none
Не обновляются групповые политики, ошибка "Отказано в доступе" при RDP-подключениях RRS feed

  • Вопрос

  • Здравствуйте! Такой вопрос возник: внезапно во всем офисе при подключении через RDP к серверу терминалов возникает ошибка "Отказано в доступе", на этапе аутентификации. Поиск в интернете решения не дал. Групповые политики не менялись, в логах нет информации о ошибки аутентификации ни на клиенте, ни на сервере терминалов. Однако было замечено что в данный период времени не обновляются групповые политики. Обновляются политики пользователя, а политики компьютера нет. 

    вот что выдало GPresult

    C:\Users\Администратор>GPUpdate /Force
    Обновление политики...

    Обновление политики пользователя завершено успешно.
    Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

    Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Во
    зможные причины:
    a) Ошибка разрешения имен на текущем контроллере домена.
    b) Запаздывание репликации Active Directory (созданная на другом контроллере дом
    ена учетная запись еще не реплицирована на текущий контроллер домена).

    Чтобы диагностировать сбой, просмотрите журнал событий или откройте gpmc.msc для
    просмотра сведений о результатах групповой политики.




    C:\Users\Администратор>gpresult /v /user:xxx\Администратор

    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    (С) Корпорация Майкрософт, 1981-2001

    Создано на 12.01.2018 в 9:50:13


    Данные RSOP для xxx\Администратор на xxx : Режим ведения журнала
    -----------------------------------------------------------------------

    Конфигурация ОС: Рядовой сервер
    Версия ОС: 6.0.6002
    Имя сайта: Default-First-Site-Name
    Перемещаемый профиль: Н/Д
    Локальный профиль: C:\Users\Администратор
    Подключение по медленному каналу: Нет


    Конфигурация компьютера
    ------------------------

    Последнее применение групповой политики: 12.01.2018 в 9:46:26
    Групповая политика была применена с: DC.xxx
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена: ххх
    Тип домена: WindowsNT 4

    Примененные объекты групповой политики
    ---------------------------------------
    Default Domain Policy

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
    Local Group Policy
    Фильтрация: Не применяется (пусто)

    Компьютер является членом следующих групп безопасности
    ------------------------------------------------------
    Администраторы
    Все
    SQLServerMSSQLServerADHelperUser$SERV1C
    Пользователи
    СЕТЬ
    Прошедшие проверку
    Данная организация
    Обязательный уровень системы

    Результирующий набор политик для компьютера
    --------------------------------------------

    Установка программ
    Политики учетных записей
    ------------------------
    GPO: Default Domain Policy
    Политика: LockoutDuration
    Параметры компьютера: 30

    GPO: Default Domain Policy
    Политика: MaximumPasswordAge
    Параметры компьютера: 4294967295

    GPO: Default Domain Policy
    Политика: MinimumPasswordAge
    Параметры компьютера: 1

    GPO: Default Domain Policy
    Политика: ResetLockoutCount
    Параметры компьютера: 30

    GPO: Default Domain Policy
    Политика: LockoutBadCount
    Параметры компьютера: 10

    GPO: Default Domain Policy
    Политика: PasswordHistorySize
    Параметры компьютера: 24

    GPO: Default Domain Policy
    Политика: MinimumPasswordLength
    Параметры компьютера: 1

    Политика аудита
    ---------------
    Параметры безопасности
    ----------------------
    GPO: Default Domain Policy
    Политика: PasswordComplexity
    Параметры компьютера: Не включено

    GPO: Default Domain Policy
    Политика: ClearTextPassword
    Параметры компьютера: Не включено

    GPO: Default Domain Policy
    Политика: ForceLogoffWhenHourExpire
    Параметры компьютера: Не включено

    GPO: Default Domain Policy
    Политика: RequireLogonToChangePassword
    Параметры компьютера: Не включено

    GPO: Default Domain Policy
    Политика: LSAAnonymousNameLookup
    Параметры компьютера: Не включено

    GPO: Default Domain Policy
    Политика: @wsecedit.dll,-59058
    Параметр: MACHINE\System\CurrentControlSet\Control\Lsa\
    NoLMHash
    Параметры компьютера: 1

    Параметры журнала событий
    -------------------------

    Последнее применение групповой политики: 12.01.2018 в 9:46:07
    Групповая политика была применена с: Н/Д
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена: xxx
    Тип домена: <Локальный компьютер>

    Примененные объекты групповой политики
    ---------------------------------------
    Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
    Local Group Policy
    Фильтрация: Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
    None
    Все
    Администраторы
    Пользователи
    ИНТЕРАКТИВНЫЕ
    Прошедшие проверку
    Данная организация
    ЛОКАЛЬНЫЕ
    Проверка подлинности NTLM
    Высокий обязательный уровень

    Привилегии безопасности данного пользователя
    --------------------------------------------

    Обход перекрестной проверки
    Управление аудитом и журналом безопасности
    Архивация файлов и каталогов
    Восстановление файлов и каталогов
    Изменение системного времени
    Завершение работы системы
    Принудительное удаленное завершение работы
    Смена владельцев файлов и других объектов
    Отладка программ
    Изменение параметров среды изготовителя
    Профилирование производительности системы
    Профилирование одного процесса
    Увеличение приоритета выполнения
    Загрузка и выгрузка драйверов устройств
    Создание файла подкачки
    Настройка квот памяти для процесса
    Отключение компьютера от стыковочного узла
    Выполнение задач по обслуживанию томов
    Имитация клиента после проверки подлинности
    Создание глобальных объектов
    Изменение часового пояса
    Создание символических ссылок
    Увеличение рабочего множества процесса

    Результирующий набор политик для пользователя
    ----------------------------------------------
    Так же при GPUpdate /Force выдало вот такое


    C:\Users\Администратор>GPUpdate /Force
    Обновление политики...

    Обновление политики пользователя завершено успешно.
    Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

    Ошибка при обработке групповой политики. Попытка чтения файла "\\xxx\sysvo
    l\xxx\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" с контролле
    ра домена была неудачной. Параметры групповой политики не могут быть применены,
    пока не будет исправлена эта ситуация. Это может быть временным явлением, его во
    зможные причины:
    a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
    ру домена.
    b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
    ена файл еще не реплицирован на текущий контроллер домена).
    c) Отключен клиент распределенной файловой системы (DFS).

    Чтобы диагностировать сбой, просмотрите журнал событий или откройте gpmc.msc для
    просмотра сведений о результатах групповой политики.

    Прошу помощи:)
    22 января 2018 г. 5:33

Ответы

  • Коллеги, мне помогло снятие галочки с чекбокса "Зарегистрировать адреса этого подключения в DNS" в дополнительных настройках протокола IPv4 на внешнем интерфейсе сервера. Как я понял была проблема разрешения имен по направлению внешнего интерфейса, так как там просто не было серверов DNS которые могли бы разрешить имя сервера. С момента снятия этой галочки ошибки с разрешением имен и обновлений GPO больше не появляются!
    • Помечено в качестве ответа Andrei0303 15 февраля 2018 г. 11:29
    15 февраля 2018 г. 11:29

Все ответы

  • Добрый день!

    Проверьте:

    1. Синхронизировано ли время на Ваших серверах и клиентах? Нет ли запаздывания?

    2. Работает ли репликация контроллеров домена, нет ли ошибок? Что говорит утилита dcdiag?

    3. Нет ли ошибок при проверке базы Active Directory утилитой ntdsutil?

    4. Доступен ли sysvol? Проблема существует только лишь с 1 сервером/сервисом?

    22 января 2018 г. 7:50
  • Из ваших логов - RDS сервер не видит DC

    Добавлю к сообщению выше:

    Проверьте настройки сети;

    DNS;

    Логи на DC и RDS сервере 

    22 января 2018 г. 8:49
  • По поводу dcdiag:
    Запуск проверки: SystemLog
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:12
                Строка события:
                Драйвер HP LaserJet Pro MFP M225-M226 PCL 6 для принтера NPI67AFE5 (
    HP LaserJet Pro MFP M225dw) не опознан. Обратитесь к сетевому администратору, чт
    обы он установил нужный драйвер.
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:14
                Строка события:
                Драйвер Kyocera ECOSYS M2540dn KX (XPS) для принтера Kyocera ECOSYS
    M2540dn KX (XPS) не опознан. Обратитесь к сетевому администратору, чтобы он уста
    новил нужный драйвер.
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:17
                Строка события:
                Драйвер Kyocera ECOSYS M2540dn (KPDL) для принтера Kyocera ECOSYS M2
    540dn (KPDL) не опознан. Обратитесь к сетевому администратору, чтобы он установи
    л нужный драйвер.
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:19
                Строка события:
                Драйвер Kyocera ECOSYS M2540dn для принтера Kyocera ECOSYS M2540dn н
    е опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйв
    ер.
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:22
                Строка события:
                Драйвер Kyocera ECOSYS M2540dn KX для принтера Kyocera ECOSYS M2540d
    n KX не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный
     драйвер.
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:26
                Строка события:
                Драйвер HP LaserJet Professional CP1020 Series для принтера HP Laser
    Jet Professional CP1020 Series не опознан. Обратитесь к сетевому администратору,
     чтобы он установил нужный драйвер.
             Возникло событие Error.  Код события (EventID):  0x00000457
                Время создания: 01/22/2018   13:05:28
                Строка события:
                Драйвер Microsoft XPS Document Writer v4 для принтера Microsoft XPS
    Document Writer не опознан. Обратитесь к сетевому администратору, чтобы он устан
    овил нужный драйвер.
             ......................... DC - не пройдена проверка SystemLog

    Все остальные проверки пройдены успешно.

    ntdsutil  

    WARNING: Deleted object 1765 has timestamp[12/30/9999] later than now
    WARNING: Deleted object 1771 has timestamp[12/30/9999] later than now
    Warning SE_DACL_PROTECTED for 3362(VolumeTable)
    Warning SE_DACL_PROTECTED for 3368({31B2F340-016D-11D2-945F-00C04FB984F9})
    Warning SE_DACL_PROTECTED for 3371({6AC1786C-016F-11D2-945F-00C04fB984F9})
    Warning SE_DACL_PROTECTED for 3418(AdminSDHolder)
    Warning SE_DACL_PROTECTED for 3421(WMIPolicy)
    Warning SE_DACL_PROTECTED for 3423(SOM)
    Warning SE_DACL_PROTECTED for 3510(Администратор)
    Warning SE_DACL_PROTECTED for 3513(Администраторы)
    Warning SE_DACL_PROTECTED for 3518(Операторы печати)
    Warning SE_DACL_PROTECTED for 3519(Операторы архива)
    Warning SE_DACL_PROTECTED for 3520(Репликатор)
    Warning SE_DACL_PROTECTED for 3557(krbtgt)
    Warning SE_DACL_PROTECTED for 3559(Контроллеры домена)
    Warning SE_DACL_PROTECTED for 3560(Администраторы схемы)
    Warning SE_DACL_PROTECTED for 3561(Администраторы предприятия)
    Warning SE_DACL_PROTECTED for 3563(Администраторы домена)
    Warning SE_DACL_PROTECTED for 3568(Операторы сервера)
    Warning SE_DACL_PROTECTED for 3569(Операторы учета)
    Warning SE_DACL_PROTECTED for 3578(Контроллеры домена - только чтение)
    WARNING: Deleted object 3640 has timestamp[12/30/9999] later than now
    WARNING: Deleted object 3649 has timestamp[12/30/9999] later than now
    Warning SE_DACL_PROTECTED for 3714(user)
    Warning SE_DACL_PROTECTED for 3761(group)
    Warning SE_DACL_PROTECTED for 3811(user)
    Warning SE_DACL_PROTECTED for 3971(user)
    Warning SE_DACL_PROTECTED for 4166(user)
    Warning SE_DACL_PROTECTED for 4219(user)
    Warning SE_DACL_PROTECTED for 4245(user)
    Warning SE_DACL_PROTECTED for 4671({BCAC8C44-3C16-4DCA-A988-9FD3141A6225})
    3715 total records walked.
    Summary:
    Active Objects     3529
    Phantoms        1
    Deleted      185
    Security descriptor summary:
    SD count:      130
    Total SD size before single-instancing:         1470 Kb
    Total SD size after single-instancing:           151 Kb

    sysvol доступен

    проблема только с одним сервером терминалов, но из за него страдает треть компов на предприятии, так как к нему подключаются по RDP.


    И на счет времени....

    net time /domain:xxx  
    выдало
    Системная ошибка 5.

    Отказано в доступе 

    Странно, но стоял не мой часовой пояс, сейчас поменял, пока рано делать выводы))

    23 января 2018 г. 11:38
  • В логах нет ничего на DC, на сервере терминалов только о неудавшихся обновлениях ГП. В настройках сети DNS прописан, на самом DNS в логах тоже тишина. 
    23 января 2018 г. 11:42
  • Попробуйте перейти сюда с проблемного сервера - \\domen.com\sysvol\xxx\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\

    Если два и более DC, то может быть, слетела репликация DFS. Тут должны быть ошибки в логах.

    23 января 2018 г. 12:07
  • Все нормально, папка с политикой открылась. DC в сети один:) Однако заметил одну странность на DC, когда меняю часовой пояс на свой и ставлю правильное время, DC сам меняет время на час назад.... Что может быть такое?
    23 января 2018 г. 20:54
  • Все нормально, папка с политикой открылась. DC в сети один:) Однако заметил одну странность на DC, когда меняю часовой пояс на свой и ставлю правильное время, DC сам меняет время на час назад.... Что может быть такое?

    Добрый День.

    Случаем не синхронизируете время с внешними NTP либо с родительским хостом если у вас DC является VM?


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    23 января 2018 г. 21:02
    Модератор
  • DC на виртуальной машине VirtualBox, сам родительский хост не синхронизируется с серверами в интернете, в настройках VirtualBox не стоит галочка синхронизации часов. Еще сегодня в логах нашел ошибку обновления ГП в подробностях говориться о недоступности сервера RPC.. может в этом дело? и гугл еще говорит, что такое может быть от некорректно установленных принтеров, и в логах у меня есть ошибки TerminalServices-Printers
    26 января 2018 г. 4:16
  • Похожая проблема, грешу на обновы...
    26 января 2018 г. 7:29
  • не думаю.. я обновы не ставил, и если у нас одна и та же проблема, то обновления ни при чем. А следовательно надо дальше искать причину))
    29 января 2018 г. 5:29
  • еще грешу на платформу 8.3.7 стоит.

    рядом ставил 8.3.10, потом снес, не прижились да и сервер другой приехал, на него запилил.

    Есть мнение, что какое-то из приложений забивает все порты, после чего жертва не может достучаться до АД и потом даже не пытается. Жду пока отработает отвал от АД и сообщу если это будет 1С :)

    29 января 2018 г. 9:15
  • Я тоже про 1С думаю, буду признателен если сообщите о результатах Ваших наблюдений:)
    29 января 2018 г. 11:37
  • еще грешу на платформу 8.3.7 стоит.

    рядом ставил 8.3.10, потом снес, не прижились да и сервер другой приехал, на него запилил.

    Есть мнение, что какое-то из приложений забивает все порты, после чего жертва не может достучаться до АД и потом даже не пытается. Жду пока отработает отвал от АД и сообщу если это будет 1С :)

    Есть новости? Это из за 1С? 
    1 февраля 2018 г. 4:06
  • Не поверите, но еще не случилось ))
    1 февраля 2018 г. 7:39
  • Проверьте настройки NTP-сервера в домене - политики, DHCP-сервер (возможно, влкючена опция настройки ntp).

    Также посмотрите с какого хоста клиенты получают настройки времени и кто является NTP-сервером в Вашем домене.

    После этого посмотрите откуда Ваш доменный NTP-сервер сам получает время.

    Более того, если у Вас используется виртуализация на Hyper-V и проблемы имеются с виртуальными машинами, проверьте настройки времени на самих Hyper-V гипервизорах:

    - откуда они берут время?

    - жёстко ли задано?

    - правильно ли выставлено?

    - если выставлено неправильно, посмотрите, включена ли настройка на виртуальных машинах "синхронизировать время с гипервизором" (или как-то так).

    • Изменено Venadi 2 февраля 2018 г. 12:27
    2 февраля 2018 г. 12:23
  • Проверьте настройки NTP-сервера в домене - политики, DHCP-сервер (возможно, влкючена опция настройки ntp).

    Также посмотрите с какого хоста клиенты получают настройки времени и кто является NTP-сервером в Вашем домене.

    После этого посмотрите откуда Ваш доменный NTP-сервер сам получает время.

    Более того, если у Вас используется виртуализация на Hyper-V и проблемы имеются с виртуальными машинами, проверьте настройки времени на самих Hyper-V гипервизорах:

    - откуда они берут время?

    - жёстко ли задано?

    - правильно ли выставлено?

    - если выставлено неправильно, посмотрите, включена ли настройка на виртуальных машинах "синхронизировать время с гипервизором" (или как-то так).

    На команду w32tm /query /source   контроллер домена ответил 
    Free-running System Clock
    На ту же команду проблемный сервер терминалов ответил что источник времени это DC.

    Разница во времени между проблемным сервером и контроллером домена
    C:\Users\Администратор>w32tm /monitor /computers:dc.xxx.xxx
    dc.xxx.xxx[xxx.xxx.xxx.xxx:123]:
        ICMP: 0ms задержка
        NTP: -0.0364557s смещение относительно локального времени
            RefID: 'LOCL' [0x4C434F4C]
            Страта: 1

    Предупреждение:
    Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
    неверно, поскольку поле RefID в пакетах времени различается в
    разных реализациях NTP и может не использовать IP-адреса.

    Настройки W32TM на DC
    C:\Users\Администратор>w32tm /query /configuration
    [Настройка]
    EventLogFlags: 2 (Локально)
    AnnounceFlags: 10 (Локально)
    TimeJumpAuditOffset: 28800 (Локально)
    MinPollInterval: 6 (Локально)
    MaxPollInterval: 10 (Локально)
    MaxNegPhaseCorrection: 172800 (Локально)
    MaxPosPhaseCorrection: 172800 (Локально)
    MaxAllowedPhaseOffset: 300 (Локально)
    FrequencyCorrectRate: 4 (Локально)
    PollAdjustFactor: 5 (Локально)
    LargePhaseOffset: 50000000 (Локально)
    SpikeWatchPeriod: 900 (Локально)
    LocalClockDispersion: 10 (Локально)
    HoldPeriod: 5 (Локально)
    PhaseCorrectRate: 7 (Локально)
    UpdateInterval: 100 (Локально)
    [TimeProviders]
    NtpClient (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 1 (Локально)
    CrossSiteSyncFlags: 2 (Локально)
    AllowNonstandardModeCombinations: 1 (Локально)
    ResolvePeerBackoffMinutes: 15 (Локально)
    ResolvePeerBackoffMaxTimes: 7 (Локально)
    CompatibilityFlags: 2147483648 (Локально)
    EventLogFlags: 1 (Локально)
    LargeSampleSkew: 3 (Локально)
    SpecialPollInterval: 3600 (Локально)
    Type: NT5DS (Локально)
    NtpServer (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 0 (Локально)
    AllowNonstandardModeCombinations: 1 (Локально)

    DHCP-сервер не установлен, все на статичных адресах. Есть DCHP-сервер на роутере, но по-моему он там не передает информацию о времени. Hyper-V не используется. Проблемный сервер физически на обычном железе, DC на VirtualBox в настройках машины не стоит галочка "Часы в системе UTC", делаю вывод что DC не синхронизируется с родительским хостом. На самом родительском хосте служба времени оказалась вообще остановленной... 

    5 февраля 2018 г. 7:26
  • Коллеги, неужели нет никаких мыслей, как справиться с проблемой???
    6 февраля 2018 г. 10:26
  • Коллеги, путем наблюдений и просмотра логов, установил проблему, это проблема разрешения имен на проблемном сервере... Данный сервер подключен к роутеру и имеет два сетевых интерфейса, один смотрит в интернет через роутер, второй в локальную сеть. В логах постоянно появляются ошибки разрешения имен, для сетевого интерфейса который смотрит в интернет. Что делать?
    8 февраля 2018 г. 21:52
  • Коллеги, путем наблюдений и просмотра логов, установил проблему, это проблема разрешения имен на проблемном сервере... Данный сервер подключен к роутеру и имеет два сетевых интерфейса, один смотрит в интернет через роутер, второй в локальную сеть. В логах постоянно появляются ошибки разрешения имен, для сетевого интерфейса который смотрит в интернет. Что делать?

    Добрый День.

    DNS уберите с внешнего сетевого интерфейса


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    • Предложено в качестве ответа Venadi 9 февраля 2018 г. 11:30
    8 февраля 2018 г. 23:23
    Модератор
  • Вы имеете ввиду отжать галочку "Зарегистрировать адреса этого подключения в DNS"?
    9 февраля 2018 г. 3:35
  • Ну вот и у меня случилось.

    Вообщем расследование показало что первая ошибка вылетает у NETLOGON с кодом 5719, а вот потом уже идут ошибки "не удалось получить имя контроллера домена, ошибка разрешения имен, проверьте днс" бла-бла-бла.

    Без перезагрузки сервера, вылечил путем перезагруки служб:

    DNS-клиент (кстати зависимый агент сервера 1С будет тоже перезапущен, на который и грешил),

    Диспетчеров удалённых рабочих столов,

    и на всякий "Браузер компьютеров","Агент защиты сетевого доступа","Вторичный вход в систему", "Координатор распределнных транзакций"..

    Я думаю хватило бы перезапуска ДНС-клиента с агентом 1С, в след раз проверю.

    Теперь осталось выяснить с чего NETLOGON отваливается.

    Попробую пока это https://social.technet.microsoft.com/Forums/ru-RU/98b39c33-47fb-4370-9a11-3e206b5ef15f/-netlogon-5719?forum=windows7ru

    UPD: возможно даже лучше изучить это https://support.microsoft.com/ru-kz/help/938449.

    • Предложено в качестве ответа _Damirqa_ 9 февраля 2018 г. 8:01
    • Изменено _Damirqa_ 9 февраля 2018 г. 8:02 ответы
    9 февраля 2018 г. 7:48
  • Видимо речь идёт о том, чтобы на Вашем проблемном сервере в настройках сетевого адаптера, который подключён к роутеру, оставить поля, в которых прописываются адреса DNS-серверов, пустыми.
    9 февраля 2018 г. 8:05
  • Видимо речь идёт о том, чтобы на Вашем проблемном сервере в настройках сетевого адаптера, который подключён к роутеру, оставить поля, в которых прописываются адреса DNS-серверов, пустыми.

    Добрый День.

    Да вы совершенно правы. необходимо оставить только Адрес dns сервера dc


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    9 февраля 2018 г. 10:24
    Модератор
  • Сделал как Вы сказали(оставил в DNS внешнего интерфейса только адрес DNS DC), ошибки с обновлением GPO пока что не появлялись, но появляется следующее предуреждение 

    Системе не удалось зарегистрировать записи ресурсов (RR) узла (А или АААА) для сетевого адаптера
    с параметрами:

       Имя адаптера : {ххх}
       Имя узла  : ххх
       Суффикс основного домена: ххх.ххх
       Список DNS-серверов:
          192.168.0.ххх
       Отправка обновления на сервер: 192.168.0.ххх:53
       IP-адрес(адреса):
         192.168.7.ууу

     Не удалось зарегистрировать эти записи ресурсов из-за ошибки DNS-сервера при выполнении запроса обновления. Наиболее вероятная причина этого в том, что на полномочном DNS-сервере, требуемом для обработки этого запроса обновления, блокирована зона - вероятно, из-за процесса передачи этой зоны.

     Можно вручную повторить DNS-регистрацию сетевого адаптера и его параметров, введя в командной строке "ipconfig /registerdns". Если проблемы сохраняются, обратитесь к системному администратору DNS-сервера или сети.
    9 февраля 2018 г. 11:14
  • Сделал как Вы сказали(оставил в DNS внешнего интерфейса только адрес DNS DC), ошибки с обновлением GPO пока что не появлялись, но появляется следующее предуреждение 

    Системе не удалось зарегистрировать записи ресурсов (RR) узла (А или АААА) для сетевого адаптера
    с параметрами:

       Имя адаптера : {ххх}
       Имя узла  : ххх
       Суффикс основного домена: ххх.ххх
       Список DNS-серверов:
          192.168.0.ххх
       Отправка обновления на сервер: 192.168.0.ххх:53
       IP-адрес(адреса):
         192.168.7.ууу

     Не удалось зарегистрировать эти записи ресурсов из-за ошибки DNS-сервера при выполнении запроса обновления. Наиболее вероятная причина этого в том, что на полномочном DNS-сервере, требуемом для обработки этого запроса обновления, блокирована зона - вероятно, из-за процесса передачи этой зоны.

     Можно вручную повторить DNS-регистрацию сетевого адаптера и его параметров, введя в командной строке "ipconfig /registerdns". Если проблемы сохраняются, обратитесь к системному администратору DNS-сервера или сети.

    Добрый День.

    Вы меня не правильно поняли...

    Убираем все dns адреса с внешнего интерфейса (В интернет нет упоминания о вашем локальном dns сервере), оставляем адрес локального dns сервера на внутреннем интерфейсе.


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    9 февраля 2018 г. 11:24
    Модератор
  • Вы перепутали интерфейсы.
    9 февраля 2018 г. 11:31

  • Добрый День.

    Вы меня не правильно поняли...

    Убираем все dns адреса с внешнего интерфейса (В интернет нет упоминания о вашем локальном dns сервере), оставляем адрес локального dns сервера на внутреннем интерфейсе.


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    На момент возникновения ошибки все было как Вы сказали... На внутреннем интерфейсе был выставлен адрес локального DNS сервера, на внешнем интерфейсе не было ничего...кроме ДНС адресов провайдера полученных от роутера.
    На скриншотах видно как выставлено сейчас, делал по статье:

    http://pyatilistnik.org/oshibka-pri-obrabotke-gruppovoy-politiki-windows-ne-udalos-poluchit-imya-kontrollera-domena-vozmozhnaya-prichina-oshibka-razresheniya-imen-proverte-chto-sluzhba-dns-nastroena-i-rabotaet-pravilno/



    9 февраля 2018 г. 14:40
  • Коллеги, мне помогло снятие галочки с чекбокса "Зарегистрировать адреса этого подключения в DNS" в дополнительных настройках протокола IPv4 на внешнем интерфейсе сервера. Как я понял была проблема разрешения имен по направлению внешнего интерфейса, так как там просто не было серверов DNS которые могли бы разрешить имя сервера. С момента снятия этой галочки ошибки с разрешением имен и обновлений GPO больше не появляются!
    • Помечено в качестве ответа Andrei0303 15 февраля 2018 г. 11:29
    15 февраля 2018 г. 11:29