Восстановление поврежденного хранилища групповых политик в Windows Server 2012

Все ответы

• 

  

  3

  Нужно войти

  Добрый день! Попробуйте выполнить

  dcgpofix /ignoreschema /target:Domain

  2 сентября 2013 г. 13:42

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  После вывода предупреждений об удалении текущих объектов GPO вывело ошибку:

  "Не удалось создать файл или каталог C:\Windows\SYSVOL\sysvol\<domain_name>\policies
  Системе не удается найти указанный путь.
  Не удалось выполнить восстановление"

  Команда выполнялась от имени администратора.

  В итоге возникает ощущение, что каким-то образом поменялись NTFS-разрешения на хранилище политик.

  3 сентября 2013 г. 6:39

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  И еще уточнение. Если открыть редактор управления групповыми политиками, то выводится список GPO в домене, их привязки к OU и прочие. Ошибка о не найденом пути выводится при попытке редактирования объектов групповой политики

  3 сентября 2013 г. 6:54

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Хм. А попробуйте выполнить резервное копирование\восстановление какого-нибудь объекта.

  Вообще же, нужно посмотреть глазами (dsa.msc- вид-дополнительные компоненты-ваш домен\system\policies)

  объекты, в редакторе атрибутов и во вкладке Безопасность.

  Вторая часть политик живет тут:

  \\вашКД\c$\windowsSYSVOL\sysvol\вашдомен

  Там тоже может быть что-то интересное. Дефолт здесь у системы полный доступ.

  3 сентября 2013 г. 7:18

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  

  Там выводятся GUID-ы имевшихся объектов групповой политики. На вкладке безопасность вроде норм, есть доступ у администраторов и у системы.

  В редакторе атрибутов отмечена последняя дата успешного редактирования групповых политик, после этого они "сломались"

  В файловой системе, получить доступ не удается
  

  3 сентября 2013 г. 10:13

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Хм. похоже, что у Вас с Sysvol`ом проблемы, он локально-то доступен, не через сеть? расшаривается, вообще? Одним глазом дайте dcdiag /q посмотреть.

  И.... >Перенес роли FSMO, переустановил систему на 2012 на втором контроллере.

  1) Роли какие были?

  2) Метаданные очищали после "переустановки"?

  3 сентября 2013 г. 10:21

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Как сетевая папка sysvol виден, но при попытке обращения к папке с именем домена - та же ошибка. При попытке локального доступа - аналогично.

  Точно про роли сказать не могу, но 100% PDC среди них был.

  Метаданные очищал. Тут проблема то на том КД, который не переустанавливался... На тот, ан который переустановили, репликация не идет с исходного.

  Вывод dcdiag /q

  C:\Windows\system32>dcdiag /q
           За последние 24 часа после предоставления SYSVOL в общий доступ
           зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
           репликации SYSVOL могут стать причиной проблем групповой политики.
           ......................... APPS - не пройдена проверка DFSREvent
           Не удается подключиться к общему ресурсу NETLOGON. (\\APPS\netlogon)
           [APPS] Сбой операции net use или LsaPolicy с ошибкой 67,
           Не найдено сетевое имя..
           ......................... APPS - не пройдена проверка NetLogons
           Возникла ошибка. Код события (EventID): 0x00000422
              Время создания: 09/03/2013   13:34:02
              Строка события:
              Ошибка при обработке групповой политики. Попытка чтения файла "\\pr7
  .local\sysvol\pr7.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini"
   с контроллера домена была неудачной. Параметры групповой политики не могут быть
   применены, пока не будет исправлена эта ситуация. Это может быть временным явле
  нием, его возможные причины:
           Возникла ошибка. Код события (EventID): 0x00000422
              Время создания: 09/03/2013   13:34:48
              Строка события:
              Ошибка при обработке групповой политики. Попытка чтения файла "\\pr7
  .local\sysvol\pr7.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini"
   с контроллера домена была неудачной. Параметры групповой политики не могут быть
   применены, пока не будет исправлена эта ситуация. Это может быть временным явле
  нием, его возможные причины:
           Возникла ошибка. Код события (EventID): 0x00000422

  Притом последняя ошибка повторяется многократно. То есть он не может реплицировать. Как я понял, что-то не то именно с самим хранилищем объектов групповой политики.

  
  

  • Изменено Lvov Nikita 3 сентября 2013 г. 10:40

  3 сентября 2013 г. 10:39

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Угу. По поводу PDC- cм в блоге.

  А по поводу DFSR - вангую 2213, почитайте топик, в журналах ошибок DFSR будут советы по лечению.

  3 сентября 2013 г. 10:53

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  С ситуацией, описанной в том топике, сталкивался, это было с другим доменом, там проблема легко и просто устранялась выполнением authoritative restore.
  У меня проблема вроде как глубже... Даже на исходном КД не работает хранилище групповых политик., до репликации дело еще не дошло.
  Хранилище политик надо бы как-нибудь обнулить и построить заново. есть идея - почистить информацию в домен\system\policies, а также в папке sysvol (загрузившись с livecd)

  3 сентября 2013 г. 11:08

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  >У меня проблема вроде как глубже...

  Да? А С репликацией DFSR все у Вас точно все в порядке? Может, достаточно взять гуид тома и в команду вставить, без лайвсиди?

  Меня вот что в выводе смущает

   ......................... APPS - не пройдена проверка DFSREvent
           Не удается подключиться к общему ресурсу NETLOGON. (\\APPS\netlogon)
           [APPS] Сбой операции net use или LsaPolicy с ошибкой 67,
           Не найдено сетевое имя..
           ......................... APPS - не пройдена проверка NetLogons
           Возникла ошибка. Код события (EventID): 0x00000422

  А с хранилищем, в общем, проблем не вижу. С шарингом нетлогона- да, проблемы есть.

  Что в журналах DFSR?

  3 сентября 2013 г. 11:14

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Если бы не было проблем с хранилищем, он бы пускал в папку с именем домена в sysvol-е, не выводя сообщения об ошибке.

  Проблема репликации - да она есть, не отрицаю. С ней уже сталкивался, в другой инфраструктуре, также при апгрейде до 2012 сервера. Устранил ее таким образом. (однако там не было таких ошибок при обращнеии к объектам групповой политики)

  Здесь такой метод, увы, не работает.

  Поэтому сделал вывод, что сначала надо устранить ошибку групповой политики, а после нее - репликацию.

  3 сентября 2013 г. 11:32

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  >Что в журналах DFSR?

  3 сентября 2013 г. 11:36

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  В журналах DFSR следующее:

  Циклически чередуются ошибки 2002 (служба репликации DFS успешно инициализировала репликацию. на томе C:), 4212 (Служба репликации DFS не смогла реплицировать реплицированную папку с локальным  путем C:\Windows\SYSVOL\domain, потому что промежуточный путь является недопустимым или недоступным.
   
  Дополнительные сведения:
  Промежуточная папка: C:\Windows\SYSVOL\staging areas\pr7.local\ContentSet{4AEE0DF6-DE14-4F90-8C8D-74246F789BD0}-{09B6F356-3982-472B-9F79-20E4E3E5B058}
  Имя реплицированной папки: SYSVOL Share
  Идентификатор реплицированной папки: 4AEE0DF6-DE14-4F90-8C8D-74246F789BD0
  Имя группы репликации: Domain System Volume
  Идентификатор группы репликации: 7C3134B5-6830-474A-8754-EDCF6B6ABEB2 ), и 4004 (Служба репликации DFS остановила репликацию реплицированной папки с локальным путем C:\Windows\SYSVOL\domain.
   
  Дополнительные сведения:
  Ошибка: 9025 (Промежуточная область не может быть использована)
  Дополнительный контекст ошибки:  
  Имя реплицированной папки: SYSVOL Share
  Идентификатор реплицированной папки: 4AEE0DF6-DE14-4F90-8C8D-74246F789BD0
  Имя группы репликации: Domain System Volume
  Идентификатор группы репликации: 7C3134B5-6830-474A-8754-EDCF6B6ABEB2 )

  3 сентября 2013 г. 11:39

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Хорошо, попляшем просто:

  Сбой операции net use или LsaPolicy с ошибкой 67,
           Не найдено сетевое имя..

  DNS разрешение с обоих контроллеров нормально проходит, т.е. и полное, и короткое имя?

  Я бы для себя и других )) попросил бы еще Ipconfig /all  с машин, не сочтите за труд )

  И, забыл уточнить- глобальным каталогом сервер почивший был? Вы эту настройку для других не забыли сделать машин?

  • Изменено Dmitriy Razbornov 3 сентября 2013 г. 11:53

  3 сентября 2013 г. 11:48

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Да, DNS резолвится, равно как и пинги идут.

  3 сентября 2013 г. 11:52

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Оба КД были серверами глобального каталога.

  Вывод Ipconfig

  КД, на котором повреждены групповые политики
  

  
  Настройка протокола IP для Windows

     Имя компьютера  . . . . . . . . . : APPS
     Основной DNS-суффикс  . . . . . . : pr7.local
     Тип узла. . . . . . . . . . . . . : Гибридный
     IP-маршрутизация включена . . . . : Нет
     WINS-прокси включен . . . . . . . : Нет
     Порядок просмотра суффиксов DNS . : pr7.local

  Ethernet adapter vEthernet (LAN):

     DNS-суффикс подключения . . . . . :
     Описание. . . . . . . . . . . . . : Адаптер Ethernet для виртуальной сети Hyp
  er-V #2
     Физический адрес. . . . . . . . . : 00-1F-D0-2E-5E-39
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да
     IPv4-адрес. . . . . . . . . . . . : 192.168.0.11(Основной)
     Маска подсети . . . . . . . . . . : 255.255.255.0
     Основной шлюз. . . . . . . . . : 192.168.0.1
     DNS-серверы. . . . . . . . . . . : 127.0.0.1
     NetBios через TCP/IP. . . . . . . . : Включен

  Туннельный адаптер isatap.{CC00E22E-43E6-461F-B44C-05ACF38ACC00}:

     Состояние среды. . . . . . . . : Среда передачи недоступна.
     DNS-суффикс подключения . . . . . :
     Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
     Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да

  Туннельный адаптер Teredo Tunneling Pseudo-Interface:

     Состояние среды. . . . . . . . : Среда передачи недоступна.
     DNS-суффикс подключения . . . . . :
     Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
     Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да

  КД, восстановленный после падения

  Настройка протокола IP для Windows

     Имя компьютера  . . . . . . . . . : DC
     Основной DNS-суффикс  . . . . . . : pr7.local
     Тип узла. . . . . . . . . . . . . : Гибридный
     IP-маршрутизация включена . . . . : Нет
     WINS-прокси включен . . . . . . . : Нет
     Порядок просмотра суффиксов DNS . : pr7.local

  Ethernet adapter Ethernet:

     DNS-суффикс подключения . . . . . :
     Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
     Физический адрес. . . . . . . . . : 00-21-85-3C-A1-C1
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да
     IPv4-адрес. . . . . . . . . . . . : 192.168.0.10(Основной)
     Маска подсети . . . . . . . . . . : 255.255.255.0
     Основной шлюз. . . . . . . . . : 192.168.0.1
     DNS-серверы. . . . . . . . . . . : 127.0.0.1
     NetBios через TCP/IP. . . . . . . . : Включен

  Туннельный адаптер isatap.{0338D3AE-FC05-46BB-8D8D-9A6DBB51BFEF}:

     Состояние среды. . . . . . . . : Среда передачи недоступна.
     DNS-суффикс подключения . . . . . :
     Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
     Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да

  Туннельный адаптер Teredo Tunneling Pseudo-Interface:

     Состояние среды. . . . . . . . : Среда передачи недоступна.
     DNS-суффикс подключения . . . . . :
     Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
     Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да

  
  

  • Изменено Lvov Nikita 4 сентября 2013 г. 15:16

  4 сентября 2013 г. 15:15

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Никита, на APPS настройки для DNS нужно выставить: первый 192.168.0.11, второй 192.168.0.10.

  На DC по аналогии: 192.168.0.10, 192.168.0.11. После этого по очереди перезагрузи обе машины с разницей минут в пять- сначала APPS , потом DC.

  ЗЫ. Жалко, технетики вчера попадали((

  5 сентября 2013 г. 5:22

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Стало только хуже. В итоге DC теперь перестал пинговать APPS. Диагностика сетей говорит, что DNS-сервер не отвечает.

  Прописал в качестве DNS-сервера заведомо работающий DNS,  и тем не менее не работает. Другие компьютеры в сети резольвят имена как через APPS, так и через другой.
  

  Может попробовать переустановить систему на DC?

  • Изменено Lvov Nikita 5 сентября 2013 г. 8:38

  5 сентября 2013 г. 8:35

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Нет, нужно добиться работы DNS, переустанавливать не будем.

  >Прописал в качестве DNS-сервера заведомо работающий DNS

  это какой?

  В свойствах dns сервера нужно проверить, на каких адресах он принимает запросы (вкладка интерфейсы)

  5 сентября 2013 г. 9:02

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Имелись в виду DNS-провайдера.

  Привязки в норме.

  5 сентября 2013 г. 9:57

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Хорошо, если привязки в норме, и с рабочей станции Вы делаете nslookup имя кд, и команда выполняется без ошибок, то все ок.Приведите, пожалуйста, вывод команды nslookup apps и dc с обеих машин, и дайте вывод.

  >Имелись в виду DNS-провайдера.

  сделайте, как я просил ранее.

  5 сентября 2013 г. 10:06

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  C:\Windows\system32>nslookup apps
  ╤хЁтхЁ:  apps.pr7.local
  Address:  192.168.0.11

  ╚ь :     apps.pr7.local
  Address:  192.168.0.11

  
  C:\Windows\system32>nslookup dc
  ╤хЁтхЁ:  apps.pr7.local
  Address:  192.168.0.11

  ╚ь :     dc.pr7.local
  Address:  192.168.0.10

  DNS выставлены, как вы сказали - на APPS - 192.168.0.10, на DC - 192.168.0.11

  Все рабочие станции в сети dns-сервер на apps видят, и коррекетно резольвят сетевые имена.

  5 сентября 2013 г. 10:32

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Все резолвится отлично. Завтра давайте попробуем службу сервер перезапустить на проблемной машине, до утра я не отвечу.

  5 сентября 2013 г. 14:13

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Не помогло.

  Сделал следующее - завел в домен еще один контроллер домена, назвал его Domain.

  Он функционирует прекрасно, за исключением все той же проблемы - не может реплицировать групповые политики с APPS. На APPS хранилище также не функционирует.

  
  

  • Изменено Lvov Nikita 9 сентября 2013 г. 10:42

  9 сентября 2013 г. 10:41

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Если у Вас была чистая среда 2008, и вы перешли в 12, то Sysvol уже работал по DFSR. Поэтому "классические" d4/d2 тут не помогут, здесь я рекомендую проделать на проблемной сервере вот это.

  9 сентября 2013 г. 11:10

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Проблемный - это APPS, как я понимаю, на котором не работает хранилище групповых политик?

  9 сентября 2013 г. 11:32

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Да.

  9 сентября 2013 г. 11:39

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Ранне такое пытался делать, не помогло. Как и сейчас. Выводится ошибка 4212, говорящая о том, что промежуточный путь является недопустимым, и указывает на подпапку в sysvol.

  Что подтверждает мою гипотезу о том, что "корень зла" в хранилище групповых политик. Кстаnи говоря, в ADSI указана последняя дата успешного обращения к ним - 30.03.2012, а это было еще до апгрейда на 2012.

  
  

  • Изменено Lvov Nikita 10 сентября 2013 г. 7:02

  10 сентября 2013 г. 7:02

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Вот и у меня ощущение, что апргейд ни при чем)) Возьму таймаут до конца дня на подумать.

  10 сентября 2013 г. 9:19

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Управление DFS-Репликация-Domain system Volume-создать диагностический отчет.

  На скайдрайв положите, может, найдем что интересное.

  11 сентября 2013 г. 12:14

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Уже делал его раннее, с новым КД мало что изменилось

  https://skydrive.live.com/redir?resid=7FF5EA84D0A58416!29433&authkey=!AJkb3_NJIaKe2pI

  Ощущение, что система не может прочесть содержимое sysvol

  16 сентября 2013 г. 8:11

  Ответить

  |

  Цитировать