none
Групповые политики RRS feed

  • Вопрос

  • 1. Есть несколько групповых политик, применяемых на компьютер.

    2. Одна из политик содержит скрипт в windows/scripts/startup

    3. Есть несколько контроллеров домена. Условно контроллер-А и контроллер-B

    4. С помощью Group policy modeling wizard получаю результирующую политику для конкретного компьютера:

    • Process the simulation on this domain controller: контроллер-А
    • В списке Applied GPOs ЕСТЬ! политика собержащая скрипт, но в настройках результирующей политики НЕТ! самого скрипта. Т.е. он не применяется.

     

    • Process the simulation on this domain controller: контроллер-B
    • В списке Applied GPOs ЕСТЬ! политика собержащая скрипт, и в настройках результирующей политики ЕСТЬ! скрипта.

     

    Собственно попрос в том, почему в RSoP на одном контроллере ЕСТЬ политика, но НЕТ её настроек. (При етом на другом всё ок). Реально клиенты настройку (скрипт) не получают.

     

     

Все ответы

  • Сам файл скрипта где расположен? (в сетевой папке, в групповой политике....). Контроллеры домена в одной сети? Репликация между контроллерами проходит?


    Dmitriy Poberezhniy (my web blog http://dimsan.blogspot.com)
    Отвечающий
  • Файл скрипта в групповой политике. Контроллеры в одной сети. В разных сайтах. (Клиенты относятся к тому сайту, в котором ПРОБЛЕМНЫЙ контроллер) Репликация работает нормально.

    Вручную заходил в папку SYSVOL/sysvol/{guid} - на обоих контроллерах всё идентично

  • можно отчеты GPMC с обоих контроллеров домена?
  • В смысле интересуют отчеты RSoP? Или еще что-т бывает?

  • Group Policy Results сделаные из GPMC для обоих серверов.
  • Тогда я не понимаю что значит "для обоих серверов"

    Если я делаю Group Policy Modeling, то при моделировании я могу выбрать, в том числе, и с какого сервера я буду получать политики.

    Если же я делаю Group Policy Results то я выбираю только комп и юзера, и мне сваливается результирующая политика с дефолтного для этого компа контроллера.

    В моем случае Контроллер-А (с которого не работает скрип при логоне) и клиент находятся в одном сайте а Контроллер-B в другом. И даже если я зашел физически на Контроллер-В и с него выполнил GPR, то политики всё равно шли стандартным путем с Контроллера-А. В результате отчеты абсолютно идентичны и в полученной политике есть:

    Summary/Computer Configuration Summary/Group Policy Objects/Applied GPOs/

    DCA Admins       hq.domain.su/DCA            AD (2), Sysvol (2)

    (Это политика содержащая логонскрипт)

    А в  Settings/windows settings/ есть только (Security Settings) и совсем не Scripts

  • Могу показать следующие картинки:

    http://www.imageup.ru/img138/controllerok352945.jpg.html - это Settings RsoP с контроллера-B (С него в результирующую политику скрипт попадает. Это видно на крине)

    http://www.imageup.ru/img138/controllerbad352946.jpg.html - это Settings RsoP с контроллера-А (С него нифига скрипт не работает)

    http://www.imageup.ru/img138/summary352947.jpg.html - это список примененных политик. Желтая - та, которая содержитскрипт.

     

     При сборе этого RsoP единственное отличие - выбор контроллера на этапе Process the simulation on this domain controller (Еще раз обращу Ваше внимание на то, что этот выбор предоставляется только при GPM. При GPR его нет, и контроллер выбирается автоматически)

  • В оснастке управления политиками откройте локальное меню для строчки с именем вашего домена: там есть Change Domain Controller.

     

    И я так и не понял на проблемном DC есть скрипт на файловой системе? (в политике где прописан скрипт нажмите Show)


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • >В оснастке управления политиками откройте локальное меню для строчки с именем вашего домена: там есть Change Domain Controller.

    Group Police Managemen/Forest:../Domains/{домен} (правой кнопкой Change Domain Controller), Вы об этом?

    Если да, то на результат работы Group Police Managemen/Forest:../Group Policy Result это не влияет. Во первых это видно и по дереву (разные ветки), во вторых GPR создает отчет о результирующей политике без учета того к какому контроллеру подключена консоль Group Polycy Results. Контроллер выбирается точно так же, как и в реальной среде, по принадлежности клиента и контроллера одному сайту.

    Но я все таки попробовал сделать этот Change Domain Controller. Отчет не содержит скрипта.

    >И я так и не понял на проблемном DC есть скрипт на файловой системе? (в политике где прописан скрипт нажмите Show)

    Есть. На обоих контроллерах:

    1. Скрипт есть при просмотре настроек политики через GPManagement

    2. Скрипт есть при просмотре папки c:\windows\SYSVOL\sysvol\...

    Кроме того при Group Policy Modeling

    1. В summary обоих контроллеров написано что политика со скриптом Aplied

    2. В setting с одного контроллера скрипт попадает, с другого нет. Реально клиент и проблемный контроллер находятся в одном сайте и на клиента скрипт не попадает

    при Group Policy Results

    1. В summary обоих контроллеров написано что политика со скриптом Aplied

    2. В setting (при подключении с любого контроллера) скрипт не попадает. Это происходит потому что Group Policy Results моделирует результирующую политику выбирая контроллеры так, как сам считает нужным, вне зависимости от того к какому контроллеру подключена остнастка управления груповыми политиками. Т.е. в обоих случаях GPR генерит результирующую политику используя проблемный контроллер

  • Одинаковы ли версии политик в АД и на сисволе? Проверить можно с помошью GPMC подключившись то к одному, то к другому контроллеру

  • Одинаковы ли версии политик в АД и на сисволе? Проверить можно с помошью GPMC подключившись то к одному, то к другому контроллеру

     

    добавлю  5 копеек: лучше уж сразу проверить при помощи gpotool

  • Одинаковые версии

  • Поробуйте создать новую политику и подключить в ней новый файл скрипта. Потом посмотрите результаты.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    Модератор
  • Таж ерунда.

    В отчет попадает что aplied, а в параметрах политики - с одного контроллера есть скрипт, с другого нет.

  • и все-таки посмотрите: нет ли сообщений об ошибках в отчетах gpotool?

    если ошибок нет, то посмотрите, а нет ли ошибок в отчетах frsdiag?

  • Чот есть... вот полный отчет

    gpotool /gpo:"DCA Admins" /checkacl /verbose >> c:/p2.txt

    Domain: mydomain.su
    Validating DCs...
    Available DCs:
    controller04.mydomain.su
    controller03.mydomain.su
    controller15.mydomain.su
    controller61.mydomain.su
    controller21.mydomain.su
    controller51.mydomain.su
    controller41.mydomain.su
    controller71.mydomain.su
    controller101.mydomain.su
    controller06.mydomain.su
    controller112.mydomain.su
    controller31.mydomain.su
    Searching for policies...
    Found 1 policies
    ============================================================
    Policy {3A9C4528-024A-413C-AB96-2EBA7F4CE489}
    Friendly name: DCA Admins
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller03.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller15.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller61.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller21.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller51.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller41.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller71.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller101.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller06.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller112.mydomain.su sysvol mismatch
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    protected bit set on \\controller04.mydomain.su\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini
    Error: controller04.mydomain.su - controller31.mydomain.su sysvol mismatch
    Details:
    ------------------------------------------------------------
    DC: controller04.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:02:20 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller03.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:02:20 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller15.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/20/2009 11:12:31 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller61.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:11:44 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller21.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:15:58 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller51.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:05:34 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller41.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:06:38 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller71.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:09:58 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller101.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:04:19 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller06.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:08:40 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller112.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:08:55 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ------------------------------------------------------------
    DC: controller31.mydomain.su
    Friendly name: DCA Admins
    Created: 3/22/2006 7:03:09 AM
    Changed: 10/15/2009 8:06:11 AM
    DS version:     0(user) 2(machine)
    Sysvol version: 0(user) 2(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
    Functionality version: 2
    ------------------------------------------------------------
    ============================================================

    Errors found

     

  • >protected bit set on...

    честно говоря не совсем понимаю, о каком бите (атрибуте?) идет речь (может быть и об архивном)

    полюбопытствуйте, на всякий случай: не высталены ли атрибуты "Только чтение" или "Шифровать содержимое для защиты данных" у файлов на которые "ругается" Gpotool на тех контролерах, о которых идет речь в сообщении об ошибке.

    сравните вручную содержимое файлов ...\sysvol\mydomain.su\policies\{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    на проблемном и беспроблемном DC

  • Файлов

    {3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\admfiles.ini
    {3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\scripts.ini
    {3A9C4528-024A-413C-AB96-2EBA7F4CE489}\User\Documents & Settings\fdeploy.ini

    нет на обоих контроллерах.

    Более того - этих файлов нет в других политиках на обоих контроллерах

     

    PS: Пока не вникал, но от пользователей приходит инфа что окошко, предупреждающее о том что срок действия пароля истекает - пропало. Т.е. пароль заканчиваеьтся тихо-мирно без предупреждений. Может есть какая связь?

  • На всякий случай... есть вот такие файлы:

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\conf.adm"

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\inetres.adm"

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\system.adm"

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\wmplayer.adm"

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Adm\wuau.adm"

     

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\GPT.INI"

    {3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Scripts\Startup\DCA Admins.vbs"

    "{3A9C4528-024A-413C-AB96-2EBA7F4CE489}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf"

     

     

  • Посмотрел у себя - в каждой политике, где прописаны скрипты, имеется файл(ы) scripts.ini, которые содержат комадную строку для запуска скрипта и параметры.

    Что-то типа следующего:


    [Logon]
    0CmdLine=%LOGONSERVER%\NETLOGON\LOGON.BAT
    0Parameters=

     

    Думаю, что и у вас такие ini-файлы должны быть, тем более, что gpotool сообщает вам о них, как об объективно существующей реальности. Посмотрите внимательнее на других DC.

  • Дико извеняюсь!

    Файлик есть на всех контроллерах.

    Атрибуты у него HA. Ридонли на "проблемном" не установлено. Шифрования тоже нет.

    Содержимое 

    [Startup]
    0CmdLine=DCA Admins.vbs
    0Parameters=

    admfiles атрибут H. Ридонли нету.

  • и все-таки обратите внимание на сообщения об ошибках:

    Error: controller04.mydomain.su - controller03.mydomain.su sysvol mismatch

    т.е. здесь говориться о различиях в Sysvol между этими двумя dc ( остальные ошибки аналогичны) сравните в ручную все что касается sysvol этих dc/ Чем они отличаются? (начиная от структуры папок и  жестких ссылок, заканчивая пермишенами и артрибутами)

    проведите тестирование при помощи frsdiag, посмотрите - будут ли сообщения об ошибках?

    1 июня 2010 г. 10:47
  • frsdiag запустил с дефолтными настройками. В общем ничего страшного не заметил...

    На центральном контроллере есть ошибка репликации. Говорит - слишком редко идет репликация на контроллер15. Но это так и надо - это контроллер в сайте с задержкой репликации. На всякий случай... И он тут не причем, стоит отдельно в уголке, никого не трогает...

    FRSDiag v1.7 on 6/2/2010 12:27:40 PM
    .\controller3 on 2010-06-02 at 12.27.40 PM
    ------------------------------------------------------------
    
    Checking for errors/warnings in FRS Event Log .... passed
    Checking for errors in Directory Service Event Log .... passed
    Checking for minimum FRS version requirement ... passed
    Checking for errors/warnings in ntfrsutl ds ... passed
    Checking for Replica Set configuration triggers... 
    
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 1 (Sunday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 2 (Monday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 3 (Tuesday) may be a little low! Currently replicating 2 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 4 (Wednesday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 5 (Thursday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 6 (Friday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" for Day 7 (Saturday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    
    	ERROR: Number of Scheduled Weekly Replication Hours for replica set "DOMAIN SYSTEM VOLUME" FROM member "controller15.myDomain.su" is extremely low! Currently replicating only 2 out of 72 hours per week! You really should consider increasing this!
    	        For more information on configuring SYSVOL FRS schedule see KB.321253 HOW TO: Configure Site Link Replication in Windows 2000
    	        For more information on configuring a DFS FRS schedule see KB.220938 Description of the FRS Replication Protocol, Notification and Schedule
    
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 1 (Sunday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 2 (Monday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 3 (Tuesday) may be a little low! Currently replicating 2 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 4 (Wednesday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 5 (Thursday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 6 (Friday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    	Warning: Number of Scheduled Daily Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" for Day 7 (Saturday) may be a little low! Currently replicating 0 out of 24 hours! You may want to consider increasing this!
    
    	ERROR: Number of Scheduled Weekly Replication Hours for replica set "DOMAIN SYSTEM VOLUME" TO member "controller15.myDomain.su" is extremely low! Currently replicating only 2 out of 72 hours per week! You really should consider increasing this!
    	        For more information on configuring SYSVOL FRS schedule see KB.321253 HOW TO: Configure Site Link Replication in Windows 2000
    	        For more information on configuring a DFS FRS schedule see KB.220938 Description of the FRS Replication Protocol, Notification and Schedule
     ......... failed with 2 error(s) and 14 warning(s)
    
    Checking for suspicious file Backlog size... passed
    Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... passed
    Checking for suspicious inlog entries ... passed
    Checking for suspicious outlog entries ...
    	WARNING: 15.91% (7 out of 44) of your outlog contains Security ACL events
     ......... passed (with 1 warning(s))
    Checking for appropriate staging area size ... passed
    Checking for errors in debug logs ... passed
    Checking NtFrs Service (and dependent services) state...passed
    Checking NtFrs related Registry Keys for possible problems...passed
    Checking Repadmin Showreps for errors...passed
    
    
    Final Result = failed with 2 error(s)
    ------------------------------------------------------------
    FRSDiag v1.7 on 6/2/2010 12:27:40 PM
    .\controller4 on 2010-06-02 at 12.27.40 PM
    ------------------------------------------------------------
    
    Checking for errors/warnings in FRS Event Log .... passed
    Checking for errors in Directory Service Event Log .... passed
    Checking for minimum FRS version requirement ... passed
    Checking for errors/warnings in ntfrsutl ds ... passed
    Checking for Replica Set configuration triggers... passed
    Checking for suspicious file Backlog size... passed
    Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... passed
    Checking for suspicious inlog entries ... passed
    Checking for suspicious outlog entries ...
    	WARNING: 15.91% (7 out of 44) of your outlog contains Security ACL events
     ......... passed (with 1 warning(s))
    Checking for appropriate staging area size ... passed
    Checking for errors in debug logs ... passed
    Checking NtFrs Service (and dependent services) state...passed
    Checking NtFrs related Registry Keys for possible problems...passed
    Checking Repadmin Showreps for errors...passed
    
    
    Final Result = passed
    
    ------------------------------------------------------------
    FRSDiag v1.7 on 6/2/2010 12:27:40 PM
    .\controller61 on 2010-06-02 at 12.27.40 PM
    ------------------------------------------------------------
    
    Checking for errors/warnings in FRS Event Log .... passed
    Checking for errors in Directory Service Event Log .... 	
    NTDS General	5/28/2010 5:17:48 PM	Error	1126	Active Directory was unable to establish a connection with the global catalog.    Additional Data  Error value: 1792 An attempt was made to logon, but the network logon service was not started.  Internal ID: 3200cf3    User Action:  Make sure a global catalog is available in the forest, and is reachable from this domain controller.  You may use the nltest utility to diagnose this problem.
    	WARNING: Found Directory Service Errors in the past 15 days! FRS Depends on AD so Check AD Replication! 
    
     ......... failed 1
    Checking for minimum FRS version requirement ... passed
    Checking for errors/warnings in ntfrsutl ds ... passed
    Checking for Replica Set configuration triggers... passed
    Checking for suspicious file Backlog size... passed
    Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... passed
    Checking for suspicious inlog entries ... passed
    Checking for suspicious outlog entries ...
    	WARNING: 25.00% (13 out of 52) of your outlog contains Security ACL events
     ......... passed (with 1 warning(s))
    Checking for appropriate staging area size ... passed
    Checking for errors in debug logs ... passed
    Checking NtFrs Service (and dependent services) state...passed
    Checking NtFrs related Registry Keys for possible problems...passed
    Checking Repadmin Showreps for errors...passed
    
    
    Final Result = failed with 1 error(s)