none
Потеряна групповая политика. RRS feed

  • Вопрос

  • Добра всем! Ситуация: делал миграцию домена с win server 2008R2 на 2012R2. Процесс закончился, новый контроллер работает, осталась проблема с групповой политикой.  Ошибка в службах:

    Имя журнала:   System
    Источник:      Microsoft-Windows-GroupPolicy
    Дата:          05.07.2017 13:05:40
    Код события:   1096
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:
    Пользователь:  СИСТЕМА
    Компьютер:     terminal.workgroup.local
    Описание:
    Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LDAP://CN=Machine,CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=workgroup,DC=local". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>1096</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>1</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2017-07-05T08:05:40.547024300Z" />
        <EventRecordID>3772</EventRecordID>
        <Correlation ActivityID="{54C47B40-726E-4D27-A94D-51D9C429FCE6}" />
        <Execution ProcessID="304" ThreadID="2132" />
        <Channel>System</Channel>
        <Computer>terminal.workgroup.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="SupportInfo1">2</Data>
        <Data Name="SupportInfo2">1240</Data>
        <Data Name="ProcessingMode">0</Data>
        <Data Name="ProcessingTimeInMilliseconds">640</Data>
        <Data Name="ErrorCode">3</Data>
        <Data Name="ErrorDescription">Системе не удается найти указанный путь. </Data>
        <Data Name="DCName">\\terminal.workgroup.local</Data>
        <Data Name="GPOCNName">LDAP://CN=Machine,CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=workgroup,DC=local</Data>
        <Data Name="FilePath">\\workgroup.local\sysvol\workgroup.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol</Data>
      </EventData>
    </Event>

    Ошибка в приложениях:

    Дата:          05.07.2017 13:05:40
    Код события:   1001
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     terminal.workgroup.local
    Описание:
    Не удалось выполнить распространение политики безопасности. Нет доступа к шаблону. Код ошибки = 3.
    \\workgroup.local\sysvol\workgroup.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="SceCli" />
        <EventID Qualifiers="49152">1001</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2017-07-05T08:05:40.000000000Z" />
        <EventRecordID>1246</EventRecordID>
        <Channel>Application</Channel>
        <Computer>terminal.workgroup.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>Нет доступа к шаблону. Код ошибки = 3.
    \\workgroup.local\sysvol\workgroup.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.</Data>
      </EventData>
    </Event>

    Домен старый. Когда то переходил с 2003R2.

    Сейчас ситуация следующая - компы авторизуются. Сеть работает. Групповая политика не открывается. Я так понимаю файл - контейнер потерялся где то в процессе миграции. Редактор политики домена и DC не открываются, ссылаясь на отсутствующий файл. Бэкапа к сожалению не сохранилось. Старый сервер уже убран из домена, корректно пониже в роли.

    Подскажите, пожалйуста, есть ли выход из этого тупика? 

Ответы

  • Первое: посмотрите содержимое общей папки SYSVOL (C:\Windows\SYSVOL\Domain или, если делали миграцию механизма репликации с FRS на DFSR - C:\Windows\SYSVOL_DFSR\Domain ) на новом контроллере: там должны быть папки Policies (с кучей подпапок с именами в виде GUID - {31B2F340-016D-11D2-945F-00C04FB984F9} и подобными) и Scripts (она обычно пустая, но тоже нужна). Если там этого нет, то поищите и аналогичные папки на старом сервере и скопируйте оттуда (плюс сделайте копию скопированного в другом месте - пригодится). Возможно, это решит проблему, возможно - всего лишь уберёт симптомы её (неприменение групповой политики), возможно - потребуются ещё дополнительные действия даже для восстановления применения групповой политики. Поэтому посмотрите, в каком состоянии у вас находится служба репликации файлов, отвечающая за SYSVOL: если делали миграцию механизма репликации - то служба репликации DFS (DFSR), иначе - Служба репликации файлов (FRS). Обычно запущена только одна из этих служб. Перезапустите эту службу, найдите её журнал событий и посмотрите, были ли там зафиксированы какие-либо ошибки. Если там что-то есть, то надо вернуть эту службу в исправное состояние путём полномочной (authoritative) синхронизации SYSVOL для соответствующей службы(об этом, если понадобится - позже, или ищите здесь на форуме - случаев таких проблем и их решения было полно).

    Если на старом сервере вы файлы из SYSVOL не найдёте, то единственый выход - сбросить политики в состояние по умолчанию с помощью dcgpofix.exe. При этом все изменения будут, увы, потеряны. Дальше - опять-таки проверить состояние службы репликации SYSVOL, как написано выше.


    Слава России!


    5 июля 2017 г. 10:35

Все ответы

  • Первое: посмотрите содержимое общей папки SYSVOL (C:\Windows\SYSVOL\Domain или, если делали миграцию механизма репликации с FRS на DFSR - C:\Windows\SYSVOL_DFSR\Domain ) на новом контроллере: там должны быть папки Policies (с кучей подпапок с именами в виде GUID - {31B2F340-016D-11D2-945F-00C04FB984F9} и подобными) и Scripts (она обычно пустая, но тоже нужна). Если там этого нет, то поищите и аналогичные папки на старом сервере и скопируйте оттуда (плюс сделайте копию скопированного в другом месте - пригодится). Возможно, это решит проблему, возможно - всего лишь уберёт симптомы её (неприменение групповой политики), возможно - потребуются ещё дополнительные действия даже для восстановления применения групповой политики. Поэтому посмотрите, в каком состоянии у вас находится служба репликации файлов, отвечающая за SYSVOL: если делали миграцию механизма репликации - то служба репликации DFS (DFSR), иначе - Служба репликации файлов (FRS). Обычно запущена только одна из этих служб. Перезапустите эту службу, найдите её журнал событий и посмотрите, были ли там зафиксированы какие-либо ошибки. Если там что-то есть, то надо вернуть эту службу в исправное состояние путём полномочной (authoritative) синхронизации SYSVOL для соответствующей службы(об этом, если понадобится - позже, или ищите здесь на форуме - случаев таких проблем и их решения было полно).

    Если на старом сервере вы файлы из SYSVOL не найдёте, то единственый выход - сбросить политики в состояние по умолчанию с помощью dcgpofix.exe. При этом все изменения будут, увы, потеряны. Дальше - опять-таки проверить состояние службы репликации SYSVOL, как написано выше.


    Слава России!


    5 июля 2017 г. 10:35
  • Спасибо за совет!!! Помог сброс в дефолт с dcgpofix !!!! Хрен с ними, с изменениями. Потом их внесу руками заново. Главное все заработало. Еще раз спасибо!
    5 июля 2017 г. 11:40