none
Перестали применяться групповые политики компьютера RRS feed

  • Общие обсуждения

  • Добрый день!

    Недавно обнаружил, что перестали применяться групповые политики computer configuration. Заливал ноутбук для клиента, обнаружил, что не применилась политика назначения корпоративного wsus сервера. Политики пользователя применяются. Gpupdate /force выполнял и на клиенте и на серверах (всего 3 DC, repadmin /syncall /AeS выполнял, репликация проходит без ошибок).

    dcdiag на двух серверах DC проходит со следующим варнингом.

    Starting test: KccEvent

       A warning event occurred.  EventID: 0x80000B47

          Time Generated: 12/28/2015   09:48:05

          Event String:

    На хозяине ролей ошибок dcdiag не выдает.

    gpupdate /force на всех DC выполнял. На клиенте при выполнении gpresult /h file.html написано что политика не применяется (пусто). В eventvwr на клиенте появляется ошибка 1129 "сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена". При этом в ipconfig /all указан второй DC в качестве dhcp сервера (один из тех, на котором варнинг есть).

    28 декабря 2015 г. 7:00

Все ответы

  • Диагностику в таких случаях надо начинать с конечного устройства, а не с КД.

    На ноутбуке есть в системном журнале сообщения об ошибках при обработке групповой политики?

    RSOP.msc что показывает? Применяется ли данная политика? Настройки WSUS из нее видны?

    Если политика применяется, но настройки WSUS не отображаются, проверяйте, что на SYSVOL на всех КД есть папка, соответствующая этой политике, и ее содержимое везде идентично.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    28 декабря 2015 г. 8:45
  • Ошибка на клиенте появляется только при перезагрузке, или и при выполнении gpupdate - тоже?

    Если - только при перезагрузке, то это может быть вызвано задержками при установлении сетевого подключения. Если не пользуетесь политиками, которые применяются только в момент запуска (типа политик установки программ), то эту ошибку можно даже просто игнорировать: через полтора-два часа после запуска цикл обновления политик будет повторен и политики применятся.

    Если и при gpupdate - тоже, то надо разбираться куда у вас девается сетевое подключение к контроллеру домена.

    Для этого, прежде всего, изучите журнал событий Система на предмет ошибок службы Netlogon ("Сетевой вход в систему").


    Слава России!

    28 декабря 2015 г. 8:46
  • Диагностику в таких случаях надо начинать с конечного устройства, а не с КД.

    На ноутбуке есть в системном журнале сообщения об ошибках при обработке групповой политики?

    RSOP.msc что показывает? Применяется ли данная политика? Настройки WSUS из нее видны?

    Если политика применяется, но настройки WSUS не отображаются, проверяйте, что на SYSVOL на всех КД есть папка, соответствующая этой политике, и ее содержимое везде идентично.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    На другом вновь залитом ноутбуке\ПК проявляется та же самая проблема, поэтому и начал с КД.

    На ноутбуке вышеописанная ошибка появлялась в 16:33:20, а сообщение "параметры групповой политики для этого пользователя обработаны успешно. Были обнаружены и применены новые параметры из 5 объектов групповой политики" появилось в 16:33:40.

    В 16:34:21 появилось сообщение "параметры групповой политики для этого компьютера обработаны успешно".

    rsop от доменного админа (у доменного пользователя нет прав локального админа) показывает политику, которая указывает сервер wsus и остальные параметры, указанные в этой политике.

    SYSVOL проверил, папка есть, содержимое идентично.

    28 декабря 2015 г. 10:21
  • Ошибка на клиенте появляется только при перезагрузке, или и при выполнении gpupdate - тоже?

    Если - только при перезагрузке, то это может быть вызвано задержками при установлении сетевого подключения. Если не пользуетесь политиками, которые применяются только в момент запуска (типа политик установки программ), то эту ошибку можно даже просто игнорировать: через полтора-два часа после запуска цикл обновления политик будет повторен и политики применятся.

    Если и при gpupdate - тоже, то надо разбираться куда у вас девается сетевое подключение к контроллеру домена.

    Для этого, прежде всего, изучите журнал событий Система на предмет ошибок службы Netlogon ("Сетевой вход в систему").


    Слава России!

    сейчас на клиенте выполнил gpupdate. В системном журнале появились 2 записи: "параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики" и "параметры групповой политики для этого компьютера обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики"

    Политики установки ПО применяются.

    После перезагрузки, ошибка NETLOGON 5719 "компьютер не может установить безопасный сеанс связи с контроллером домена"


    • Изменено demidron7 28 декабря 2015 г. 10:32 добавление
    28 декабря 2015 г. 10:29
  • Короче, у вас имеет место случай временной недоступности сети при запуске.

    Если это некритично, то можете не обращать внимание и не искать причины.

    Причины же могут быть совсем разные, в том числе и не связанные ни с контроллером домена, ни с клиентским компьютером. Например, если вы подключите компьютер к порту управляемого коммутатора, на котором работает протокол моста (STP), то этот порт, согласно спецификации протокола, 50 секунд после подключения не передаёт данные. А при загрузке драйвера в Windows подключение часто устанавливается заново, чтобы изменить скорость. И этих 50 секунд за глаза хватает, чтобы попытки подключения по сети к КД при запуске системы оборвались по таймауту.


    Слава России!


    • Изменено M.V.V. _ 28 декабря 2015 г. 10:48
    28 декабря 2015 г. 10:47
  • Специально спросил у сетевых инженеров, STP включен в portfast (данные передает сразу).

    Пробовал по wifi, ситуация аналогичная. Закрыть глаза конечно можно, но как тогда назначать групповые политики на компьютер? после gpupdate /force  и перезагрузки ноутбука обновления так же можно искать только через windows update.

    В логе появилось событие 8036, системе не удалось выполнить обновление и удалить записи ресурсов (А или АААА)

    28 декабря 2015 г. 10:58
  • Сейчас еще раз выполнил dcdiag на хозяине ролей FSMO:     

    Starting test: SystemLog

             An error event occurred.  EventID: 0xC0000428

                Time Generated: 12/28/2015   13:58:12

                Event String:

                The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Socke
    ts Layer (SSL) authentication and encryption. The following error occured: The permissions on the certificate template do not allow the current user
    to enroll for this type of certificate.


             ......................... FSMO_master failed test SystemLog

    28 декабря 2015 г. 11:16
  • Это, скорее всего, никак не связано с применением групповых политик на клиентах.

    Чисто на всякий случай: проверьте настройку серверов DNS в сетевых подключения на клиентах - нет ли там посторонних (кроме КД) серверов.


    Слава России!

    28 декабря 2015 г. 11:21
  • нет, оба DNS сервера на клиенте - контроллеры домена.
    28 декабря 2015 г. 11:26
  • При всем при этом, если менять настройки в GPO (например, вместо скачивать обновления, а решение об установке принимается пользователем назначить "уведомлять о новых обновлениях"), то изменения на клиент прилетают (в настройках центра обновления видно изменение).
    28 декабря 2015 г. 11:31
  • На КД случайно Dr.Web не стоит? А то бы у нас случай практически аналогичный. 
    12 января 2016 г. 13:09
  • Нет, Dr.Web не установлен.
    14 января 2016 г. 9:41
  • После обновления системы (через windows Update) на 8.1, групповые политики применяться стали. В консоли wsus (после принудительной перезагрузки и пинка wuauclt /reportnow) отобразилась статистика по данной машине. Домен контроллеры все windows Server 2012, уровень домена и леса 2008
    • Изменено demidron7 15 января 2016 г. 9:34 добавлено
    15 января 2016 г. 9:34