none
Проблемы с доступом к ресурсам AD в домене Win2k8 R2 RRS feed

  • Вопрос

  • Добрый день!

    Существует домен поднятый в АД и есть около 150 машин с XP sp1 sp2 и sp3 лицензии OEM. Также есть немного Win7 порядка 25 штук, но с ними проблемы не замечены. (Все операционные системы Профессиональные).

    (Различные обновления по причине того что предыдущий админ не занимался сетью вообще.)

    Групповая политика чуть подредактирована на предмет маппирования двух дисков, диск с общим ресурсом для каждой из 15 созданных групп и общий для текущего обмена, + добавлены три политики на распространение  сетевого принтера в трёх группах.

    Общая задача сводилась к вводу всех машин в домен и добавлением в определённые группы принтеров.

    В итоге получили следующие косяки:

    1. XP sp2 непонятно по какому критерию (воспроизводимость ошибки не установлена, версии ОС совпадают) не могут подключить сетевой принтер, ни под локальным админом ни под доменным админом, да собственно вообще не под какой учёткой. Групповая политика не распространяется, сравнивал дефолтовую локальную политику распространения и локальную на машине.

    2. При попытке установить SP3 опять же нет доступа, приходится заходить в реестр убивать HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer\       AuthenticodeFlags 

    только после этого ставиться сервис пак, но опять это помогает на случайной машине и только после этого получается поставить принтер.

    3. На этих же машинах с SP2 нельзя убрать переход на летнее время в Панель управления -> Дата и время - нет доступа, ни с одной учётки. И-за этого часы отстают на один час.

    4. При редактировании групповой политики вываливается ошибка следующего содержания:

    При разборе обнаружена ошибка.

    При разборе обнаружена ошибка.

    Системная ошибка: -2130706429.

    Файл С:\Windows\PolicyDefinitions\ru-RU\inetres.adml, строка 3, столбец 236

    Но политика меняется нормально и нормально всё распространяется на машинах введёных без глюков в домен.

    В конечном итоге приходится ставить начисто XP sp3 и реактивировать лицензию системы. Собсвенно жалко как наладчиков компов у нас на предприятии так и сотрудников техпоодержки Microsoft, так как им придётся ещё 100 машин минимум реактивировать.

    Прошу помочь разобраться с данной проблемой. 

    7 марта 2013 г. 14:38

Ответы

  • Пошёл другим путём.

    DCGPOFix

    Восстановил политики по умолчанию, вместо тех что сделали до меня, добавил необходимое в политики. Проверил на прежде не обработанных машинах  gpresult ,  если не применились политики, принудительно заставил обновится gpupdate /force.

    А с обновлением операционок сначала ап до SP3, потом ввод в домен.

    14 марта 2013 г. 5:02

Все ответы

  • В вашем случае только переустановка всего глюкавого ПО. Чем быстрее вы избавитесь от вашего зоопарка, тем меньше вам будет проблем в дальнейшем. Вряд ли кто-то будет траблешутить здесь результаты "работы" прошлых поколений "админов"

    Microsoft Certified Do Nothing Expert

    7 марта 2013 г. 14:53
  • Зоопарк действительно полный.

    1. Вариантов масса, начиная от - вообще клиент групповой политики запущен? Заканчивая повреждениями системных файлов/реестра из-за различных причин. Можно начать с sfc /scannow на подобных проблемных клиентах.

    2. Проблема со службами криптографии, при установке trusted installer не может проверить подлинность сертификата издателя.

    Можно (ТОЛЬКО ДЛЯ XP) использовать скрипт для перерегистрации библиотек

    http://wiki.lunarsoft.net/wiki/Dial-a-fix

    (выбрать при исполнении  SSL/HTTPS/Cryptography)

    3. Нет доступа даже из под учетки, имеющей права доменного администратора? Лучше пере завести такие машины в домен заново, заодно проверить нет ли подобных проблем с учетной записью локального администратора, если они есть, то посмотреть не сделаны ли правки в локальной политике безопасности.

    Для изменения времени на машинах с XP давно существует патчи

    KB2570791-x64-RUS

    KB2570791-x86-RUS

    http://www.microsoft.com/ru-ru/download/details.aspx?id=27018

    (обязательно наличие установленного 3SP)

    4. Шаблон inetres.admx и его языковой пакет  inetres.adml добавляются при установке Internet Explorer 9.

    С определяемыми им параметрами можно ознакомиться

    http://technet.microsoft.com/ru-ru/library/ff986259.aspx

    Так что ищите действующие политики, которые вносят изменения в перечисленные в статье о данном шаблоне параметры, можно их отключить, переустановить шаблон и задействовать снова.

    PS, соглашусь с выше написанным советом: раз операционные системы компьютеров в сети находятся в таком состоянии, проще установить заново (если конечно не используется специфическое ПО, для которого требуется очень сложная настройка или сложная процедура повторной активации), иначе никак нельзя гарантировать, что в последующем не выплывут более серьезные проблемы.

    Для реактивации же систем возможно имеет смысл развернуть внутри сетевой сервер активации (если имеется соответствующая лицензия, хотя да, у вас OEM...).








    • Изменено Svlel 8 марта 2013 г. 23:51
    7 марта 2013 г. 23:01
  • На компьютерах с Windows XP, на которых не обрабатываются групповые политики, проверьте состояние службы "Службы IPSec". Она должна быть запущена и тип запуска её должен быть "Auto". В противном случае, если служба не стартует, выполните команды:

    regsvr32 polstore.dll 

    net start PolicyAgent

    gpupdate /force

    После этого политики должны будут примениться.

    8 марта 2013 г. 8:45
  • Пошёл другим путём.

    DCGPOFix

    Восстановил политики по умолчанию, вместо тех что сделали до меня, добавил необходимое в политики. Проверил на прежде не обработанных машинах  gpresult ,  если не применились политики, принудительно заставил обновится gpupdate /force.

    А с обновлением операционок сначала ап до SP3, потом ввод в домен.

    14 марта 2013 г. 5:02