none
Беда с сервером 2012r2 standart. Помогите ! RRS feed

  • Вопрос

  • Вообщем суть такая:

    Есть домен 2008r2 + файловые сервера 2008r2. Домен прекрасно с ними отрабатывает правила GPO  и скрипты пользователей при загрузке. Не давно поставили 2012r2 и тут началось ! 

    1. Правила не отрабатывают.

    2. Скрипт не выполняется (net use....)........

    ......и много много чего ещё, но изучив весь журнал, прихожу к выводу что или 2012 не подтягивает правила, либо "косяк" с настройками прав доступа на 2012 от пользователей домена.

    Была проделана огромная работа над исправлениями: смена схемы AD на 2008r2 под 2012r2, изменение прав пользователей в GPO, ковыряние реестра на запись папок, попытки "обновления" винды, отключения возможных блокировок доступа и т.п.

    Помогите кто-нить, может кто сталкивался с подобным.... ?

    3 августа 2015 г. 6:15

Ответы

  • При проверке:" Default Domain Policy          Несовпадение версий Active Directory / SYSVOL". 

    В нете ни чего полезного по этой теме не нашел, если только повышение схемы 2008r2 AD.

    Это - симптом проблем не с новым сервером, а с Active Directory.

    Если контроллеров домена у вас несколько, то проблема, скорее всего, в реплликации то ли базы данных AD, то ли SYSVOL (в общем, их содержимое рассогласовано).

    Для проверки подключитесь в таком случае консолью управления групповой политикой к каждому из КД и смотрите, где возникает проблема.

    Если контроллер домена единственный, то рассогласование могло быть вызвано потерей данных (например, при сбое питания). В таком случае надо сравнить номера версий в GPC (часть политики в AD) и в файле gpt.ini в GPT (чать политики на SYSVOL), выбрать из них максимальный и скорректировать GPC или GPT.

    Все остальные проблемы, похоже, связаны с тем,  что установленные по умолчанию в Win2012 требования безопасности (допустимые алгоритмы, размеры ключей и т.п.) жёстче, чем используемые в вашей сети. Возможно, что несрабатывающая политика домена как раз понижает эти нормы для членов домена, поэтому для начала разберитесь с предыдущим вопросом.

    А прежде, чем обсуждать, почему не работает скрипт, нам надо видеть этот скрипт.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 6 августа 2015 г. 11:53
    3 августа 2015 г. 11:54

Все ответы

  • Не понял чем у вас новый 2012 сервер занимается (роли на нем какие)?

    Поясните что на нем должно отрабатывать, и что не отрабатывает?

    Что вы подразумеваете под правилами? Политики? Если политики, то что у вас показывает rsop  с 2012 сервера?


    The opinion expressed by me is not an official position of Microsoft

    3 августа 2015 г. 6:41
    Модератор
  • Файловый сервер, роль - RDP.

    При проверке:" Default Domain Policy          Несовпадение версий Active Directory / SYSVOL". 

    В нете ни чего полезного по этой теме не нашел, если только повышение схемы 2008r2 AD.

    Пользователям не хватает прав на запись папок, которые присутствуют на других серверах под 2008.

    В журнале есть предупреждение: "Службы удаленных рабочих столов затратили слишком много времени на загрузку пользовательской конфигурации с сервера \\2008.domain.local для пользователя user."

    При выполнении скрипта есть такое: "Секрет CHAP конечного объекта меньше минимального размера (12 байт), который требуется по спецификации. ". "Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером."

    3 августа 2015 г. 6:59
  • При проверке:" Default Domain Policy          Несовпадение версий Active Directory / SYSVOL". 

    В нете ни чего полезного по этой теме не нашел, если только повышение схемы 2008r2 AD.

    Это - симптом проблем не с новым сервером, а с Active Directory.

    Если контроллеров домена у вас несколько, то проблема, скорее всего, в реплликации то ли базы данных AD, то ли SYSVOL (в общем, их содержимое рассогласовано).

    Для проверки подключитесь в таком случае консолью управления групповой политикой к каждому из КД и смотрите, где возникает проблема.

    Если контроллер домена единственный, то рассогласование могло быть вызвано потерей данных (например, при сбое питания). В таком случае надо сравнить номера версий в GPC (часть политики в AD) и в файле gpt.ini в GPT (чать политики на SYSVOL), выбрать из них максимальный и скорректировать GPC или GPT.

    Все остальные проблемы, похоже, связаны с тем,  что установленные по умолчанию в Win2012 требования безопасности (допустимые алгоритмы, размеры ключей и т.п.) жёстче, чем используемые в вашей сети. Возможно, что несрабатывающая политика домена как раз понижает эти нормы для членов домена, поэтому для начала разберитесь с предыдущим вопросом.

    А прежде, чем обсуждать, почему не работает скрипт, нам надо видеть этот скрипт.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 6 августа 2015 г. 11:53
    3 августа 2015 г. 11:54
  • Все норм, нашел и исправил косяки...

    6 августа 2015 г. 11:42
  • Вы бы написали, что вы там нашли и исправили.

    Во-первых, это может дать информацию людям, которые в будущем столкнутся с похожей на вашу ошибкой.

    А во-вторых, у вас в параллельной теме ещё косяк вылез - так вот, хотелось бы знать, не вылез ли он как следствие уже исправленных косяков (или, что хуже - в результате исправлений)?


    Слава России!

    6 августа 2015 г. 11:57