none
Проблема с обновлением групповой политики. RRS feed

  • Вопрос

  • Ошибка при обработке групповой политики. Попытка чтения файла "\\domain.ru\Sysvol\domain.ru\{B80F8F9A-ADD2-4624-8C29-005FE004BEF7}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением.

    Данная ошибка возникает при выполнении команды gpupdate /force на клиентской машине. На КД в логах никаких ошибок.

    В сети 5 КД. В ЦО 3 КД, но они в разных сайтах. Основной в ЦО, два других в дефолтном. Остальные с своих сайтах в других городах. Репликация проходит штатно. Все изменения на в АД и днс реплицируются. В чем может быть проблема?

Ответы

  • Репликация DFS была отключена из-за некорректного завершения работы Windows.

    Собственно, метод восстановления полностью описан в тексте события.

    Только обязательно скопируйте в безопасное место, а потом, после возобновления репликации - верните на прежнее место содержимое папки SYSVOL. Её путь по умолчанию - C:\windows\SYSVOL\domain по умолчанию, реальный путь у вас можно посмотреть в выдаче команды dfsrdiag, выполненной на КД в разделе SYSVOL Subscription  в Local Settings для указанного контроллера домена, параметр называется Root path. dfsrdiag входит в состав DFS Management Tools, проще всего их установить из Powershell в режиме администратора: Install-WindowsFeature RSAT-DFS-Mgmt-Con.

    Потому что при восстановлении репликации все созданные и изменённые после прекращения репликации файлы и папки (то есть все созданные и изменённые с тех пор политики) будут удалены или  заменены версиями, взятыми с остальных КД (т.е. старыми).

    PS Более подробно про восстановление репликации SYSVOL можно прочитать в статье 2958414 MS KB


    Слава России!

    • Предложено в качестве ответа Vector BCOModerator 13 мая 2015 г. 18:10
    • Помечено в качестве ответа AndreySV 21 мая 2015 г. 6:28

Все ответы

  • Попробуйте для начала почистить кэш групповых политик на клиенте. Удалите все из каталога %ALLUSERSPROFILE%\Application Data\Microsoft\Group Policy\History\ и выполните gpupdate /force

    Innovation distinguishes between a leader and a follower - Steve Jobs

  • так же посмотрите что B80F8F9A-ADD2-4624-8C29-005FE004BEF7 это за политика и посмотрите не применяются ли какие то не дефолтные права на ней
    Модератор
  • Проверьте, что в Проводнике открывается папка по следующему пути (поместите его в адресной строке)

    \\domain.ru\Sysvol\domain.ru\{B80F8F9A-ADD2-4624-8C29-005FE004BEF7}

    и файл gpt.ini также открывается.

    Модератор
  • Удалил две политики на которые ругалась. Одна из политик была создана сегодня. Политика была для монтирования шар с помощью сопоставления дисков.

    Политику удалил. Создал заново пустую, выполняю - та же ошибка, с именем моей новой GPO. По тем путяем я не смог провалиться, у меня Windows 8. При чем это на всех компьютерах так(((Такое ощущение, что у меня с доменом что-то. dcdiag выдает все ОК, кроме что не пройдена проверка SysLog

  • Добейтесь, чтобы указанная сетевая папка групповой политики открывалась на клиентском компьютере, иначе применение групповых политик работать не будет. Проверьте, открывается ли папка \\domain.ru, сетевые пути, в которых вместо domain.ru подставляются имена домен-контроллеров. Причинами ошибок могут быть неправильные настройки DNS на клиенте (в качестве DNS-серверов должны быть указаны ваши домен-контроллеры), неправильные разрешения на папку.
    Модератор
  • Так. С клиента по пути \\srv01-dc1\sysvol\domain.ru\{ID_GPO}\ - я захожу, файлик gpt.ini открываю.

    А если пойти по адресу, который мне в ошибке возвращает -  \\domain.ru\sysvol\domain.ru\{ID_GPO}\ - то не заходит. Там даже нет этой групповой политики. Последняя политика была там создана 04.04.2015. 

    Настройки DNS правильные. Единственное что я делал, это переименовывал сайты, т.к. там не понятно было какой сайт в каком регионе, добавлял новые сети, т.к. у нас сменилась IP адресация в ЦО после переезда. И у нас еще был косяк с DFS. Был старый DFS, его удалили, потом сделали новый. Собственно после этого я постоянно в КД вижу различные ошибки.

  • Так. С клиента по пути \\srv01-dc1\sysvol\domain.ru\{ID_GPO}\ - я захожу, файлик gpt.ini открываю.

    А если пойти по адресу, который мне в ошибке возвращает -  \\domain.ru\sysvol\domain.ru\{ID_GPO}\ - то не заходит. Там даже нет этой групповой политики. Последняя политика была там создана 04.04.2015. 

    Настройки DNS правильные. Единственное что я делал, это переименовывал сайты, т.к. там не понятно было какой сайт в каком регионе, добавлял новые сети, т.к. у нас сменилась IP адресация в ЦО после переезда. И у нас еще был косяк с DFS. Был старый DFS, его удалили, потом сделали новый. Собственно после этого я постоянно в КД вижу различные ошибки.

    Есть подозрение, что у вас проблемы с репликацией папки SYSVOL между контроллерами домена (КД).

    Для проверки на каждом КД сравните содержимое SYSVOL (по умолчанию она находится по пути C:\windows\SYSVOL\domain) с содержимым этой папки на PDC Emulator (какой КД им является, можно посмотреть командой netdom query fsmo) - по умолчанию консоль управления групповыми политиками создаёт и меняет политики именно на этом КД

    Тут вовзможны 2 варианта:

    1. Почти на всех КД содержимое папки SYSVOL правильное. В таком случае проблемными является тот (те) КД, где оно неправильное.

    2. Правильное содержимое - только на PDC Emulator. В таком случае проблемным является он.

    На проблемном(ых) КД перезапустите службу отвечающую за репликацию папки SYSVOL (если домен не обновлялся со старых версий Windows, это, однозначно- DFS Replication Service) и посмотрите в её журнале событий, какие события уровня предупреждений или ошибок возникают в течение 15 минут после её перезапуска.

    Способы устранения проблемы зависят от той конкретной причины, которая отмечена в событиях в журнале.


    Слава России!

    • Предложено в качестве ответа Vector BCOModerator 13 мая 2015 г. 18:11
  • У меня вариант №2. 

    Имя журнала:   DFS Replication
    Источник:      DFSR
    Дата:          13.05.2015 18:09:52
    Код события:   2213
    Категория задачи:Отсутствует
    Уровень:       Предупреждение
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     SMR01-DC3.domain.ru
    Описание:
    Служба репликации DFS остановила репликацию на томе C:. Это происходит, если рабата базы данных DFSR JET была завершена с ошибками, а автоматическое восстановление отключено. Чтобы устранить эту проблему, заархивируйте файлы в соответствующих реплицированных папках, а затем возобновите репликацию с помощью метода WMI ResumeReplication. 
     
    Дополнительные сведения: 
    Том: C: 
    GUID: 6E1A70D7-C186-11E4-93E7-806E6F6E6963 
     
    Действия для восстановления 
    1. Заархивируйте файлы во всех реплицированных папках на томе. Если не сделать этого, может произойти потеря данных при разрешении конфликтов во время восстановления реплицированных папок. 
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="6E1A70D7-C186-11E4-93E7-806E6F6E6963" call ResumeReplication 
     


    • Изменено AndreySV 13 мая 2015 г. 14:14
  • Репликация DFS была отключена из-за некорректного завершения работы Windows.

    Собственно, метод восстановления полностью описан в тексте события.

    Только обязательно скопируйте в безопасное место, а потом, после возобновления репликации - верните на прежнее место содержимое папки SYSVOL. Её путь по умолчанию - C:\windows\SYSVOL\domain по умолчанию, реальный путь у вас можно посмотреть в выдаче команды dfsrdiag, выполненной на КД в разделе SYSVOL Subscription  в Local Settings для указанного контроллера домена, параметр называется Root path. dfsrdiag входит в состав DFS Management Tools, проще всего их установить из Powershell в режиме администратора: Install-WindowsFeature RSAT-DFS-Mgmt-Con.

    Потому что при восстановлении репликации все созданные и изменённые после прекращения репликации файлы и папки (то есть все созданные и изменённые с тех пор политики) будут удалены или  заменены версиями, взятыми с остальных КД (т.е. старыми).

    PS Более подробно про восстановление репликации SYSVOL можно прочитать в статье 2958414 MS KB


    Слава России!

    • Предложено в качестве ответа Vector BCOModerator 13 мая 2015 г. 18:10
    • Помечено в качестве ответа AndreySV 21 мая 2015 г. 6:28
  • Странная ситуация. Решил отложить все на сегодняшний день. Сейчас запускаю с клиента gpupdate /force. Политика обновилась без ошибок. Теперь могу зайти по пути \\domain.ru\sysvol\domain.ru\polices\{ID_GPO}

    И открыть файл GPT.ini, но на остальных контроллерах этого файлика нет. Как-то не понятно это работает.

  • Слово репликация подразумевает что файлик должен быть на всех серверах

    Репликация не работает означает что он может не быть на всех серверах...

    Модератор
  • Странная ситуация. Решил отложить все на сегодняшний день. Сейчас запускаю с клиента gpupdate /force. Политика обновилась без ошибок. Теперь могу зайти по пути \\domain.ru\sysvol\domain.ru\polices\{ID_GPO}

    И открыть файл GPT.ini, но на остальных контроллерах этого файлика нет. Как-то не понятно это работает.

    Просто в данный конкретный момент времени DNS-имя domain.ru было разрешено в IP-адрес домен-контроллера, на котором указанная папка имеется в наличии. Это вовсе не означает, что ваша проблема решилась сама собой, и вам следует выполнить последовательность действий, описанную M.V.V._
    Модератор
  • Действия эти я само собой выполню. т.к. видно что репликация не работает. Спасибо.
  • Спасибо. Репликация восстановилась.