none
GPO разница при просмотре параметров и при изменении RRS feed

  • Вопрос

  • Здравствуйте! Столкнулся с такой непоняткой - в консоли GPM при просмотре свойств политики одно, а когда делаешь изменить политику - другое.

    Например: при просмотре параметров политики в "Адм.шаблоны > сеть > сетевые подкл-я > брандмауер > профиль домена" есть 18 строчек касающихся разных портов, в том числе 53(udp и tcp), когда нажимаю изменить эту политику вижу только 11 строчек, 53 порта и некоторых других нет. Если сохранить - так и применяется, как будто эти строчки удалили.

    Есть предположения о причинах такого поведения?

    9 ноября 2018 г. 7:55

Ответы

  • Разобрался, как мне кажется.

    Длина имени ключа реестра в 260 символов - ограничение. Это тянется из Win2000.

    Как это вылечить?

    • Помечено в качестве ответа mitay3 21 ноября 2018 г. 10:53
    21 ноября 2018 г. 9:52

Все ответы

  • Инфтраструктура: win2012R2, DC1, DC2, Sysvol_dfsr. Папки SYSVOL на обоих DC одинаковые за исключением DfsrPrivat - ConflictAndDeleted и Staging разных размеров на разных DC.

    >dfsrmig /getMigrationState
    Все контроллеры домена успешно перешли в глобальное состояние ("Удалено").
    Состояние миграции согласовано на всех контроллерах домена.
    Успешно.

    В журналах DFSR только варнинги на время архивации и перезагрузки серверов. Статус репликации - Успешно.

    dcdiag на DC1 без ошибок, на DC2 одна ошибка - systemlog "Сбой при изменении пароля учетной записи mydomain.ru. на машине с ошибкой: Указанная учетная запись уже существует" - не гуглится.

    При изменениях политик изменения реплицируются, файлы в SYSVOL изменяются везде. При восстановлении политики из архива появляется пустая папка  и GPT-{GUID}.INI в ConflictAndDeleted. GUID новый, такой политики нет. Появляются на том DC куда реплицируются изменения.

    Куда копать? Как такое может быть что при просмотре(отчет параметры) политики видим одно, а при редактировании другое?

    15 ноября 2018 г. 8:01
  • Можете показать скрин ?
    15 ноября 2018 г. 8:02
  • При просмотре 18 строчек(портов), при редактировании 11.

    • Изменено mitay3 15 ноября 2018 г. 8:35
    15 ноября 2018 г. 8:34
  • Смотрю procmoon'ом, при редактировании GPO процесс mmc.exe считывает файлы политики registry.pol с шары и из c:\Windows\SYSVOL_DFSR\sysvol\

    И там и там этот файл одинаковый и содержит нужные строки, однако в редакторе их нет. mmc запускал на DC. Через RSAT то же.

    Получается либо файл меняется на лету, либо что-то  не то с файлом, т.к. в текстовом редакторе ничего подозрительного.

    16 ноября 2018 г. 8:14
  • Смотрю procmoon'ом, при редактировании GPO процесс mmc.exe считывает файлы политики registry.pol с шары и из c:\Windows\SYSVOL_DFSR\sysvol\

    И там и там этот файл одинаковый и содержит нужные строки, однако в редакторе их нет. mmc запускал на DC. Через RSAT то же.

    Получается либо файл меняется на лету, либо что-то  не то с файлом, т.к. в текстовом редакторе ничего подозрительного.

    Вы смотрите через MMC используя RSAT на своем компьютере или подключаетесь по RDP  к контроллеру и открываете оснастку там? Т.к. это административные шаблоны - используете ли централизованное хранилище (а если нет, то почему нет?:) )? Оба контроллера 2012R2 с последними обновлениями?

    Я бы попробовал так:

    1. Сделать централизованное хранилище

    2. Проверить и обновить при необходимости ОС на контроллерах, обязательно перезагрузиться после этого

    3. Проверить обновления на своем компьютере, обязательно перезагрузиться

    4. Установить последний доступный RSAT (кстати, под 1809 уже новая версия)

    5. Попробовать со своего компьютера посмотреть оснастку и проверить исправилась ли ситуация?

    П.С. Снимаю вопрос по централизованному хранилищу - увидел на увеличенном скриншоте, что оно используется =)

    П.П.С. Пока печатал увидел, что выложили последнее сообщение про RSAT .. 

    Копал бы в сторону обновлений. Либо, может пересоздать политику?

    • Изменено atulyakov 16 ноября 2018 г. 8:24
    16 ноября 2018 г. 8:22
  • Спасибо! При сравнении с бэкапом нашел различия в 2-4 байтах в пропадающих строчках, в месте между ключем реестра и значением ключа. В здоровых строчках  эти байты одинаковые с бэкапом. Хотелось бы понять как такое могло случиться...

    И самое главное, в реестрах на серверах по тем путям что прописаны в файле политики не совсем то что в политике.

    Например в серверной политике есть 445 порт и другие, в реестре на сервере нет 445 порта, только другие. Но по 445-му порту он отвечает, в оснастке брандмауэра видно это правило(добавил подсеть в политике - появилась в оснастке FW на сервере).

    На другом сервере вообще почти пусто в этих ветках, рядом такой же(с такой же GPO), у него пусто только в профиле домена, в стандартном все есть. Хотя оба отвечают по портам которых нет в реестре. gpresult одинаковый, gpupdate делал.

    Вопрос: так и должно быть или это аномалия?


    • Изменено mitay3 19 ноября 2018 г. 10:18
    19 ноября 2018 г. 10:10
  • Спасибо! При сравнении с бэкапом нашел различия в 2-4 байтах в пропадающих строчках, в месте между ключем реестра и значением ключа. В здоровых строчках  эти байты одинаковые с бэкапом. Хотелось бы понять как такое могло случиться...

    И самое главное, в реестрах на серверах по тем путям что прописаны в файле политики не совсем то что в политике.

    Например в серверной политике есть 445 порт и другие, в реестре на сервере нет 445 порта, только другие. Но по 445-му порту он отвечает, в оснастке брандмауэра видно это правило(добавил подсеть в политике - появилась в оснастке FW на сервере).

    На другом сервере вообще почти пусто в этих ветках, рядом такой же(с такой же GPO), у него пусто только в профиле домена, в стандартном все есть. Хотя оба отвечают по портам которых нет в реестре. gpresult одинаковый, gpupdate делал.

    Вопрос: так и должно быть или это аномалия?


    445 порт используется SMB, поэтому он открывается при работе с файлами и принтерами в сети.

    Параметры могли остаться от предыдущих политик, которые удалили, не восстановив состояние на первоначальное. Либо были внесены корректировки вручную. Тут только гадать.

    А как такая ситуация вообще произошла - это хороший вопрос.

    19 ноября 2018 г. 10:27
  • Разобрался, как мне кажется.

    Длина имени ключа реестра в 260 символов - ограничение. Это тянется из Win2000.

    Как это вылечить?

    • Помечено в качестве ответа mitay3 21 ноября 2018 г. 10:53
    21 ноября 2018 г. 9:52