none
Ошибка чтения групповой политики RRS feed

  • Общие обсуждения

  • Всем привет!

    Последнюю неделю наблюдается ошибка, которую не удается решить. Проблема в чтении групповой политики клиентами. В логах следующая ошибка:

    Ошибка при обработке групповой политики. Попытка чтения файла "\\company.ru\SysVol\company.ru\Policies\{CFEDB8E8-6156-4FF1-BD03-250844B4B82F}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: 
    a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена. 
    b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена). 
    c) Отключен клиент распределенной файловой системы (DFS).

    Возникло это после проблем с железом на одном из контроллеров домена. Этот контроллер успешно удалили из домена средствами ntdsutil. 

    Если запустить gpresult, он неправильно перечисляет группы, в которых состоит пользователь. Есть, например группа msk, в которой состоит пользователей и которой применяется данная политика. GPRESULT не показывает, что пользователь в этой группе состоит.

    Плюс ко всему, в оснастке групповой политики нельзя редактировать Default Domain Policy. Ошибка следующего вида

    Ошибка групповой политики: 
    Не удалось открыть объект групповой политики. Возможно, вы не имеете достаточных прав.

    Господа Гуру, кто имел дело с подобным, отзовитесь! В чем причина?



    • Изменено centneroff 14 августа 2012 г. 14:41
    • Изменен тип Vinokurov Yuriy 29 августа 2012 г. 13:48
    14 августа 2012 г. 14:40

Все ответы

  • Попробуйте начать с  руководства Устранение неполадок групповой политики. Также, проверьте разрешения у учетной записи.

    http://support.microsoft.com/kb/294257


    14 августа 2012 г. 18:20
    Отвечающий
  • Самое интересное, что ни одна ситуация под нашу не подходит.

    Как мне кажется, главная проблема в том, что при применении политик неправильно перечисляются группы, в которых состоит пользователь. GPRESULT это показывает. Но вот куда рыть в решении этой проблемы я пока не представляю. Статьи говорят только проблемы с доступом, проблемы с dns. Но доступы на политики расставлены верно, только при применении не определяются правильно группы пользователя. В DNS тоже проблем не вижу. Все хорошо, без ошибок, остальные сервисы функционируют без ошибок...

    15 августа 2012 г. 4:22
  • Обычно одно следует из другого= неправильная настройка ДНС влечет за собой сбои в репликации, и, как следствие, ГП. Вы извините, конечно, но с ролями все в порядке? netdom query вам адекватную картину кажет? На настройку ДНС я бы с вашего позволения взглянул.

    Проверьте пока вот что \ваш_контроллер\SysVol\company.ru\Policies и на другом контроллере откройте ту же папку - на глаз и вес сравните, отличаются ли? если да- надо скопировать "недостающую" папку со страшным именем.

    И, конечно, фирменное: dcdiag /q ,replmon showrepl ipconfig /all с машин в студию ! (с)  А то говорим, говорим....

    15 августа 2012 г. 4:56
    Отвечающий
  • netdom query fsmo
    Schema master               CHB-DC01.hevel.company.ru
    Domain naming master        CHB-DC01.hevel.company.ru
    PDC                         CHB-DC01.hevel.company.ru
    RID pool manager            CHB-DC02.hevel.company.ru
    Infrastructure master       CHB-DC02.hevel.company.ru

    Папки с политиками на контроллерах одинаковые.

    У нас 2 сайта, поэтому показываю dcdiag с контроллеров разных сайтов:

    с первого:

    C:\Windows\system32>dcdiag /q
             An error event occurred.  EventID: 0x00000422
                Time Generated: 08/15/2012   10:00:49
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\hevel.company.ru\SysVol\hevel.company.ru\Policies\{CFEDB8E8-6156-4FF1-BD
    03-250844B4B82F}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 08/15/2012   10:12:59
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\hevel.company.ru\sysvol\hevel.company.ru\Policies\{3F86E993-61DE-41CB-BA
    6B-F4DE16D6B5F6}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 08/15/2012   10:13:04
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\hevel.company.ru\sysvol\hevel.company.ru\Policies\{3F86E993-61DE-41CB-BA
    6B-F4DE16D6B5F6}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 08/15/2012   10:18:00
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\hevel.company.ru\sysvol\hevel.company.ru\Policies\{3F86E993-61DE-41CB-BA
    6B-F4DE16D6B5F6}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 08/15/2012   10:23:00
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\hevel.company.ru\sysvol\hevel.company.ru\Policies\{3F86E993-61DE-41CB-BA
    6B-F4DE16D6B5F6}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 08/15/2012   10:28:01
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\hevel.company.ru\sysvol\hevel.company.ru\Policies\{3F86E993-61DE-41CB-BA
    6B-F4DE16D6B5F6}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             ......................... CHB-DC01 failed test SystemLog

    Со второго:

    :\Windows\system32>dcdiag /q
            There are warning or error events within the last 24 hours after the
            SYSVOL has been shared.  Failing SYSVOL replication problems may cause
            Group Policy problems.
            ......................... MSK-DC01 failed test DFSREvent

    ipconfig с контроллера msk-dc01:

    C:\Windows\system32>ipconfig /all
    
    Windows IP Configuration
    
       Host Name . . . . . . . . . . . . : msk-dc01
       Primary Dns Suffix  . . . . . . . : hevel.company.ru
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : hevel.company.ru
    
    Ethernet adapter Local Area Connection:
    
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
       Physical Address. . . . . . . . . : 00-50-56-82-58-A2
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::7924:b51a:ea68:d491%12(Preferred)
       IPv4 Address. . . . . . . . . . . : 192.168.44.2(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.44.1
       DHCPv6 IAID . . . . . . . . . . . : 251678806
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-17-65-DB-58-00-50-56-82-58-A2
    
       DNS Servers . . . . . . . . . . . : ::1
                                           192.168.44.3
                                           192.168.44.2
                                           127.0.0.1
       NetBIOS over Tcpip. . . . . . . . : Enabled
    
    Tunnel adapter isatap.{AEAB5C2A-CE0A-4D36-B8BA-05D9BFD4BB5C}:
    
       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
    
    Tunnel adapter Local Area Connection* 11:
    
       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    На остальных контроллерах идентично, за исключением IP адресов.

    А в настройка DNS что конкретнее привести?


    • Изменено centneroff 15 августа 2012 г. 6:37
    15 августа 2012 г. 6:37
  • А пробовали Run-> вставить путь к инишке, открывается? М., разрешения хитрые на ней какие?

    15 августа 2012 г. 6:59
    Отвечающий
  • Путь к ini файлу открывается, но файл пустой... Разрешения пробовал сбрасывать на разрешения по умолчанию - все равно та же картина.

    Частично проблема решилась. Создали новую копию политики и применили ее в домене. Новая копия читается. Но по прежнему вопрос открыт с Default Domain Policy - ее нельзя редактировать... А так же старые политики так и не применяются...

    15 августа 2012 г. 9:14
  • Самое интересное, что ни одна ситуация под нашу не подходит.

    Тогда можно сделать резервную копию GPO и выполнить  Dcgpofix

    15 августа 2012 г. 9:30
    Отвечающий
  • Со второго:

    :\Windows\system32>dcdiag /q
            There are warning or error events within the last 24 hours after the
            SYSVOL has been shared.  Failing SYSVOL replication problems may cause
            Group Policy problems.
            ......................... MSK-DC01 failed test DFSREvent


    Посмотрите, какие именно ошибки в журнале событий DFSR. Потому что симптомы похожи как раз на нарушение репликации SYSVOL.

    Слава России!

    15 августа 2012 г. 10:47
  • Эта ошибка возникала из за того, что политики не применялись и из-за этого неправильно работал файрвол. Сейчас с новыми политиками все хорошо. Ошибок нет. Осталась проблема с невозможностью редактировать Default Domain Policy. Ее отлинковали и решили не использовать. Выполнять Dcgpofix как то страшно. Если оставить Default Domain Policy в таком состоянии - это чревато, или ничего страшного в этом нет?
    16 августа 2012 г. 4:26
  • Примените Dcgpofix. Сомневаюсь, что возможны какие-либо печальные последствия, если, как я вам повторяю, вы создадите резервную копию политик. А вот отлинковать DDP и оставить ее отлинкованной - ваши страхи придут к вам раньше, чем вы их ждете.

    16 августа 2012 г. 5:02
    Отвечающий
  • а чем чревата отлинкованая DDP? Какие страхи могут прийти?
    16 августа 2012 г. 10:28
  • а чем чревата отлинкованая DDP? Какие страхи могут прийти?

    В качестве примера.

    У этих двух дефолтных политик (DDP и DDCP) - всегда один и тот же GUID, в любом домене, этим пользуются некоторые программы установщики, например установщик MS Exchnage - он вносит для группы Exchange servers право manage and auditing security log (В DDCP) - соответственно - если дефолтные политики у вас отлинкованы - то появятся неприятные последствия и ошибки. А между тем инсталлятор отрапортует, что установка прошла без ошибок.


    16 августа 2012 г. 10:39
    Отвечающий
  • Посмотрите, какие именно ошибки в журнале событий DFSR. Потому что симптомы похожи как раз на нарушение репликации SYSVOL.
    Присоединяюсь - покажите логи DFSR (давно мигрировали с FRS? или изначально поднимались с DFSR?). С dcgpofix подождите - с учётом остальной солянки маловероятно, что проблема у вас с DDP... Дежурный вопрос - не баловались с восстановлением контроллеров с образов/снапшотов?
    17 августа 2012 г. 7:18
    Отвечающий
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    22 августа 2012 г. 13:51
  • Тема переведена в разряд обсуждений по причине отсутствия активности


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    29 августа 2012 г. 13:48