none
Восстановление поврежденного хранилища групповых политик в Windows Server 2012 RRS feed

  • Общие обсуждения

  • Добрый день.

    Ситуация следующая: Был домен с двумя DC на Windows Server 2008R2. Один из контроллеров обновил до 2012. После чего ушел в отпуск, прихожу - вижу, что второй мертв (поврежден из-за пробоя БП). Перенес роли FSMO, переустановил систему на 2012 на втором контроллере.

    После занесения в домен и повышения роли оказалось, что репликация выполняется не совсем корректно : объекты пользователей, OU и т.д. реплицируются корректно, а групповые политики - нет. При проверке DC, с которого выполнялась репликация, вскрылось следующее: При попытке обращения к папке sysvol при локальном входе на DC выводится сообщение "<путь к папке sysvol>\<имя домена> ссылается на недоступное расположение..."

    При попытке запуска редактора групповых политик выводится сообщение, что системе не удается найти указанный путь.

    Как я понял, хранилище групповых политик повреждено, и его необходимо создать заново. Как это сделать?

    2 сентября 2013 г. 7:41

Все ответы

  • Добрый день! Попробуйте выполнить

    dcgpofix /ignoreschema /target:Domain

    2 сентября 2013 г. 13:42
  • После вывода предупреждений об удалении текущих объектов GPO вывело ошибку:

    "Не удалось создать файл или каталог C:\Windows\SYSVOL\sysvol\<domain_name>\policies
    Системе не удается найти указанный путь.
    Не удалось выполнить восстановление"

    Команда выполнялась от имени администратора.

    В итоге возникает ощущение, что каким-то образом поменялись NTFS-разрешения на хранилище политик.

    3 сентября 2013 г. 6:39
  • И еще уточнение. Если открыть редактор управления групповыми политиками, то выводится список GPO в домене, их привязки к OU и прочие. Ошибка о не найденом пути выводится при попытке редактирования объектов групповой политики
    3 сентября 2013 г. 6:54
  • Хм. А попробуйте выполнить резервное копирование\восстановление какого-нибудь объекта.

    Вообще же, нужно посмотреть глазами (dsa.msc- вид-дополнительные компоненты-ваш домен\system\policies)

    объекты, в редакторе атрибутов и во вкладке Безопасность.

    Вторая часть политик живет тут:

    \\вашКД\c$\windowsSYSVOL\sysvol\вашдомен

    Там тоже может быть что-то интересное. Дефолт здесь у системы полный доступ.

    3 сентября 2013 г. 7:18
  • Там выводятся GUID-ы имевшихся объектов групповой политики. На вкладке безопасность вроде норм, есть доступ у администраторов и у системы.

    В редакторе атрибутов отмечена последняя дата успешного редактирования групповых политик, после этого они "сломались"

    В файловой системе, получить доступ не удается

    3 сентября 2013 г. 10:13
  • Хм. похоже, что у Вас с Sysvol`ом проблемы, он локально-то доступен, не через сеть? расшаривается, вообще? Одним глазом дайте dcdiag /q посмотреть.

    И.... >Перенес роли FSMO, переустановил систему на 2012 на втором контроллере.

    1) Роли какие были?

    2) Метаданные очищали после "переустановки"?

    3 сентября 2013 г. 10:21
  • Как сетевая папка sysvol виден, но при попытке обращения к папке с именем домена - та же ошибка. При попытке локального доступа - аналогично.

    Точно про роли сказать не могу, но 100% PDC среди них был.

    Метаданные очищал. Тут проблема то на том КД, который не переустанавливался... На тот, ан который переустановили, репликация не идет с исходного.

    Вывод dcdiag /q

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... APPS - не пройдена проверка DFSREvent
             Не удается подключиться к общему ресурсу NETLOGON. (\\APPS\netlogon)
             [APPS] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... APPS - не пройдена проверка NetLogons
             Возникла ошибка. Код события (EventID): 0x00000422
                Время создания: 09/03/2013   13:34:02
                Строка события:
                Ошибка при обработке групповой политики. Попытка чтения файла "\\pr7
    .local\sysvol\pr7.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini"
     с контроллера домена была неудачной. Параметры групповой политики не могут быть
     применены, пока не будет исправлена эта ситуация. Это может быть временным явле
    нием, его возможные причины:
             Возникла ошибка. Код события (EventID): 0x00000422
                Время создания: 09/03/2013   13:34:48
                Строка события:
                Ошибка при обработке групповой политики. Попытка чтения файла "\\pr7
    .local\sysvol\pr7.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini"
     с контроллера домена была неудачной. Параметры групповой политики не могут быть
     применены, пока не будет исправлена эта ситуация. Это может быть временным явле
    нием, его возможные причины:
             Возникла ошибка. Код события (EventID): 0x00000422

    Притом последняя ошибка повторяется многократно. То есть он не может реплицировать. Как я понял, что-то не то именно с самим хранилищем объектов групповой политики.


    • Изменено Lvov Nikita 3 сентября 2013 г. 10:40
    3 сентября 2013 г. 10:39
  • Угу. По поводу PDC- cм в блоге.

    А по поводу DFSR - вангую 2213, почитайте топик, в журналах ошибок DFSR будут советы по лечению.

    3 сентября 2013 г. 10:53
  • С ситуацией, описанной в том топике, сталкивался, это было с другим доменом, там проблема легко и просто устранялась выполнением authoritative restore.
    У меня проблема вроде как глубже... Даже на исходном КД не работает хранилище групповых политик., до репликации дело еще не дошло.
    Хранилище политик надо бы как-нибудь обнулить и построить заново. есть идея - почистить информацию в домен\system\policies, а также в папке sysvol (загрузившись с livecd)
    3 сентября 2013 г. 11:08
  • >У меня проблема вроде как глубже...

    Да? А С репликацией DFSR все у Вас точно все в порядке? Может, достаточно взять гуид тома и в команду вставить, без лайвсиди?

    Меня вот что в выводе смущает

     ......................... APPS - не пройдена проверка DFSREvent
             Не удается подключиться к общему ресурсу NETLOGON. (\\APPS\netlogon)
             [APPS] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... APPS - не пройдена проверка NetLogons
             Возникла ошибка. Код события (EventID): 0x00000422

    А с хранилищем, в общем, проблем не вижу. С шарингом нетлогона- да, проблемы есть.

    Что в журналах DFSR?

    3 сентября 2013 г. 11:14
  • Если бы не было проблем с хранилищем, он бы пускал в папку с именем домена в sysvol-е, не выводя сообщения об ошибке.

    Проблема репликации - да она есть, не отрицаю. С ней уже сталкивался, в другой инфраструктуре, также при апгрейде до 2012 сервера. Устранил ее таким образом. (однако там не было таких ошибок при обращнеии к объектам групповой политики)

    Здесь такой метод, увы, не работает.

    Поэтому сделал вывод, что сначала надо устранить ошибку групповой политики, а после нее - репликацию.

    3 сентября 2013 г. 11:32
  • >Что в журналах DFSR?

    3 сентября 2013 г. 11:36
  • В журналах DFSR следующее:

    Циклически чередуются ошибки 2002 (служба репликации DFS успешно инициализировала репликацию. на томе C:), 4212 (Служба репликации DFS не смогла реплицировать реплицированную папку с локальным  путем C:\Windows\SYSVOL\domain, потому что промежуточный путь является недопустимым или недоступным.
     
    Дополнительные сведения:
    Промежуточная папка: C:\Windows\SYSVOL\staging areas\pr7.local\ContentSet{4AEE0DF6-DE14-4F90-8C8D-74246F789BD0}-{09B6F356-3982-472B-9F79-20E4E3E5B058}
    Имя реплицированной папки: SYSVOL Share
    Идентификатор реплицированной папки: 4AEE0DF6-DE14-4F90-8C8D-74246F789BD0
    Имя группы репликации: Domain System Volume
    Идентификатор группы репликации: 7C3134B5-6830-474A-8754-EDCF6B6ABEB2 ), и 4004 (Служба репликации DFS остановила репликацию реплицированной папки с локальным путем C:\Windows\SYSVOL\domain.
     
    Дополнительные сведения:
    Ошибка: 9025 (Промежуточная область не может быть использована)
    Дополнительный контекст ошибки:  
    Имя реплицированной папки: SYSVOL Share
    Идентификатор реплицированной папки: 4AEE0DF6-DE14-4F90-8C8D-74246F789BD0
    Имя группы репликации: Domain System Volume
    Идентификатор группы репликации: 7C3134B5-6830-474A-8754-EDCF6B6ABEB2 )

    3 сентября 2013 г. 11:39
  • Хорошо, попляшем просто:

    Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..

    DNS разрешение с обоих контроллеров нормально проходит, т.е. и полное, и короткое имя?

    Я бы для себя и других )) попросил бы еще Ipconfig /all  с машин, не сочтите за труд )

    И, забыл уточнить- глобальным каталогом сервер почивший был? Вы эту настройку для других не забыли сделать машин?

    3 сентября 2013 г. 11:48
  • Да, DNS резолвится, равно как и пинги идут.

    3 сентября 2013 г. 11:52
  • Оба КД были серверами глобального каталога.

    Вывод Ipconfig

    КД, на котором повреждены групповые политики


    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : APPS
       Основной DNS-суффикс  . . . . . . : pr7.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : pr7.local

    Ethernet adapter vEthernet (LAN):

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Ethernet для виртуальной сети Hyp
    er-V #2
       Физический адрес. . . . . . . . . : 00-1F-D0-2E-5E-39
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.11(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.0.1
       DNS-серверы. . . . . . . . . . . : 127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{CC00E22E-43E6-461F-B44C-05ACF38ACC00}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    КД, восстановленный после падения

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : DC
       Основной DNS-суффикс  . . . . . . : pr7.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : pr7.local

    Ethernet adapter Ethernet:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
       Физический адрес. . . . . . . . . : 00-21-85-3C-A1-C1
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.10(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.0.1
       DNS-серверы. . . . . . . . . . . : 127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{0338D3AE-FC05-46BB-8D8D-9A6DBB51BFEF}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да


    • Изменено Lvov Nikita 4 сентября 2013 г. 15:16
    4 сентября 2013 г. 15:15
  • Никита, на APPS настройки для DNS нужно выставить: первый 192.168.0.11, второй 192.168.0.10.

    На DC по аналогии: 192.168.0.10, 192.168.0.11. После этого по очереди перезагрузи обе машины с разницей минут в пять- сначала APPS , потом DC.

    ЗЫ. Жалко, технетики вчера попадали((

    5 сентября 2013 г. 5:22
  • Стало только хуже. В итоге DC теперь перестал пинговать APPS. Диагностика сетей говорит, что DNS-сервер не отвечает.

    Прописал в качестве DNS-сервера заведомо работающий DNS,  и тем не менее не работает. Другие компьютеры в сети резольвят имена как через APPS, так и через другой.

    Может попробовать переустановить систему на DC?

    • Изменено Lvov Nikita 5 сентября 2013 г. 8:38
    5 сентября 2013 г. 8:35
  • Нет, нужно добиться работы DNS, переустанавливать не будем.

    >Прописал в качестве DNS-сервера заведомо работающий DNS

    это какой?

    В свойствах dns сервера нужно проверить, на каких адресах он принимает запросы (вкладка интерфейсы)

    5 сентября 2013 г. 9:02
  • Имелись в виду DNS-провайдера.

    Привязки в норме.

    5 сентября 2013 г. 9:57
  • Хорошо, если привязки в норме, и с рабочей станции Вы делаете nslookup имя кд, и команда выполняется без ошибок, то все ок.Приведите, пожалуйста, вывод команды nslookup apps и dc с обеих машин, и дайте вывод.

    >Имелись в виду DNS-провайдера.

    сделайте, как я просил ранее.

    5 сентября 2013 г. 10:06
  • C:\Windows\system32>nslookup apps
    ╤хЁтхЁ:  apps.pr7.local
    Address:  192.168.0.11

    ╚ь :     apps.pr7.local
    Address:  192.168.0.11


    C:\Windows\system32>nslookup dc
    ╤хЁтхЁ:  apps.pr7.local
    Address:  192.168.0.11

    ╚ь :     dc.pr7.local
    Address:  192.168.0.10

    DNS выставлены, как вы сказали - на APPS - 192.168.0.10, на DC - 192.168.0.11

    Все рабочие станции в сети dns-сервер на apps видят, и коррекетно резольвят сетевые имена.

    5 сентября 2013 г. 10:32
  • Все резолвится отлично. Завтра давайте попробуем службу сервер перезапустить на проблемной машине, до утра я не отвечу.

    5 сентября 2013 г. 14:13
  • Не помогло.

    Сделал следующее - завел в домен еще один контроллер домена, назвал его Domain.

    Он функционирует прекрасно, за исключением все той же проблемы - не может реплицировать групповые политики с APPS. На APPS хранилище также не функционирует.


    • Изменено Lvov Nikita 9 сентября 2013 г. 10:42
    9 сентября 2013 г. 10:41
  • Если у Вас была чистая среда 2008, и вы перешли в 12, то Sysvol уже работал по DFSR. Поэтому "классические" d4/d2 тут не помогут, здесь я рекомендую проделать на проблемной сервере вот это.

    9 сентября 2013 г. 11:10
  • Проблемный - это APPS, как я понимаю, на котором не работает хранилище групповых политик?

    9 сентября 2013 г. 11:32
  • Ранне такое пытался делать, не помогло. Как и сейчас. Выводится ошибка 4212, говорящая о том, что промежуточный путь является недопустимым, и указывает на подпапку в sysvol.

    Что подтверждает мою гипотезу о том, что "корень зла" в хранилище групповых политик. Кстаnи говоря, в ADSI указана последняя дата успешного обращения к ним - 30.03.2012, а это было еще до апгрейда на 2012.


    • Изменено Lvov Nikita 10 сентября 2013 г. 7:02
    10 сентября 2013 г. 7:02
  • Вот и у меня ощущение, что апргейд ни при чем)) Возьму таймаут до конца дня на подумать.
    10 сентября 2013 г. 9:19
  • Управление DFS-Репликация-Domain system Volume-создать диагностический отчет.

    На скайдрайв положите, может, найдем что интересное.

    11 сентября 2013 г. 12:14
  • Уже делал его раннее, с новым КД мало что изменилось

    https://skydrive.live.com/redir?resid=7FF5EA84D0A58416!29433&authkey=!AJkb3_NJIaKe2pI

    Ощущение, что система не может прочесть содержимое sysvol

    16 сентября 2013 г. 8:11