ли какие-либо службы, сетевые протоколы? Если да, то может оказаться, что она, применившись в первый раз, погасила что-то такое, без чего обновление политик невозможно.
    3. Зайдя на проблемный комп под учеткой обычного пользователя, посмотрите значение переменной LOGONSERVER, после чего подключитесь к шаре SYSVOL и убедитесь, что файлы политики доступны для просмотра.

    18 октября 2009 г. 2:23
  • с серверами, похоже, у вас все в порядке.

    вы запускали gpresult из под юзера? для этой утилитки нужны права админа. запустите ее еще разок из под администратора.

    проверьте, работает ли сервис TCP/IP NetBIOS Helper, не блокирует ли файрвол ICMP траффик к контроллеру?
    gpresult запускал под админом машины... даж под админом домена)
    TCP/IP NetBIOS Helper работает конечно
    брендмаувер вообще зарубил ....
    19 октября 2009 г. 7:48
  • 1. Раз речь идёт об отделениях, - смею предположить, что у Вас AD разбито на несколько сайтов. Проверьте, к правильному ли сайту привязался проблемный компьютер (значение HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName)
    Обратите особое внимание на контроллеры этого сайта. Кстати, нет ли между отделениями каких-либо файрволов, которые режут трафик?
    2. Та политика, что успела примениться, не гасит ли какие-либо службы, сетевые протоколы? Если да, то может оказаться, что она, применившись в первый раз, погасила что-то такое, без чего обновление политик невозможно.
    3. Зайдя на проблемный комп под учеткой обычного пользователя, посмотрите значение переменной LOGONSERVER, после чего подключитесь к шаре SYSVOL и убедитесь, что файлы политики доступны для просмотра.

    1 эти отделения входят в один сайт с другими(разница только в названии OU), на которых всё ок ... сайт приехал верный
    2 изначальная политика ничего нужного не резала... как я уже говорил при выводе\вводе ПК в домен он политику тянет новую (которая уж точно верная, но после этого снова затыкается....)
    3 доступ конечно есть и в SYSVOL и в NETLOGON...

    19 октября 2009 г. 8:09
  • Я бы попроблвал сбросить настройки безопасности в дефолтное состояниена на одной из проблемных машин и посмотреть - не поможет ли?
    http://support.microsoft.com/kb/313222

    увы не дало никакого результата...

    MSI просто сказал что всё классно..

    ручной метод записал в лог ошибки по типу "не нашел файликов косынки" ... какая жалость....
    19 октября 2009 г. 9:40
  • gpresult запускал под админом машины... даж под админом домена)
    Все страннее и страннее...
    Мне кажется, осталось только попробовать включить лог в http://technet.microsoft.com/en-us/library/cc775423(WS.10).aspx, запустить gpupdate и посмотреть на содержимое UserEnv.log.
    19 октября 2009 г. 19:03
  • gpresult запускал под админом машины... даж под админом домена)
    Все страннее и страннее...
    Мне кажется, осталось только попробовать включить лог в http://technet.microsoft.com/en-us/library/cc775423(WS.10).aspx , запустить gpupdate и посмотреть на содержимое UserEnv.log.



    результат

    USERENV(28c.d3c) 15:02:33:296 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(28c.d3c) 15:02:33:312 CEvents::Report: ReportEvent failed.  Error = 1502
    USERENV(28c.af8) 15:27:21:796 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(28c.af8) 15:27:21:812 CEvents::Report: ReportEvent failed.  Error = 1502
    USERENV(28c.110) 15:39:30:796 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(28c.110) 15:39:30:812 CEvents::Report: ReportEvent failed.  Error = 1502
    USERENV(a1c.a74) 15:43:39:656 LibMain: Process Name:  C:\WINDOWS\system32\gpupdate.exe
    USERENV(a1c.874) 15:43:39:687 RefreshPolicyEx: Entering with force refresh 1
    USERENV(a1c.874) 15:43:39:687 RefreshPolicyEx: Leaving.
    USERENV(28c.56c) 15:43:40:140 ProcessGPOs:
    USERENV(28c.56c) 15:43:40:140 ProcessGPOs:
    USERENV(28c.56c) 15:43:40:140 ProcessGPOs: Starting user Group Policy (Background) processing...
    USERENV(28c.56c) 15:43:40:140 ProcessGPOs:
    USERENV(28c.56c) 15:43:40:156 ProcessGPOs:
    USERENV(28c.56c) 15:43:40:156 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
    USERENV(28c.56c) 15:43:40:156 EnterCriticalPolicySectionEx: User critical section has been claimed.  Handle = 0x714
    USERENV(28c.56c) 15:43:40:156 EnterCriticalPolicySectionEx: Leaving successfully.
    USERENV(28c.56c) 15:43:40:156 ProcessGPOs:  Machine role is 2.
    USERENV(28c.56c) 15:43:40:171 PingComputer: PingBufferSize set as 2048
    USERENV(28c.56c) 15:43:40:171 PingComputer: Adapter speed 100000000 bps
    USERENV(28c.56c) 15:43:40:203 PingComputer:  First time:  36
    USERENV(28c.af8) 15:43:40:328 GPOThread: Background forced refresh requested, calling GetUserNameEx to refresh DN cache which returned 0x0
    USERENV(28c.af8) 15:43:40:328 ProcessGPOs:
    USERENV(28c.af8) 15:43:40:328 ProcessGPOs:
    USERENV(28c.af8) 15:43:40:328 ProcessGPOs:  Starting computer Group Policy (Background) processing...
    USERENV(28c.af8) 15:43:40:328 ProcessGPOs:
    USERENV(28c.af8) 15:43:40:328 ProcessGPOs:
    USERENV(28c.af8) 15:43:40:328 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
    USERENV(28c.af8) 15:43:40:343 EnterCriticalPolicySectionEx: Machine critical section has been claimed.  Handle = 0x874
    USERENV(28c.af8) 15:43:40:343 EnterCriticalPolicySectionEx: Leaving successfully.
    USERENV(28c.af8) 15:43:40:343 ProcessGPOs:  Machine role is 2.
    USERENV(28c.af8) 15:43:40:343 PingComputer: PingBufferSize set as 2048
    USERENV(28c.56c) 15:43:45:296 PingComputer:  Second send failed with 11010
    USERENV(28c.56c) 15:43:45:375 PingComputer:  First time:  53
    USERENV(fc8.d9c) 15:43:50:671 LibMain: Process Name:  C:\Program Files\Symantec AntiVirus\SescLU.exe
    USERENV(28c.56c) 15:43:51:031 PingComputer:  Second send failed with 11010
    USERENV(28c.56c) 15:43:51:296 PingComputer:  First time:  26
    USERENV(28c.56c) 15:43:56:796 PingComputer:  Second send failed with 11010
    USERENV(28c.56c) 15:43:56:812 PingComputer:  No data available
    USERENV(28c.af8) 15:43:56:812 PingComputer: Adapter speed 100000000 bps
    USERENV(28c.af8) 15:43:56:843 PingComputer:  First time:  37
    USERENV(28c.56c) 15:43:56:953 PingComputer: PingBufferSize set as 2048
    USERENV(28c.af8) 15:44:02:296 PingComputer:  Second send failed with 11010
    USERENV(28c.af8) 15:44:02:328 PingComputer:  First time:  27
    USERENV(28c.af8) 15:44:07:796 PingComputer:  Second send failed with 11010
    USERENV(28c.af8) 15:44:07:828 PingComputer:  First time:  28
    USERENV(28c.af8) 15:44:13:296 PingComputer:  Second send failed with 11010
    USERENV(28c.af8) 15:44:13:328 PingComputer:  No data available
    USERENV(28c.56c) 15:44:13:328 PingComputer: Adapter speed 100000000 bps
    USERENV(28c.56c) 15:44:13:359 PingComputer:  First time:  31
    USERENV(28c.af8) 15:44:13:468 PingComputer: PingBufferSize set as 2048
    USERENV(28c.56c) 15:44:18:796 PingComputer:  Second send failed with 11010
    USERENV(28c.56c) 15:44:18:843 PingComputer:  First time:  33
    USERENV(28c.56c) 15:44:24:296 PingComputer:  Second send failed with 11010
    USERENV(28c.56c) 15:44:24:343 PingComputer:  First time:  29
    USERENV(28c.56c) 15:44:29:796 PingComputer:  Second send failed with 11010
    USERENV(28c.56c) 15:44:29:812 PingComputer:  No data available
    USERENV(28c.56c) 15:44:29:812 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(28c.56c) 15:44:29:812 CEvents::Report: ReportEvent failed.  Error = 1502
    USERENV(28c.56c) 15:44:29:812 ProcessGPOs: No WMI logging done in this policy cycle.
    USERENV(28c.56c) 15:44:29:812 ProcessGPOs: Processing failed with error 59.
    USERENV(28c.56c) 15:44:29:812 LeaveCriticalPolicySection: Critical section 0x714 has been released.
    USERENV(28c.56c) 15:44:29:828 ProcessGPOs: User Group Policy has been applied.
    USERENV(28c.56c) 15:44:29:828 ProcessGPOs: Leaving with 0.
    USERENV(28c.56c) 15:44:29:828 GPOThread:  Next refresh will happen in 100 minutes
    USERENV(28c.af8) 15:44:29:843 PingComputer:  First time:  29
    USERENV(28c.af8) 15:44:35:296 PingComputer:  Second send failed with 11010
    USERENV(28c.af8) 15:44:35:328 PingComputer:  First time:  26
    USERENV(28c.af8) 15:44:40:796 PingComputer:  Second send failed with 11010
    USERENV(28c.af8) 15:44:40:828 PingComputer:  First time:  27
    USERENV(28c.af8) 15:44:46:296 PingComputer:  Second send failed with 11010
    USERENV(28c.af8) 15:44:46:328 PingComputer:  No data available
    USERENV(28c.af8) 15:44:46:328 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(28c.af8) 15:44:46:328 CEvents::Report: ReportEvent failed.  Error = 1502
    USERENV(28c.af8) 15:44:46:328 ProcessGPOs: No WMI logging done in this policy cycle.
    USERENV(28c.af8) 15:44:46:328 ProcessGPOs: Processing failed with error 59.
    USERENV(28c.af8) 15:44:46:328 LeaveCriticalPolicySection: Critical section 0x874 has been released.
    USERENV(28c.af8) 15:44:46:343 ProcessGPOs: Computer Group Policy has been applied.
    USERENV(28c.af8) 15:44:46:343 ProcessGPOs: Leaving with 0.
    USERENV(28c.af8) 15:44:46:343 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
    USERENV(28c.af8) 15:44:46:343 EnterCriticalPolicySectionEx: Machine critical section has been claimed.  Handle = 0x874
    USERENV(28c.af8) 15:44:46:343 EnterCriticalPolicySectionEx: Leaving successfully.
    USERENV(28c.af8) 15:44:46:375 LeaveCriticalPolicySection: Critical section 0x874 has been released.
    20 октября 2009 г. 12:58
  • > USERENV(28c.d3c) 15:02:33:296 ProcessGPOs: DSGetDCName failed with 59.

    покажите netiag /q с проблемного клиента.
    20 октября 2009 г. 13:58
  • echo %LOGONSERVER% - это DC из сайта клиентов? пинг на него идет?
    nslookup domain.name  - что выдает?

    20 октября 2009 г. 14:04
  • > USERENV(28c.d3c) 15:02:33:296 ProcessGPOs: DSGetDCName failed with 59.

    покажите netiag /q с проблемного клиента.
    качну суппорт тулз и завтра проверю
    20 октября 2009 г. 15:21
  • LOGONSERVER выдал //dc2 пинг конечно идёт ...


    nslookup domain.name

    имя 1-го контроллера
    его айпи

    пинг на него тоже идёт)
    20 октября 2009 г. 15:28
  • dc2 находится в том же сайте, что и проблемные машины?

    ЗЫ: Наткнулся вот на такое обсуждение. Посмотрите последний пост. Не это ли ваш случай? Ссылка на KB.

    • Помечено в качестве ответа Ky4Ka 22 октября 2009 г. 15:27
    20 октября 2009 г. 16:37
  • dc2 находится в том же сайте, что и проблемные машины?

    ЗЫ: Наткнулся вот на такое обсуждение . Посмотрите последний пост. Не это ли ваш случай? Ссылка на KB .

    не проходит  ping dc1 -l 2048, хоть что-то уже выяснили))) буду бить сетевиков

    таки проблема реально крылась в данной ерунде)

    решил, только иначе... на тачках ТОБО прописал в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\(идентификатор сетевого интерфейса)\

    Value name: PingBufferSize
    Value type: DWORD
    Value : 500

    пинги не проходили по вине провайдера.. но этих гадов побороть нереально((

    всем пасиб за помощь

    • Изменено Ky4Ka 22 октября 2009 г. 15:26
    • Помечено в качестве ответа Ky4Ka 22 октября 2009 г. 15:27
    21 октября 2009 г. 6:34
  • можно обойтись и без рукоприкладства :) достаточно поставит патч или прописать ключи в реестре. хотя, если машин много, проще побить сетевиков. :)
    21 октября 2009 г. 6:48
  • Если машин много, то можно воспользоваться WSUS'ом и групповыми политиками. И бить никого не придется - разве что для профилактики ;)
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    22 октября 2009 г. 10:13
    Модератор
  • Если машин много, то можно воспользоваться WSUS'ом и групповыми политиками. И бить никого не придется - разве что для профилактики ;)
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    боюсь они просто не найдут WSUS, если политика не скажет где искать.... а политика то и не работала)
    22 октября 2009 г. 15:27