none
Доменные политики в домене w2k8r2 RRS feed

  • Вопрос

  • Доброго времени суток.

    Основной контроллер домена (FSMO и т.д.):

    https://www.dropbox.com/s/e2vpx5s6hqpli4l/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202015-12-25%2009.58.56.png?dl=0

    https://www.dropbox.com/s/tjkg6df2zs9oahz/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202015-12-25%2009.59.24.png?dl=0

    А вот дополнительный контроллер, установлен около месяца назад:

    https://www.dropbox.com/s/kamyi797fjz35ua/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202015-12-25%2009.16.00.png?dl=0

    Подскажите пожалуйста, что не так? Почему именно Административные шаблоны не реплицируется, что это за ошибка?


    25 декабря 2015 г. 7:58

Ответы

  • В общем дело тут совсем не в ДФСР. 

    После создания централизованного хранилища политик, а именно - копирования папки PolicyDefinitions в сисвол и репликации контроллеров - ситуация изменилась. На контроллере, который ранее показывал ошибку в административных шаблонах, всё исправилось и стало отображаться...

    Тут, как я понял смысл в различии adml и admx файлов. Но для того чтоб говорить что то конкретнее, мне нужно для начала более подробно изучить тему :)

    Если Вам есть что сказать на эту тему, буду благодарен. Если нет - спасибо за уделенное мне внимание :)

    Подобная тема уже обсуждалась на технете.


    27 декабря 2015 г. 19:09

Все ответы

  • Во-первых, нет ни "основных", ни "дополнительных" контроллеров, они равноценны. Есть только роли FSMO, в частности роль PDC Emulator.

    Во-вторых, рассинхронизация политик на КД в 99% случаев связана с проблемами файловой репликации между КД (политика - это набор файлов на системном томе SYSVOL). В предположении того, что домен был создан на базе ОС не ниже Windows Server 2008 - она идет с помощью DFS-R. А эта система, например, крайне чувствительна к некорректной перезагрузке сервера.

    Перезапустите службы репликации DFS-R на обоих КД, откройте там журналы DFS-R и проверьте их на предмет ошибок при старте (и прочих ошибок - тоже). Если увидите ошибку, сообщающую, что репликация на томе остановлена из-за dirty shutdown, запустите командную строку с повышенными привилегиями и выполните команду, приведенную в этом сообщении об ошибке. После этого снова проверьте журнал DFS-R.

    В целом траблшутинг репликации SYSVOL ничем не отличается от общего траблшутинга DFS-R. Используйте оснастку DFS-R для запуска мастеров проверки здоровья реплицируемых директорий, мониторьте журналы и т.п. В особо запущенном случае может потребоваться пересоздавать SYSVOL целиком, но надеюсь, что до этого экстремального варианта у вас не дойдет.

    Кстати, надеюсь, бэкапы системного состояния обоих КД у вас делаются регулярно?


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    25 декабря 2015 г. 11:07
  • Ошибка 2212, если я правильно понимаю что dirty shutdown значит некорректное завершение работы на томе С, была. Но в ней написано, что служба все сделает сама и никаких действий пользователя не требуется, т.е. никакой команды, которую надо выполнить сообщение не содержало... Перезапустил службы, в журнале ошибок не было. Сделал репликацию принудительно через оснастку Active Directory - сайты и службы. Но проблема осталась...

    Один из серверов был переведен с репликации ФРС на ДФСР. Второй КД был поднят после этой процедуры. Может быть эта информация имеет значение...

    repadmin /showrepl и /replsum говорят что все отлично, без ошибок, всё успешно...

    А какую команду должно было содержать сообщение о dirty shutdown?


    25 декабря 2015 г. 11:36
  • Я ни разу не сталкивался с проблемами с DFSR на КД с Windows Server 2008. На 2012 речь идет о событии (предупреждении) с кодом 2213. Вот содержание события с моего тестового КД, который попадал в эту ситуацию:

    The DFS Replication service stopped replication on volume C:. This occurs when a DFSR JET database is not shut down cleanly and Auto Recovery is disabled. To resolve this issue, back up the files in the affected replicated folders, and then use the ResumeReplication WMI method to resume replication. 
     
    Additional Information: 
    Volume: C: 
    GUID: 333223C7-4A62-11E2-93F1-806E6F6E6963 
     
    Recovery Steps 
    1. Back up the files in all replicated folders on the volume. Failure to do so may result in data loss due to unexpected conflict resolution during the recovery of the replicated folders. 
    2. To resume the replication for this volume, use the WMI method ResumeReplication of the DfsrVolumeConfig class. For example, from an elevated command prompt, type the following command: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="333223C7-4A62-11E2-93F1-806E6F6E6963" call ResumeReplication 

    (команда выделена жирным)

    Репликацию AD в этой ситуации проверять бессмысленно, она ни при чем. Нужно проверять именно репликацию DFSR с помощью оснастки DFS.

    > Один из серверов был переведен с репликации ФРС на ДФСР. Второй КД был поднят после этой процедуры. Может быть эта информация имеет значение...

    Имеет, и еще какое. Что означает "один из серверов"? Если вы это делаете, у вас должно быть минимум два сервера. Что это был за второй сервер, что с ним сейчас? Процесс миграции точно завершится и сошелся на всех КД? dfsrmig что по этому поводу говорит? В журнале FRS точно никакие проблемы с SYSVOL не отражены? Системная шара SYSVOL на всех серверах указывает на правильное место? На более старом КД это должна быть директория c:\windows\sysvol_dfsr.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    26 декабря 2015 г. 18:17
  • Поведение DFSR поменялось после выхода Win2K8 R2 - вместо автоматического восстановления репликации (с возможной потерей данных) служба DFSR стала по умолчанию останавливать репликацию и фиксировать предупреждение 2213, в тексте этого предупреждения указана команда, которую нужно выполнить вручную, чтобы возобновить репликацию. В Win2012 и выше это поведение сделано по умолчанию изначально, а в Win2K8/2K8 R2 это изменение вносится обновлением KB2663685.

    Подробно этот вопрос рассмотрен в статье блога Storage Team.

    Установлено ли у автора указанное обновление, данных нет, поэтому можно считать, что у него включено автоматическое восстановление.


    Слава России!

    26 декабря 2015 г. 19:09
  • Имеет, и еще какое. Что означает "один из серверов"? Если вы это делаете, у вас должно быть минимум два сервера. Что это был за второй сервер, что с ним сейчас? Процесс миграции точно завершится и сошелся на всех КД? dfsrmig что по этому поводу говорит? В журнале FRS точно никакие проблемы с SYSVOL не отражены? Системная шара SYSVOL на всех серверах указывает на правильное место? На более старом КД это должна быть директория c:\windows\sysvol_dfsr.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    Был домен с одним КД 2008р2 и двумя КД2003. КД на вин 2003 были удалены из домена. Далее, следуя вот этим инструкциям, репликация была переведена с ФРС на ДФСР, ВСЁ прошло в ПОЛНОМ соответствии с ними. Никаких ошибок. Т.е. во время перевода, доменный контроллер был всего один, не нужно было ничему сходится. После, мною был поднят второй контроллер, на котором и присутствует проблема... Да, на старом кд это директория sysvol_dfsr...

    Поставил на проблемный КД оснастку ДФС. Тест распространения проходит без ошибок...

    27 декабря 2015 г. 16:52
  • В общем дело тут совсем не в ДФСР. 

    После создания централизованного хранилища политик, а именно - копирования папки PolicyDefinitions в сисвол и репликации контроллеров - ситуация изменилась. На контроллере, который ранее показывал ошибку в административных шаблонах, всё исправилось и стало отображаться...

    Тут, как я понял смысл в различии adml и admx файлов. Но для того чтоб говорить что то конкретнее, мне нужно для начала более подробно изучить тему :)

    Если Вам есть что сказать на эту тему, буду благодарен. Если нет - спасибо за уделенное мне внимание :)

    Подобная тема уже обсуждалась на технете.


    27 декабря 2015 г. 19:09

  • После создания централизованного хранилища политик, а именно - копирования папки PolicyDefinitions в сисвол и репликации контроллеров - ситуация изменилась. На контроллере, который ранее показывал ошибку в административных шаблонах, всё исправилось и стало отображаться...


    М-м... я почему-то считал очевидным, что данная проблема отображается в GPMC, подключающейся к разным КД с одного сервера.

    Да, действительно, если у вас есть КД с разными версиями ОС или иными расхождениями, то следует выполнять определенные упражнения с бубном, чтобы GPMC на них одинаково отображала политики. Создание центрального хранилища - одно из них. Однако обычно этого не требуется. Нужно просто следовать одному простому правилу: GPMC всегда используется на серверах с наиболее новой версией ОС. Желательно - на одном и том же сервере, чтобы не натыкаться на такие ситуации, как у вас. Если вам зачем-то нужно подключиться к другим серверам помимо PDC, куда она подключается по умолчанию (например, для сверки состояния политик), это элементарно делается из самой GPMC (правой кнопкой на названии домена -> Change domain controller).

    Кстати, начиная с Windows Server 2012, если вам нужно сверить состояние политик на разных КД, это не нужно делать вручную. Достаточно встать на название домена - справа вкладка Status, кнопка Detect now. Задумайтесь, не пора ли потихоньку вводить КД на современных версиях ОС, особенно с учетом того, что в Windows 8/10 есть политики, о которых Server 2008 R2 не подозревает.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    28 декабря 2015 г. 6:55
  • Поведение DFSR поменялось после выхода Win2K8 R2 - вместо автоматического восстановления репликации (с возможной потерей данных) служба DFSR стала по умолчанию останавливать репликацию и фиксировать предупреждение 2213, в тексте этого предупреждения указана команда, которую нужно выполнить вручную, чтобы возобновить репликацию. В Win2012 и выше это поведение сделано по умолчанию изначально, а в Win2K8/2K8 R2 это изменение вносится обновлением KB2663685.


    Спасибо, не знал. У меня важные серверы давно не ниже 2012 RTM, 2008 остался только на одном КД - на всякий случай возможной несовместимости оставшихся WinXP с 2012. Отказы DFS-R реплицировать директории на файл-серверах не так уж и редки, так что у меня первое действие после перезагрузки - лезть в лог DFSR и смотреть там на событиях. Хотя, справедливости дли, с таким отказом для SYSVOL я столкнулся только однажды, на полигонных КД, за которыми особенно не слежу.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    28 декабря 2015 г. 7:00

  • После создания централизованного хранилища политик, а именно - копирования папки PolicyDefinitions в сисвол и репликации контроллеров - ситуация изменилась. На контроллере, который ранее показывал ошибку в административных шаблонах, всё исправилось и стало отображаться...


    М-м... я почему-то считал очевидным, что данная проблема отображается в GPMC, подключающейся к разным КД с одного сервера.

    Да, действительно, если у вас есть КД с разными версиями ОС или иными расхождениями, то следует выполнять определенные упражнения с бубном, чтобы GPMC на них одинаково отображала политики. Создание центрального хранилища - одно из них. Однако обычно этого не требуется. Нужно просто следовать одному простому правилу: GPMC всегда используется на серверах с наиболее новой версией ОС. Желательно - на одном и том же сервере, чтобы не натыкаться на такие ситуации, как у вас. Если вам зачем-то нужно подключиться к другим серверам помимо PDC, куда она подключается по умолчанию (например, для сверки состояния политик), это элементарно делается из самой GPMC (правой кнопкой на названии домена -> Change domain controller).

    Кстати, начиная с Windows Server 2012, если вам нужно сверить состояние политик на разных КД, это не нужно делать вручную. Достаточно встать на название домена - справа вкладка Status, кнопка Detect now. Задумайтесь, не пора ли потихоньку вводить КД на современных версиях ОС, особенно с учетом того, что в Windows 8/10 есть политики, о которых Server 2008 R2 не подозревает.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    Я как могу подговариваю своё начальство к покупке сервер 2012... Если мои уговоры увенчаются успехом - не медля перейду :)

    В целом, я всегда редактирую политики на том кд, на котором все нормально отображается, тут просто как то случайно заметил вот такую ерунду. А оставить все так, политики то вроде работают, как то вот не могу и всё тут :)

    28 декабря 2015 г. 9:37