none
KB3159398 ломает AD DS (SYSVOL 65535) RRS feed

  • Общие обсуждения

  • Добрый день.

    Вся ситуация моделировалась в VM.

    ОС гипервизора - Server 2016 Hyper-V

    ОС клиента - Server 2012 Standart GUI

    На VM поднят локальный домен, пока нет ВООБЩЕ ни каких изменений в домене, ни новых политик, ни учетных записей ни чего. Просто только установленный домен.

    Ситуация повторяется в любой из ситуаций, устанавливать сначала все обновления и потом поднимать роль AD DS или наоборот, установить ОС с образа настроить AD DS и накатить обновления.

    Методом проб и ошибок было выяснено, что проблему вызывает обновление KB3159398.

    При просмотре "Результатов групповой политики" для DC (ибо это пока единственный ПК в домене), получаю сообщение:

    "Несовпадение версии Active Directory / SYSVOL".

    Хот-фикс (который кстати на 3 года старше обновления всё ломающее) 2866345 установил, ситуация не исправилась.

    Так же, по скольку это домен "с пылу с жара", то в "Фильтрах безопасности" группа "Прошедшие проверку присутствует", и на вкладке делегирование "Прошедшим проверку" имеются права на чтение. Добавлял в делегирование группу "Контроллеры домена" (оби ПК пока один и к группе "Компьютеры домена" он не относится, так как является DC) с правами на чтение.

    Всё безрезультатно.

    Еще раз напомню, это ЧИСТЫЙ домен. я 2 недели убил на то, чтобы понять какое обновление виновато. И еще 2 дня, чтобы попытаться решить проблему с обновлением.

    Если кто-то сталкивался, прошу помочь решить данную проблему.

    14 июня 2017 г. 1:51

Все ответы

  • Уже на эту тему сказано и пересказано: после установки KB3159398 (исправление для бюллетеня безопасности MS16-072) все групповые политики для пользователя читаются под учётной запись компьютера, а не пользователя. Поэтому на все групповые политики должно быть разрешение на чтение (но не на применение) для групп, включающих учётные записи компьютеров - "Компьютеры домена" или "Все".

    PS Дополнительную информацию ищите по ключевому слову "MS16-072" - хотя бы тут на форуме, тема обсуждалась не один десяток раз и там есть рекомендации на любой вкус.


    Слава России!


    • Изменено M.V.V. _ 14 июня 2017 г. 10:49
    14 июня 2017 г. 10:48
  • Я же написал, что добавлял группы компьютеров в делегирование с правами на чтение.

    (*offtop* я не знаю, что еще надо сделать чтобы форум мне признал человеком, ну не могу я лить скриншоты или ссылки вставлять)

    Придется так:

    cloud.mail.ru /public/J7Jx/MeZT4qdoT

    Туда выложил скриншоты с VM, а так же в архиве саму VM.

    Пароль администратора:

    49UhjvVjynPfhbUjhb<tly

    Бюллетень безопасности я знаю, я его читал. А так же за последние 3 дня перечитал 2 страницы вывода Google'а по запросам на MS16-072 и KB3159398.

    Везде, обычно проблема, с принтерами и папками.

    У меня же проблема с версией Sysvol, при чем как я писал выше, поиск по ошибке Sysvol (65535) приводит на хотфикс, который старее обновления привнесшего проблемы, на 3 года. Хотя и с этим хотфиксом ни чего не изменилось.

    15 июня 2017 г. 0:15
  • Я немного в шоке.

    Я словил какой-то лулз (простите не люблю жаргон, но это сейчас самое подходящее слово).

    В общем, я вдруг вспомнил, что можно включить более детальное логирование работы(применения) GPO, более детальное нежели в журнале событий.

    Воспользовался инструкцией:

    winitpro.ru /index.php/2016/10/11/otladochnyj-zhurnal-obrabotki-gpo-na-klientax-gpsvc-log/

    И ошибка пропала О_о

    Думал, случайность. Задал значение "0" (выключил логирование). Ошибка вернулась (после gpupdate /force или перезагрузки).

    Повторил 3 раза. На 2-ой и 3-ий раз не делал перезагрузки, только gpupdate /force. (скрин 44)

    0 - ошибка есть.

    00030002 - ошибки нет.

    WTF?! О_о

    Я перестал понимать "как это работает".

    15 июня 2017 г. 2:01
  • Кстати, после того как прошел шок от "00030002" я решил проверить, а какая конкретно пишется ошибка если убрать группы компьютеров из делегирования.

    Убрал все ранее добавленные группы компьютеров из делегирования, оставил только то что было по умолчанию "Прошедшие проверку" (куда ВХОДЯТ компьютера домена) и ошибки нет, если конечно не выключать логирование.

    КАК?!?!? Как чёрт возьми логирование может повлиять на работу GPO?

    15 июня 2017 г. 2:44
  • емнип там не гпо в данном случае клинит, а сам рсоп

    у вас винды все русские?

    15 июня 2017 г. 7:29
  • Вообще, да все русскоязычные ОС.

    Но проблема, то воспроизводится на одном сервере. Т.е. это одна VM с "новым" доменом, без настроек.

    Я уже начал тоже думать, что это проблема в локализованной версии.

    Попробую поднять англ. версию и проверить, что там. Странно то, что проблема возникает просто на ЧИСТОМ сервере. Т.е. в этой VM ВООБЩЕ ни чего пока нет. Просто ОС, обновления и поднятая и настроенная роль AD DS.

    15 июня 2017 г. 7:48
  • Ошибка повторилась на ангоязычной версии Windows. В точности, даже с ключом реестра (в смысле ВКЛ\ВЫКЛ логирования устраняет ошибку).

    Пока решил оставить так, с логированием, но удалять старые логи раз в день.

    Подскажите, как можно об этом "недоразумении" маякнуть Microsoft'у?

    А то не думаю, что они читают форум в поисках ошибок в своём продукте :(

    18 июня 2017 г. 23:07