Доброго времени суток.
Столкнулся с следующей проблемой.
Есть сервер КД на котором крутится AD и DNS (WinServ 2003).
Сеть работает нормально ... Доступ к SQL , файл сервер , интернет , прокси сервер все работает прекрасно,но есть одно НО.
Я бы наверное не заметил проблемы покуда не полез бы в групповые политики.
Решил я поднять WSUS(На отдельном сервере под управление Serv 2008r2) . Поднял все нормально. Решил прописать в групповых политиках настройки на Wsus. Прописал сделал на КД gpupdate /force
Все в порядке , показало что все применилось успешно. Оставил это дело на ночь. Пришел с утра и увидел что к Wsus подключился только КД. Проверил политики рабочей станции , соответственно никаких настроек.
Решил запустить обноление групповой политики в ручную.
gpupdate /force выдает результат
http://s60.radikal.ru/i168/1109/4b/1aa09d6782act.jpg (http://radikal.ru/F/s60.radikal.ru/i168/1109/4b/1aa09d6782ac.jpg.html)

Соответственно запусти GPResult /h

И тут я как то не понимаю что такое мне вывелось.
http://s016.radikal.ru/i337/1109/55/21e1c03bdcae.jpg (http://www.radikal.ru)
http://s008.radikal.ru/i306/1109/ef/203f06edcaa4.jpg (http://www.radikal.ru)
http://i041.radikal.ru/1109/a4/44f7c8e2e79a.jpg (http://www.radikal.ru)


nslookup c клиента

http://s55.radikal.ru/i149/1109/d4/6b8eaffb29c4.jpg (http://www.radikal.ru)

с сервера
http://s53.radikal.ru/i141/1109/f7/c50e73b0a728.jpg (http://www.radikal.ru)

dcdiag


Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: ot-site\OT-S1
Starting test: Connectivity
......................... OT-S1 passed test Connectivity

Doing primary tests

Testing server: ot-site\OT-S1
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
OT-S1: Current time is 2011-09-29 07:53:51.
/*Всякая фигня по поводу репликации*/

Check replication from source site to this server.
......................... OT-S1 passed test Replications
Starting test: NCSecDesc
......................... OT-S1 passed test NCSecDesc
Starting test: NetLogons
......................... OT-S1 passed test NetLogons
Starting test: Advertising
......................... OT-S1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... OT-S1 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... OT-S1 passed test RidManager
Starting test: MachineAccount
......................... OT-S1 passed test MachineAccount
Starting test: Services
......................... OT-S1 passed test Services
Starting test: ObjectsReplicated
......................... OT-S1 passed test ObjectsReplicated
Starting test: frssysvol
......................... OT-S1 passed test frssysvol
Starting test: frsevent
......................... OT-S1 passed test frsevent
Starting test: kccevent
......................... OT-S1 passed test kccevent
Starting test: systemlog
......................... OT-S1 passed test systemlog
Starting test: VerifyReferences
......................... OT-S1 passed test VerifyReferences

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : ot
Starting test: CrossRefValidation
......................... ot passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ot passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom


net diag

http://i012.radikal.ru/1109/65/3661233e49d5.jpg (http://www.radikal.ru)


Вроде все в порядке вроде все хорошо ... но результата нет .....
Помогите советом а то что то не получается справиться....

да еще
ipconfig c сервера

http://s55.radikal.ru/i150/1109/f4/30f356f2e79f.jpg (http://www.radikal.ru)

с клиента

http://i022.radikal.ru/1109/57/e752e6bf333e.jpg (http://www.radikal.ru)

картинки ГП ещё меньше сделайте, это будет намного веселее.
иже как и замазывайте все серые адреса, что бы было совесм всё понятно.

в какой политике вы делали настройки WSUS?
на кого она применяется? фильтрация? группы безопасности?

применяю в общем на домен.
Ну а за картинки извените хоть и серые но открывать не хочется =)

ещё раз:
картинки ГП слишком мелкие что бы там увидеть хоть что-то.

Вот

на клиенте есть ошибки 1030/1058?
или какие есть?
проверьте работает ли служба "рабочая станция"

Служба запущена и работает
Ошибки

Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру домена и групповая политика будет обработана успешно. Если в течение нескольких часов это сообщение не появляется, обратитесь к системному администратору.

код 1129

ошибок 1030/1058
на клиенте нет
а на сервере за последний раз появлялись 5 дней назад .

на клиенте:
ping 127.0.0.1
ping %её_ИП_адрес%
ping dc.domain.ru
ping domain.ru

Все пинги есть ... ни одного прерыва

сделайте на клиенте
dfsutil /purgemupcache
потом
gpupdate /force и покажите что он напишет и что будет в ивентлогах.

эм поправочка...

При пинге domain.ru
Показывает что пингуется альтернативный КД..... находящийся в 70 подсети .....
А с клиента из 114 подсети показывает на основной КД.

dfsutil /purgemupcache написал что Успешно
а вот Gpupdate Выдал все туже ошибку в логах системы ошибка 1129 .. как и было ....

хм ... вопрос тут возник ...
Групповая политика по умолчанию которая ,она должна распростроняться только на домен в целом? просто у меня туда еще распростронение на папку с пользователями вставлено .... (папка эта там со времен фиг знает каких ...)

При пинге domain.ru
Показывает что пингуется альтернативный КД..... находящийся в 70 подсети .....
А с клиента из 114 подсети показывает на основной КД. »
как как вы замазали свои сети, то я не очень поняла о чём речь.
echo %logonserver% что выдаёт?
Групповая политика по умолчанию которая ,она должна распростроняться только на домен в целом? »
если вы говорите о Default Domain Policy - то она, по умолчанию, распространяется на всех хосты и всех пользователей в домене.

echo %logonserver% что выдаёт? »

\\OT-S1
как как вы замазали свои сети, то я не очень поняла о чём речь. »
Но подсети то видно.

Вот моя групповая политика см рис

Вот

а какие есть ошибки на КД ,114,11?
и КД в сабнете клиента 70?

Постоянно сапится ошибка

Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.
Код 13

Ну и
Generate Activation Context завершилась не удачно для C:\Program Files\ESET\ESET NOD32 Antivirus\MFC80U.DLL. Соответствующее сообщение об ошибке: Файл манифеста содержит одну или несколько синтаксических ошибок.

Код 59

Вроде все больше ничего крименального

\\имя_ближайшего_кд\ - открывается?
шары netlogon и sysvol видны?
расхождения во времени между КД и клиентами нет?
так же погялите на репликацю между КД, что-то у меня есть подозрения.

какие либо сторонние фаейрволы есть на хостах?
антивирусы?

\\имя_ближайшего_кд\ »
Да
шары netlogon и sysvol видны?
расхождения во времени между КД и клиентами нет? »

Все в порядке

так же погялите на репликацю между КД, что-то у меня есть подозрения. »

Тут тоже ошибок не возникает да и репликация 100% проходит.... но есть одно НО
Висит у меня один альтернативный КД которого физически нет (предыдущий работник просто тупо перебил винду на хп а понижение роли не сделал) удалить я его не могу так как не являюсь хозяеном леса ... на него репликация соответственно не делается ... а между оставшимися двумя КД все в порядке

какие либо сторонние фаейрволы есть на хостах? »
Нет фаерволы не используем..

антивирусы? »
Конечно Стоит NOD32

и КД в сабнете клиента 70? »
Альтернативный контроллер находится в сабнете клиента ...
Но проблема в том что контроллер при обновление политики не видит ни один компьютер в 2 сетях .... кроме самого контроллера

Тут тоже ошибок не возникает да и репликация 100% проходит.... но есть одно НО
Висит у меня один альтернативный КД которого физически нет (предыдущий работник просто тупо перебил винду на хп а понижение роли не сделал) удалить я его не могу так как не являюсь хозяеном леса ... на него репликация соответственно не делается ... а между оставшимися двумя КД все в порядке »
сложно как понять ваши мысли.
выполните
netdom query fsmo
на клиенте и обоих КД.
Но проблема в том что контроллер при обновление политики не видит ни один компьютер в 2 сетях .... кроме самого контроллера »
в какой момент контроллер домена должен видить компьютеры при обновлении ГП?

Конечно Стоит NOD32 »
антивирус или Security Suite?