none
Не выполняются групповые политики в домене w2k3. RRS feed

  • Вопрос

  • Не выполняются групповые политики в домене (не на серверах, не на рабочих станциях).
    Есть домен. Есть два сайта. На серверах стоят win2k3 r2, а на рабочих станциях winxp sp3. Настраиваю синхронизацию времени в домене (синхронизирую со stand-along сервером, а его уже с Интернетом). В Default domain policy делаю необходимые изменения, эта политика распространяется и на серверы и на КД и на рабочие станции.

    На любом сервере или рабочей станции перезапускаю службу. Делаю gpupdate /force, и вижу, что значения параметров НЕ изменились.

    сервера имеют static IP. рабочие станции dynamic IP.
    выполнение dcdiag и netdiag и gptool прошло успешно.
    gpresult на рабочей станции и на КД прошли успешно.
    В логах ошибок относящихся к GP нет, только предупреждения.
    Network Connection-Advanced-Advanced settings подключения по lan стоят первыми.
    gpmc(rsop) выдает только, что после установленного софта нужно перезагрузится.
    Параметры Enforce и Block Enheritance не установлены

    Куда копать? Почему изменения настроек GP не воздействует на компьютеры(не меняет значения в реестре)?

    Добавлено:
    на рабочей станции в C:\WINDOWS\Debug\UserMode\userenv.log есть такие записи
    USERENV(374.51c) 18:21:39:914 PolicyChangedThread: UpdateUser failed with 6.
    USERENV(374.520) 20:07:49:027 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.
    USERENV(374.120) 20:08:01:399 PolicyChangedThread: UpdateUser failed with 6.
    USERENV(374.31c) 20:08:25:678 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.

    18 ноября 2009 г. 22:24

Ответы

  • Вова, может, объясните, зачем Вам так сильно понадобилось синхронизировать компьютеры в составе домена AD с внешним источником? - 1. Все контроллеры домена у меня виртуальные, время на них утекает по разному. 2. Рвется канал между сайтами и сеть рушится из-за разницы во времени на каждом сервере. Kerberos допускает рассинхронизацию не более 5 мин. По-моему это неизменяемая величина(Если знаете где можно поменять - укажите).
    "
    Nt5DS - это режим синхронизации, указывающий службе на задействование механизма синхронизации с контроллерами AD (а не указанным внешним источником), которая выполняется по RPC без аутентификации клиента.
    " - вот про это где можно прочитать?

    Тему можно закрывать. Синхронизацию в домене решил другим способом. Выставил на всех виртуалках синхронизацию с хостом, все хостов с одной физической машиной, а эту машину с Интернет ntp-сервером. Так в обоих сайтах, с одним отличием. Головной ntp-сервер 2-го сайта синхронизируется с головным ntp-сервером первого сайта.
    29 ноября 2009 г. 20:32

Все ответы

  • Не надо настраивать синхронизацию времени в домене! Она там уже настроена. Хотите синхронизировать с внешним источником, настройте только PDC.

    что значит "gpresult прошел успешно"? с ключом /v он показывает пораметры, которые были применены?

    19 ноября 2009 г. 4:09
  • Не надо настраивать синхронизацию времени в домене! Она там уже настроена. Хотите синхронизировать с внешним источником, настройте только PDC.


    Почему не надо? Эторекомендация MS? Если да, то можно ссылку на статью.
    Не хочу чтобы синхронизировалось с PDC, хочу со stand-along сервером.

    "с ключом /v он показывает пораметры, которые были применены" - прийду на работу дам ответ...
    19 ноября 2009 г. 6:01
  • Почему не надо? Эторекомендация MS? Если да, то можно ссылку на статью.

    http://technet.microsoft.com/ru-ru/library/cc773013(WS.10).aspx

    Если хотите синхронизацию со "stand-along сервером" - то настройте PDC эмулятор на синхронизацию с ним
    19 ноября 2009 г. 6:19
    Отвечающий
  • Почему не надо? Эторекомендация MS? Если да, то можно ссылку на статью.

    http://technet.microsoft.com/ru-ru/library/cc773013(WS.10).aspx

    Если хотите синхронизацию со "stand-along сервером" - то настройте PDC эмулятор на синхронизацию с ним


    1) В этой статье не нашел, что Майкрософт не рекомендует так делать. Или я пропустил?



    2) На одном из КД с переодичностью 5 мин. сыпятся ошибки

    Event Type: Error
    Event Source: Userenv
    Event Category: None
    Event ID: 1058
    Date:  19.11.2009
    Time:  11:54:21
    User:  NT AUTHORITY\SYSTEM
    Computer: OURDC1
    Description:
    Windows cannot access the file gpt.ini for GPO cn={746A4DFE-A59E-4B5E-B56C-94C0B6850A98},cn=policies,cn=system,DC=OURDOMAIN,DC=FIRMA,DC=ru. The file must be present at the location <\\OURDOMAIN.FIRMA.ru\SysVol\OURDOMAIN.FIRMA.ru\Policies\{746A4DFE-A59E-4B5E-B56C-94C0B6850A98}\gpt.ini>. (Access is denied. ). Group Policy processing aborted.

    Event Type: Error
    Event Source: Userenv
    Event Category: None
    Event ID: 1030
    Date:  19.11.2009
    Time:  11:54:21
    User:  NT AUTHORITY\SYSTEM
    Computer: OURDC1
    Description:
    Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

    Служба DFS на КД запущена. Доступ к \\OURDOMAIN.FIRMA.ru\SysVol\OURDOMAIN.FIRMA.ru\Policies\{746A4DFE-A59E-4B5E-B56C-94C0B6850A98}\gpt.ini
    с OURDC1 есть (открыл в блокноте). Это проблема с репликацией между сайтами?

    19 ноября 2009 г. 9:24
  • 1)

    All Available Synchronization Mechanisms

    The “all available synchronization mechanisms” option is the most valuable synchronization method for users on a network. This method allows synchronization with the domain hierarchy and may also provide an alternate time source if the domain hierarchy becomes unavailable, depending on the configuration. If the client is unable to synchronize time with the domain hierarchy, the time source automatically falls back to the time source specified by the NtpServer setting. This method of synchronization is most likely to provide accurate time to clients.

    2) попробуйте выполнить на этом КД dfsutil /purgemupcache

    19 ноября 2009 г. 9:37
    Отвечающий
  • 1)

    All Available Synchronization Mechanisms

    The “all available synchronization mechanisms” option is the most valuable synchronization method for users on a network. This method allows synchronization with the domain hierarchy and may also provide an alternate time source if the domain hierarchy becomes unavailable, depending on the configuration. If the client is unable to synchronize time with the domain hierarchy, the time source automatically falls back to the time source specified by the NtpServer setting. This method of synchronization is most likely to provide accurate time to clients.

    2) попробуйте выполнить на этом КД dfsutil /purgemupcache


    1) Наиболее правильный...Очень расплывчатая формулировка.
    Вроде разобрался - ntp сервер(шлюз) находится не в домене и не является авторизованным, скорее всего из-за этого не применяются настройки синхронизации. Попробовать пока нет времени.

    2) Вроде помогло. Почитал в Интернете, что эта ошибка может появится. Будем ждать.
    19 ноября 2009 г. 11:19
  • Групповые политики так и не применяются.

    Часть результат gpresult на одном из серверов
    ...
    GPO: W32timeMaster
    KeyName: Software\Policies\Microsoft\W32Time\Config\UpdateInterval
    Value: 200, 0, 0, 0
    State: Enabled
    GPO: W32timeMaster
    KeyName: Software\Policies\Microsoft\W32Time\TimeProviders\NtpClient\SpecialPollInterval
    Value: 40, 0, 0, 0
    State: Enabled
    ...

    Захожу в реестр и вижу
    ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
    ...
    "UpdateInterval"=dword:00000064
    ...
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
    ...
    "SpecialPollInterval"=dword:00000096
    ...

    Уже создал отдельное OU вынес его сразу под корень внес туда один сервер(виртуалку). Выставил для этого ОU Enforced, Block Inheritance.
    Все равно не применяется политика. Почти все сервера виртуальные (может в этом дело?)
    Пользователи входят в группы безопасности с доступом к применению политики(authenticated users), компьютеры нет. Добавил тестовый компьютер в эту группу. Сделал gpupdate /force зашел в реестр значения не поменялись.


    Скажите, как можно запретить применение только политик связанных с синхронизацией времени . Может в реестре где ключ стоит?

    22 ноября 2009 г. 19:05
  • Владимир, как это Вы добавили учетную запись компьютера в группу "Authenticated Users"? Или как? Если речь все же шла не о специальных группах, то компьютер надо было перезагрузить, прежде, чем вызывать обновление политики.

    Настоятельно советую Вам последовать советам Ивана и СыНС!

    Рекомендую к ознакомлению:
    http://blogs.msdn.com/w32time/archive/2007/09/04/keeping-the-domain-on-time.aspx
    http://blogs.msdn.com/w32time/pages/group-policy-settings-explained.aspx

    22 ноября 2009 г. 19:45
    Отвечающий
  • Как оказалось политики работают, я смотрел в ветку
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
    а политики надо смотреть в
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time


    Владимир, как это Вы добавили учетную запись компьютера в группу "Authenticated Users"?  - Я Добавил тестовый компьютер в группы безопасности с доступом к применению политики в эту группу входят также Authenticated Users

    Решил немного переделать схему:
    InternetNTPServer-SuperMasterNTPServer(w2k3 nonDomain)-MasterNTPServerSite1(w2k3 DC, nonPDCEmulator )&MasterNTPServerSite2(w2k3 DC, nonPDCEmulator). Члены сайта1 синхронизируются соответственно c MasterNTPServerSite1, а  Члены сайта2 синхронизируются соответственно c MasterNTPServerSite2.

    Для членов сайта в ГПО пока стоит(пока не настроил MasterNTPServerSite1/2 здесь менять политику не хочу)
    W32Time-Parameters
    NtpServer=SuperMasterNTPServer,0x1
    Type=AllSync


    Не могу настроить синхронизацию MasterNTPServerSite1 с SuperMasterNTPServer. В реестре MasterNTPServerSite1 ставлю
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Config
    "AnnounceFlags"=dword:00000005
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Parameters]
    "NtpServer"="SuperMasterNTPServer,0x1"
    "Type"="NTP"

    на MasterNTPServerSite1 запускаю net time /querysntp
    мне выдается
    The current SNTP value is: SuperMasterNTPServer
    на MasterNTPServerSite1 запускаю net time
    мне выдается
    current time at \\comp9 is 23.11.2009 20:59

    Получается MasterNTPServerSite1 сейчас синхронизируется с comp9(winxp - это член домена). Как заставить MasterNTPServerSite1 синхронизироваться с SuperMasterNTPServer???

    23 ноября 2009 г. 18:02
  • Ещё вопросы.
    Как проходит аутентификация в NT5DS? Через Kerberos? Можно подробно этот аспект работы NT5DS изложить?

    Я правильно понимаю работу через NTP? Если клиент и сервер поддерживают аутентификацию, то работают через NTP. Если хоть один не поддерживает, то работают через SNTP.

    24 ноября 2009 г. 4:34
  • Мне просто интересно, неужели НИКТО не делал в домене синхронизацию по ntp? Т.е. можно ли утверждать, что синхронизацию через ntp в домене сделать НЕЛЬЗЯ?
    Для информации хотелось узнать у тех, кто советует сделать с использованием nt5ds - какое количество рабочих станций, серверов и DC приходилось синхронизировать? Что дает право говорить, о работающей синхронизации? Проводился мониторинг? Какими средствами? С какими настройками?

    24 ноября 2009 г. 21:21
  • Можно, если очень хочется. :) Любой компьютер в домене можно настроить для синхронизации времени либо от контроллера домена (а соответственно контроллеров домена - от PDC и т.д.), либо от заданного NTP-сервера. Естественно, если вы настроите синхронизацию времени на всех компьютерах от какого-либо NTP-сервера, то во всяком случае, AD и аутентификация будут работать, но у вас просто появится лишняя задача поддерживать синхронизацию времени, которая в домене работает почти сама по себе. 

    Для изменения режима синхронизации можно воспользоваться утилитой w32tm с ключами /config /syncfromflags. Следующий параметр DOMHIER (по умолчанию) означает доменную синхронизацию, MANUAL - синхронизацию от заданных источников времени. Последние должны быть перечислены в ключе /manualpeerlist. w32tm /config /update актуализирует внесенные изменения.

    Эту же утилиту можно использовать для мониторинга синхронизации.

    Подробнее см.

    http://technet.microsoft.com/en-us/library/bb491016.aspx
    24 ноября 2009 г. 21:53
    Модератор
  • Я ничего про механизмы аутентифкации клиента NTP и SNTP не слышал. Nt5DS - это режим синхронизации, указывающий службе на задействование механизма синхронизации с контроллерами AD (а не указанным внешним источником), которая выполняется по RPC без аутентификации клиента.

    Да кто сказал, что в домене AD нельзя компьютеры, присоединенные к нему, настроить на внешний источник?

    Вот статья - все подробно описано про варианты синхронизации: http://technet.microsoft.com/en-us/library/cc779145(WS.10).aspx. Смотрите также дополнительные ссылки к этой статье.

    Вова, может, объясните, зачем Вам так сильно понадобилось синхронизировать компьютеры в составе домена AD с внешним источником?..
    25 ноября 2009 г. 0:02
    Отвечающий
  • Вова, может, объясните, зачем Вам так сильно понадобилось синхронизировать компьютеры в составе домена AD с внешним источником? - 1. Все контроллеры домена у меня виртуальные, время на них утекает по разному. 2. Рвется канал между сайтами и сеть рушится из-за разницы во времени на каждом сервере. Kerberos допускает рассинхронизацию не более 5 мин. По-моему это неизменяемая величина(Если знаете где можно поменять - укажите).
    "
    Nt5DS - это режим синхронизации, указывающий службе на задействование механизма синхронизации с контроллерами AD (а не указанным внешним источником), которая выполняется по RPC без аутентификации клиента.
    " - вот про это где можно прочитать?

    Тему можно закрывать. Синхронизацию в домене решил другим способом. Выставил на всех виртуалках синхронизацию с хостом, все хостов с одной физической машиной, а эту машину с Интернет ntp-сервером. Так в обоих сайтах, с одним отличием. Головной ntp-сервер 2-го сайта синхронизируется с головным ntp-сервером первого сайта.
    29 ноября 2009 г. 20:32
  • Ok. Вова, может, отметите полезные сообщения своих коллег?

    29 ноября 2009 г. 20:39
    Отвечающий