none
Не реплицируются групповые политики RRS feed

  • Вопрос

  • Появилась следующая проблема. Создана групповая политика для установки приложения. Так вот на клиенте не применяются групповые политики. При запуске gpupdate /force:

    Ошибка при обработке групповой политики. Попытка чтения файла "\\хххххххх\SysVol\ххххххх\Policies\{F5306EB8-7B8E-49E0-83BD-75D92F72441D}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены,  пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: 

    a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена. 
    b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена). 
    c) Отключен клиент распределенной файловой системы (DFS).

    Покопался в AD. Выяснил следующее. Есть 2 контроллера домена. Dc01 (Winserver 2008 R2) и DC02(Win server 2012). Проблема заключается в том что не реплицируются GPO между контроллерами. И клиент обращается к контроллеру на который политика еще не реплицировалась. В eventlog ошибок нет. Dcdiag /q отрабатывает без ошибок. Repadmin /showrepl показывает что репликация проходит успешно. Используется dfsr. Вопрос почему не могут реплицироваться политики если другие обьекты нормально реплицируются. В какую сторону смотреть?

    11 октября 2013 г. 15:02

Ответы

  • Политики могут не реплицироваться, потому что они реплицируются отдельным механизмом, DFSR. Repadmin работу этого механизма не показывает. Смотрите, какие события зарегестрированы в журнале событий DFSR. Если там нет ничего интересного, перезапустите эти службы на обоих КД и проверьте, что в журанлах событий нет сообщений об ошибках и есть сообщения об успешной инициализации и об установлении связи с одной из сторон.


    Слава России!

    11 октября 2013 г. 19:05

Все ответы

  • Политики могут не реплицироваться, потому что они реплицируются отдельным механизмом, DFSR. Repadmin работу этого механизма не показывает. Смотрите, какие события зарегестрированы в журнале событий DFSR. Если там нет ничего интересного, перезапустите эти службы на обоих КД и проверьте, что в журанлах событий нет сообщений об ошибках и есть сообщения об успешной инициализации и об установлении связи с одной из сторон.


    Слава России!

    11 октября 2013 г. 19:05
  • Не стал создавать такую-же тему, но проблема 1 в 1. Два контроллера Win 2012 главный Win 2012R2 вторичный. Ошибка очень похожая. Пропали репликации. Что сделано.

    Доступ физически есть. С проблемного КД захожу на нормальный по \\dc1\sysvol вижу все каталоги в политиках. в тех которые не реплицировались gpt.ini открывается.

    Передёрнул руками репликации основываясь на статью https://support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs

    Repadmin /syncall DC_name /APed на обоих кд прошли без ошибок.

    На проблемном кд не выполнилась команда DFSRDIAG PollAD. Ошибка, что он не знает такую команду. Почему пока не выяснял. первый КД её выполнил успешно.

    После репликация так и не заработало. Папка sysvol не обновилась. Через GPMC с проблемного контроллера я эти политики вижу, но при заходе ругается на доступ к файлу. в GPMC в состоянии второй контроллер(проблемный) отображается с иконкой ?, в стоблце SysVol - недоступно.

    DNSы в интерфейсах указаны перекрёстно, т.е. на DC1 (Нормальный) по порядку

    1. ip DC2

    2. 127.0.0.1

    3. ip DC дочернего домена docher.contoco.local

    На DC2 (проблемный) 

    1. ip DC1

    2. 127.0.0.1

    3. ip DC Дочерний

    в dcdiag ошибки на репликации sysvol. 

    Посоветуйте с чего начать.


    30 марта 2017 г. 7:09
  • Начинать надо, как всегда, с прогона dcdiag (можно dcdiag /q или dcdiag /q /skip:SystemLog даже для сокращения объёма информации) на обоих контроллерах домена. А также в случае проблем с репликацией SYSVOL  - перезапустить параллельно службу, отвечающую за репликацию (DFS или FRS) на обоих контроллерах и посмотреть, какие ошибки и предупреждения появляются в журналах событий этой службы.

    И лучше это сделать в новой теме: говорить, что у вас всё то же самое можно, только если совпадают эти самые ошибки (они могут быть очень разными).

    PS dfsrdiag входит в состав компонента средств управления DFS (из состава средств управления ролью файлового сервера и хранилища). На контроллере домена это компонент по умолчанию при установке роли AD DS не ставится, нужно ставить дополнительно.


    Слава России!

    30 марта 2017 г. 8:34