none
GPO + DFS RRS feed

  • Общие обсуждения

  • Доброго времени суток!

    Ситуация в следующем:

    есть несколько КД, один из которых выключен. В данный момент ни каких операций с ним производить не хотелось бы (включать, удалять роль КД и т.п.). В логах DFS соответственно везде ошибки о том, что связи нет и репликация не проходит.

    Ввели новую машину в домен, но на ней не применяются групповые политики на компьютер ( на пользователя применяются, но программы на машину не устанавливаются). 

    Возник вопрос в чем причина, в репликации или нет и как вообще влияет выключенный КД на обработку GPO? Хотелось бы исправить ситуацию как можно скорее, но пока ничего не выходит.


    26 января 2015 г. 12:45

Все ответы

  • Здравствуйте,

    Могли бы предоставить список ошибок, также уточните выключен главный КД (PDC)?


    Вообще не рекомендуется приостанавливать работу домен контролера на долгое время. В противном случае репликация может остановиться, что приведет к появлению устаревших объектов. При этом в журнале событий службы каталогов может регистрироваться следующее сообщение об ошибке:

    Код события: 2042
    Источник: Репликация NTDS
    Тип: Ошибка
    Описание: С момента репликации данного компьютера с исходным компьютером прошло слишком много времени. Время между репликациями с исходным компьютером превышает время жизни захоронения. Репликация с этим компьютером прервана.


    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 26 января 2015 г. 13:06 update
    26 января 2015 г. 13:01
    Модератор
  • Вот ошибка из журнала событий DFS.

    Службе репликации DFS не удалось установить подключение к партнеру VDC по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере. 


    DNS-адрес партнера: VDC.intranet.ru

    Доступные дополнительные сведения: 
    WINS-адрес партнера: VDC 
    IP-адрес партнера: xxx.xxx.xxx.xxx 

    Служба периодически будет пытаться установить подключение. 

    Дополнительные сведения: 
    Ошибка: 1722 (Сервер RPC недоступен.) 
    Идентификатор подключения: 1054CA54-06F8-4E42-84F4-FACBF6537CA9 
    Идентификатор группы репликации: 7F2217FB-FBF0-4C66-B478-956DC364BC0D

    В отчетах DFS на КД 

    Ошибки связи препятствуют репликации с партнером VDC.
      Затронутые реплицированные папки: Все реплицированные папки на этом сервере.
      Описание: Репликация DFS не может выполнить репликацию с партнером VDC из-за ошибки связи. Эта ошибка может произойти, если узел недоступен или служба репликации DFS не запущена на сервере. Служба репликации DFS использовала DNS-имя партнера VDC.intranet.ru, IP-адрес xxx.xxx.xxx.xxx и адрес WINS VDC, но произошел сбой с кодом ошибки: 1722 (Сервер RPC недоступен.). ИД события: 5008

      Нет, выключен не PDC.

    Такой ошибки вроде нет нигде.

    А как это влияет на GPO? Какие действия необходимо выполнить, чтобы выявить причину не применения gpo и устранить ее?

    Спасибо.

    26 января 2015 г. 14:11
  • Уточните "IP-адрес партнера: xxx.xxx.xxx.xxx " - это ip адрес выключенного домен контроллера (DC)?

    Best Regards, Andrei ...
    Microsoft Certified Professional

    26 января 2015 г. 14:40
    Модератор
  • Да, как указано ниже в следующей ошибке: имя VDC и этот адрес.
    26 января 2015 г. 14:56
  • проверьте нет ли на выключенном КД какой-либо роли FSMO.

    есть подозрение что новый компьютер введен в домен некорректно.

    26 января 2015 г. 15:16
  • Доброго времени суток!

    Ситуация в следующем:

    есть несколько КД, один из которых выключен. В данный момент ни каких операций с ним производить не хотелось бы (включать, удалять роль КД и т.п.). В логах DFS соответственно везде ошибки о том, что связи нет и репликация не проходит.

    Ввели новую машину в домен, но на ней не применяются групповые политики на компьютер ( на пользователя применяются, но программы на машину не устанавливаются). 

    Возник вопрос в чем причина, в репликации или нет и как вообще влияет выключенный КД на обработку GPO? Хотелось бы исправить ситуацию как можно скорее, но пока ничего не выходит.


    Отключенный КД тут, скорее всего, не при чём - компьютер всегда ищет доступный КД, а для применения политики годится любой из них.

    Ищите источник проблемы через данные RSOP выведите в файл результаты применения политики командой gpresult /h имя_файла.html и просмотрите его в браузере.

    PS Ошибка, которую вы привели - вполне ожидаемая, она тут не при чём.


    Слава России!

    26 января 2015 г. 15:47
  • На выключенном ничего нет, все роли на работающих КД.

    Как это исключить или исправить? Внести заново?

    Спасибо

    27 января 2015 г. 7:48
  • Да, понимаю, ожидаема. Просто не знаю куда копать и как исправить.

    Да, ошибки есть в отчетах.

    Инфраструктура групповой политики не удалось выполнить из-за указанной ниже ошибки.

    Системе не удается найти указанный путь. 

    Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов недоступна.

    А затем ГПО на установку программ возвращает ошибку:

    не удалось завершить обработку политики, так как для применения параметров требуется перезагрузка системы. Попытка применить эти параметры групповой политики будет выполнена при следующей перезагрузке компьютера.

    27 января 2015 г. 7:51
  • Уточните вывод, на проблемной(ново-введенной) машине следующей команды:
    nltest /sc_verify:имя_домена  ?

    Также могли бы уточнить ошибки в событиях (eventlogs) на проблемной (ново-введенной) машине и прописан ли в настройках днс-серверах на проблемной (ново-введенной) машине ip выключенного КД (DC)?

    Best Regards, Andrei ...
    Microsoft Certified Professional

    27 января 2015 г. 8:24
    Модератор
  • да.

    сначала корректно исключить, дать время на репликацию (или принудительно реплицировать изменения на все контроллеры)

    затем снова ввести комп в домен.

    посмотреть результат команды gpupdate ...

    27 января 2015 г. 8:51
  • Вот вывод:

    C:\Windows\system32>nltest /sc_verify:intranet.ru
    Флаги: b0 HAS_IP  HAS_TIMESERV
    Имя доверенного контроллера домена \\CA.intranet.ru
    Состояние подключения доверенного контроллера домена Status = 0 0x0 NERR_Success

    Проверка доверия Status = 0 0x0 NERR_Success
    Команда выполнена успешно.

    Вот все ошибки за сегодняшний день из журнала GPO:

    Вызов LDAP для подключения и привязки к службе каталогов Active Directory завершен. 
    PC-01.intranet.ru
    Ошибка вызова через 0 мс.

    Групповой политике не удалось обнаружить сведения контроллера домена за 468 мс.

    Сбой периодической обработки политики для компьютера OFFICE\RU77M001$ за 0 с.

    Но через некоторое время все хорошо:

    Вызов LDAP для подключения и привязки к службе каталогов Active Directory завершен. 
    CA.intranet.ru
    Вызов обработан за 561 мс.

    Только после этого в сведениях данные компьютера:

    Сведения о компьютере: 
    Роль компьютера: 2
    Сетевое имя: 

    Затем чуть позже сведения:

    Список применимых объектов групповой политики: 

    TrustedRootCA
    Разрешить сетевое обноружение
    Default Domain Policy
    Install soft(Назначенный на ПК)
    Синхронноне обновление GPO
    Install soft x64 (Назначенные на ПК х64)
    eTokenDriver_x64
    Install Java x86
    eTokenDriver_x86
    eTokenAuth
    Install soft x86 (Назначенные на ПК х86)

    Затем предупреждение:

    Завершена обработка расширения Software Installation за 359 мс.

    Больше ничего не происходит.

    ip выключенного КД не прописан.


    • Изменено hophey 27 января 2015 г. 9:30
    27 января 2015 г. 9:29
  • Вывели, ввели снова.

    Не применяется. В журнале ошибок нет. Результат повторяется после каждой перезагрузки:

    Software Installation не удалось завершить обработку политики, так как для применения параметров требуется перезагрузка системы. Попытка применить эти параметры групповой политики будет выполнена при следующей перезагрузке компьютера.

    Далее в отчете по каждой программе описание и сведения.


    • Изменено hophey 27 января 2015 г. 10:51
    27 января 2015 г. 10:50
  • стесняюсь спросить ))) а какая ОС установлена на вновь введенном компьютере? и установлены ли на нее все существующие обновления? (надеюсь не ХР) ;)

    картина очень похожа на то что что то недоустановлено и ось пытается это доставить... с требованием перезагрузки...

    27 января 2015 г. 11:19
  • Странное поведение, уточните пожалуйста дата и время синхронизировано у рабочей станции с домен контроллером?

    Best Regards, Andrei ...
    Microsoft Certified Professional

    27 января 2015 г. 11:24
    Модератор
  • Win 7 Профессиональная. 

    Установили обновления, толка пока нет. Все тоже самое - постоянное сообщение в отчете о том что будет установлено после перезагрузки.

    27 января 2015 г. 11:39
  • Да, проверили, синхронизировано.
    27 января 2015 г. 11:40
  • Есть какие-либо варианты это исправить? в чем может быть причина?
    28 января 2015 г. 8:17
  • Картина у вас такова, будто компьютер пытается применить политику компьютера раньше, чем получает доступ по сети к КД, из-за этого политики, применяемые только при старте (типа установки ПО) не срабатывают.

    Прежде всего, попробуйте включитьить в политике компьютера в Administrative Templates\System\Logon параметр Always wait for the network at computer startup and logon. Особенно полезно это, если сетевой адаптер пишет в журнал событий сообщение  о своей инициализации (некоторые адаптеры, особенно серверные, это пишут) после попытки применения групповой политики.

    Второй возможный вариант - подключение компьютера к порту управляемого коммутатора, на котором включен протокол моста: в этом случае порт коммутатора в течение определённого интервала времени после подключения (по умолчанию - 50 сек) не передаёт и не принимает трафик по этому порту, а инициализация драйвера адаптера как раз обычно вызывает переподключение из-за смены скорости.


    Слава России!

    28 января 2015 г. 9:07
  • Ранее был подключен этот же фактически компьютер только с другими учетными данными. Через этот же сетевой адаптер и т.д.

    Обновили систему, апгрейд небольшой сделали и ввели в домен под новой учеткой для компа.

    Почему теперь происходит так, не понятно.

    28 января 2015 г. 9:35
  • Первое предложение уже установлено в политике по умолчанию для всего домена.
    28 января 2015 г. 9:45
  • На всякий случай: в локальную политику добавьте временно этот параметр, примените её, и после этого перезагрузитесь.

    Слава России!

    28 января 2015 г. 13:41
  • Добавили, применили, без изменений.

    Есть еще варианты или причины возникновения?

    28 января 2015 г. 15:19
  • Уточните имя компьютера имеет менее 15 символов?
    Также попробуйте принудительно включить NetBios в настройках сетевого интерфейса, и перегрузить компьютер.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    28 января 2015 г. 16:24
    Модератор
  • Да, менее. 8 символов.

    Включение NetBios не помогло. В журнале и отчете все тоже самое. =(

    Что делать то...

    29 января 2015 г. 6:29
  • это конечно противоречит всему, но попробуйте на данном компьютере залогиниться другим пользователем... уж если не доменным админом, так хотя бы тем у которого нет подобных проблем...
    29 января 2015 г. 9:07
  • Все без изменений.

    RSoP рисует восклицательный знак около всех приложений и в свойствах и причинах удаления пишет:

    Это приложение было применено благодаря выполнению следующих условий:

    Это приложение было назначено.

    По отношению к языку оно нейтрально.

    29 января 2015 г. 9:24
  • Да, менее. 8 символов.

    Включение NetBios не помогло. В журнале и отчете все тоже самое. =(

    Что делать то...

    попробуйте выполнить gpupdate /force и перегрузить компьютер.

    Если не поможет попробовать применить фикс:
    http://support.microsoft.com/kb/979731

    Best Regards, Andrei ...
    Microsoft Certified Professional

    29 января 2015 г. 10:22
    Модератор
  • Добавили, применили, без изменений.

    Есть еще варианты или причины возникновения?

    Не увидел ответ по поводу коммутатора, куда подключен компьютер: коммутатор управляемый, если да - то какой модели?

    Слава России!

    29 января 2015 г. 11:06
  • gpupdate уже миллион раз пробовали!

    Фикс не помог.

    29 января 2015 г. 11:07
  • NTFS ACL для источника устанавливаемого ПО позволяют попасть туда доменной _машине_ ? 

    DikSoft - MCP

    30 января 2015 г. 9:51
  • Ранее был подключен этот же фактически компьютер только с другими учетными данными. Через этот же сетевой адаптер и т.д.

    Обновили систему, апгрейд небольшой сделали и ввели в домен под новой учеткой для компа.

    Почему теперь происходит так, не понятно.

    Моё дело, конечно, стороннее, но я так и не увидел, чтобы вы при поиске причин неисправности исключили вариант с задержкой из-за включенного на порту управляемого коммутатора протокола моста (STP).

    Эта задержка вполне может быть причиной проблемы. Способ её лечения зависит от коммутатора.

    PS "Небольшой апгрейд" как раз мог привести к тому, что система начала загружаться чуть быстрее - и клиент групповой политики стал успевать вылетать при первом запуске по таймауту. Установка же политики "Всегда ждать инициализацию сети" тут не помогает: с точки зрения компьютера сеть уже давно инициализована - просто 50 секунд она ничего не пропускает, для срабатывания таймаута этого времени может хватить.


    Слава России!

    30 января 2015 г. 15:46