none
Проблема с групповой политикой в домене W2k3 SP2 Rus RRS feed

  • Вопрос

  • Почему-то на контроллере домена иногда (иногда раз в две недели вылазит, иногда два раза в неделю) в логе "Приложение" появляется ошибка от источника Userenv - Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=utszn,DC=local. Этот файл должен находиться в <\\utszn.local\sysvol\utszn.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.
    Этот файл там есть. Проблем в работе компьютеров домена вроде не наблюдается. Возникает два вопроса - 1) как посмотреть, к какой OU гр.политика не грузится (как перевести это обозначение - {31B2F340-016D-11D2-945F-00C04FB984F9})?
    2) почему собственно не удается загрузка гр.политики? В чем может быть проблема?
    Буду благодарен, всем, кто сможет помочь.
    14 января 2008 г. 6:17

Ответы

  • Он доступ к ini файлам блокирует, где то на форуме мы эту тему обсуждали, попробуйте настроить исключение для папки sysvol, или временно отключите его для теста.

    14 января 2008 г. 8:08

Все ответы

  • 1. Group Policy Management \ Group Policy Objects \ [ Выбрать Групповую политику ] \ Details -> Unique ID

     

    2. Антивирус стоит на DC?

     

    14 января 2008 г. 7:11
  • Да, MacAfee VirusScan Enterprise ver.8.5i. Думаете это он блокирует?
    14 января 2008 г. 8:00
  • Он доступ к ini файлам блокирует, где то на форуме мы эту тему обсуждали, попробуйте настроить исключение для папки sysvol, или временно отключите его для теста.

    14 января 2008 г. 8:08
  • {31B2F340-016D-11D2-945F-00C04FB984F9} это Default Domain Policy
    14 января 2008 г. 8:16
    Модератор
  • Вы оказались правы. Причем, хотя это правило (блокирования сетевого доступа) и не было включено - он все равно его использовал (видно было по его логам)! Более того, пока я разбирался с его настройками (антивиря), он у меня пол-доменая выкинул. Снес антивирь - без толку, перезапустил контроллер - все вроде заработало, но! Через минуту-две после загрузки вывалилось следующее - Не удалось выполнить привязку к домену utszn.local. (Таймаут). Обработка групповой политики прекращена. (источник - userenv, код 1006) и сразу после этого - Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя. (источник тот же, код 1030). Сделал gpupdate /force - итог - идет обновление политики и тишина. Решил посмотреть саму политику - долго-долго думал, потом выдал, что не может ее прочитать. Опять перезагрузил контроллер, все вроде пока работает, боюсь пока трогать. В чем может быть проблема? Я перед этим правда другой антивирь воткнул - NOD32, может это его службы такой резонанс дали?
    14 января 2008 г. 10:31
  • У меня такое было когда баловался с запуском служб в групповых политиках, но не выставлял права на службы. В частности автозапуск BITS.

    Дальше на Висте отвалился брандмакуэр, ipsek и другие сетевые службы, хотя сеть была в норме, единственное комп ни как не пинговался. Перестали идти обновления.

    А вот на XP как раз такая фигня с политиками и пошла. Не загружалась политика отвечающая за настройку брандмауэра и писала как раз такую ошибку.

    Отключение политики для служб не помогало, всё вставало на оборот, висты начинали работать а xp перестали обновляться. Пришлось для каждой изменённой в политике службы выставлять права доступа.

     

    14 января 2008 г. 22:37
  • IMHO Просто нужно было подождать какое то время, что бы система "приняла" изменения, хотя существует вероятность некорректной де-установке Антивируса.

    15 января 2008 г. 6:29
  • Полагаю, вы со стороны клиента так баловались? Не на сервере? У меня брэнмауэр и пр.выключены. Сегодня утром опять обнаружил - Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=utszn,DC=local. Этот файл должен находиться в <\\utszn.local\sysvol\utszn.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена. Антивирь уже другой стоит - NOD32. Прописал для него исключение, посмотрим, какой эффект даст. Но чувствую, не в нем дело. Кстати, в понедельник у меня еще несколько ошибок вываливалось, уже в другой категории - в Службе каталогов, а именно: Попытки обращения Active Directory к следующему глобальному каталогу завершились неудачно.
    Глобальный каталог:
    \\server.utszn.local
    Продолжение выполнения текущей операции невозможно. Active Directory воспользуется локатором контроллеров домена для поиска доступного сервера глобального каталога.
    Дополнительные данные
    Значение ошибки:
    1818 Удаленный вызов процедуры был отменен.
    Все это произошло как раз в тот момент, когда я пытался сделать, gpupdate /force (и который подвис). Народ, выручайте.

    P.S. Вопрос вдогонку - можно мне как-то сейчас переопределить дефолтную гр.политику, чтобы она грузилась из другого места?

    16 января 2008 г. 4:25
  •  warlock9000 написано:
    Полагаю, вы со стороны клиента так баловались? Не на сервере? У меня брэнмауэр и пр.выключены. Сегодня утром опять обнаружил - Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=utszn,DC=local. Этот файл должен находиться в <\\utszn.local\sysvol\utszn.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена. Антивирь уже другой стоит - NOD32. Прописал для него исключение, посмотрим, какой эффект даст. Но чувствую, не в нем дело. Кстати, в понедельник у меня еще несколько ошибок вываливалось, уже в другой категории - в Службе каталогов, а именно: Попытки обращения Active Directory к следующему глобальному каталогу завершились неудачно.
    Глобальный каталог:
    \\server.utszn.local
    Продолжение выполнения текущей операции невозможно. Active Directory воспользуется локатором контроллеров домена для поиска доступного сервера глобального каталога.
    Дополнительные данные
    Значение ошибки:
    1818 Удаленный вызов процедуры был отменен.
    Все это произошло как раз в тот момент, когда я пытался сделать, gpupdate /force (и который подвис). Народ, выручайте.

    P.S. Вопрос вдогонку - можно мне как-то сейчас переопределить дефолтную гр.политику, чтобы она грузилась из другого места?

     

    нет, как раз на сервере я это и сделал. Просто сказал всем компам и серверам стартовать BITS и не настроил разрешения.

    16 января 2008 г. 6:53
  • Хм, я в политике службы вообще не трогал, поменял просто различные сетевые настройки (аутентификация и пр.).Посмотрю, может и есть там что-нибудь.
    16 января 2008 г. 7:19
  •  

    вот вот, "различные сетевые настройки" :-)

     

    пробуй всё возвращать, отпишись если что найдёшь

    мне было проще, я новую политику правил, а ты дефолтную, как я понял.

    так бы отключил новую и проверил бы

    17 января 2008 г. 0:11
  • Мдаа, жестоко. Я там просто авторизацию смягчил, сетевой доступ и им подобное , т.к. в сети есть машины с Win98. Ладно, посмотрю, но только вечером, не хватало, чтобы у меня опять инцидент 14-го числа повторился (.
    17 января 2008 г. 4:08