Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Групповые политики AD Server 2008 R2 (http://forum.oszone.net/showthread.php?t=205721)

inkaterina 27-04-2011 09:52 1666461

Групповые политики AD Server 2008 R2
 
Всем привет!
Возникла проблема с групповыми политиками, т.е.с их неприменением на клиентах. С чего копать уже не знаю, запуталась совсем, так что опишу все.

Сервер 2008 R2 SP1, домен personal.tiugsha.com, пользователи administrator - хозяин домена, admin - администратор домена, user - пользователь домена.

Групповая политика GPO2, запрещающая редактирование реестра (к примеру) и применена ко всем пользователям. На сервере политика применяется, даже если на контроллер заходить под admin'ом, реестр недоступен.

Клиент Windows XP Prof SP3 - входит в домен personal, но под любым пользователем политика не применяется.

В логах клиента при обновлении политики (gpupdate) появляется ошибка: "Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена. Код: 1054".

Результаты команд

СЕРВЕР

Код:

Gpresult /R /user admin: 
 Программа формирования отчета групповой политики операционной системы
 Microsoft (R) Windows (R) версии 2.0
 (С) Корпорация Майкрософт, 1981-2001

 Создано на 4/26/2011 в 10:28:34 AM

 Данные RSOP для PERSONAL\admin на WIN-2008R2 : Режим ведения журнала
 ---------------------------------------------------------------------

 Конфигурация ОС:            Основной контроллер домена
 Версия ОС:                  6.1.7601
 Имя сайта:                  Default-First-Site-Name
 Перемещаемый профиль:                    Н/Д
 Локальный профиль:          C:\Users\admin
 Подключение по медленному каналу: Нет


 Конфигурация компьютера
 ------------------------
    CN=WIN-2008R2,OU=Domain Controllers,DC=personal,DC=tiugsha,DC=com
    Последнее применение групповой политики:  4/26/2011 в 10:23:58 AM
    Групповая политика была применена с:      WIN-2008R2.personal.tiugsha.com
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        PERSONAL
    Тип домена:                        Windows 2000

    Примененные объекты групповой политики
    ---------------------------------------
        Default Domain Controllers Policy
        Default Domain Policy
        Local Group Policy

    Компьютер является членом следующих групп безопасности
    ------------------------------------------------------
        BUILTIN\Administrators
        Все
        BUILTIN\Users
        Пред-Windows 2000 доступ
        Группа авторизации доступа Windows
        СЕТЬ
        Прошедшие проверку
        Данная организация
        WIN-2008R2$
        Контроллеры домена
        КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ
        Группа с запрещением репликации паролей RODC
        Обязательный уровень системы
       

 Конфигурация пользователя
 --------------------------
    CN=admin,OU=Пользователи домена,DC=personal,DC=tiugsha,DC=com
    Последнее применение групповой политики:  4/22/2011 в 10:42:38 AM
    Групповая политика была применена с:      WIN-2008R2.personal.tiugsha.com
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена:                        PERSONAL
    Тип домена:                        Windows 2000
   
    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Local Group Policy
            Фильтрация:  Не применяется (пусто)

        Default Domain Policy
            Фильтрация:  Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
        Администраторы домена
        Все
        BUILTIN\Administrators
        BUILTIN\Users
        Пред-Windows 2000 доступ
        ИНТЕРАКТИВНЫЕ
        КОНСОЛЬНЫЙ ВХОД
        Прошедшие проверку
        Данная организация
        ЛОКАЛЬНЫЕ
        Группа с запрещением репликации паролей RODC
        Высокий обязательный уровень

Режим работы леса и домена Windows Server R2 (почему в gpresult тип 2000 не понятно, даже, если пытаюсь повысить режим, пишет, что он итак в максимальном)

Код:

w32tm /monitor
 Получение списка доменных служб AD для домена по умолчанию...
 Анализ WIN-2008R2.personal.tiugsha.com (1 of 1)...
 задержкасмещение относительно WIN-2008R2.personal.tiugsha.com
 Страта: 1

 Предупреждение:
 Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
 неверно, поскольку поле RefID в пакетах времени различается в
 разных реализациях NTP и может не использовать IP-адреса.
                                                                     
 WIN-2008R2.personal.tiugsha.com *** PDC ***[[::1]:123]:
    ICMP: 0ms
    NTP: +0.0000000s        RefID: 'LOCL' [0x4C434F4C]

Код:

w32tm /query /configuration
 [Настройка]
 EventLogFlags: 10 (Локально)
 AnnounceFlags: 10 (Локально)
 TimeJumpAuditOffset: 28800 (Локально)
 MinPollInterval: 6 (Локально)
 MaxPollInterval: 10 (Локально)
 MaxNegPhaseCorrection: 172800 (Локально)
 MaxPosPhaseCorrection: 172800 (Локально)
 MaxAllowedPhaseOffset: 300 (Локально)

 FrequencyCorrectRate: 4 (Локально)
 PollAdjustFactor: 5 (Локально)
 LargePhaseOffset: 50000000 (Локально)
 SpikeWatchPeriod: 900 (Локально)
 LocalClockDispersion: 10 (Локально)
 HoldPeriod: 5 (Локально)
 PhaseCorrectRate: 7 (Локально)
 UpdateInterval: 100 (Локально)


 [TimeProviders]
 NtpClient (Локально)
 DllName: C:\Windows\system32\w32time.dll (Локально)
 Enabled: 1 (Локально)
 InputProvider: 1 (Локально)
 CrossSiteSyncFlags: 2 (Локально)
 AllowNonstandardModeCombinations: 1 (Локально)
 ResolvePeerBackoffMinutes: 15 (Локально)
 ResolvePeerBackoffMaxTimes: 7 (Локально)
 CompatibilityFlags: 2147483648 (Локально)
 EventLogFlags: 1 (Локально)
 LargeSampleSkew: 3 (Локально)
 SpecialPollInterval: 3600 (Локально)
 Type: NTP (Локально)
 NtpServer: time.windows.com (Локально)

 NtpServer (Локально)
 DllName: C:\Windows\system32\w32time.dll (Локально)
 Enabled: 1 (Локально)
 InputProvider: 0 (Локально)
 AllowNonstandardModeCombinations: 1 (Локально)

 VMICTimeProvider (Локально)
 DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
 Enabled: 1 (Локально)
 InputProvider: 1 (Локально)

Код:

dcdiag:
Диагностика сервера каталогов


Выполнение начальной настройки:

  Выполняется попытка поиска основного сервера...

  Основной сервер = WIN-2008R2

  * Идентифицирован лес AD.
  Сбор начальных данных завершен.


Выполнение обязательных начальных проверок

 
  Сервер проверки: Default-First-Site-Name\WIN-2008R2

      Запуск проверки: Connectivity

        ......................... WIN-2008R2 - пройдена проверка Connectivity



Выполнение основных проверок

 
  Сервер проверки: Default-First-Site-Name\WIN-2008R2

      Запуск проверки: Advertising

        ......................... WIN-2008R2 - пройдена проверка Advertising

      Запуск проверки: FrsEvent

        ......................... WIN-2008R2 - пройдена проверка FrsEvent

      Запуск проверки: DFSREvent

        За последние 24 часа после предоставления SYSVOL в общий доступ

        зафиксированы предупреждения или сообщения  об ошибках.  Сбои при

        репликации SYSVOL могут стать причиной проблем групповой политики.
        ......................... WIN-2008R2 - пройдена проверка DFSREvent

      Запуск проверки: SysVolCheck

        ......................... WIN-2008R2 - пройдена проверка SysVolCheck

      Запуск проверки: KccEvent

        ......................... WIN-2008R2 - пройдена проверка KccEvent

      Запуск проверки: KnowsOfRoleHolders

        ......................... WIN-2008R2 - пройдена проверка

        KnowsOfRoleHolders

      Запуск проверки: MachineAccount

        ......................... WIN-2008R2 - пройдена проверка

        MachineAccount

      Запуск проверки: NCSecDesc

        ......................... WIN-2008R2 - пройдена проверка NCSecDesc

      Запуск проверки: NetLogons

        ......................... WIN-2008R2 - пройдена проверка NetLogons

      Запуск проверки: ObjectsReplicated

        ......................... WIN-2008R2 - пройдена проверка

        ObjectsReplicated

      Запуск проверки: Replications

        ......................... WIN-2008R2 - пройдена проверка Replications

      Запуск проверки: RidManager

        ......................... WIN-2008R2 - пройдена проверка RidManager

      Запуск проверки: Services

        ......................... WIN-2008R2 - пройдена проверка Services

      Запуск проверки: SystemLog

        Возникло предупреждение. Код события (EventID): 0x00001696

            Время создания: 04/27/2011  08:51:35

            Строка события:

            Не удалось выполнить динамическую регистрацию или отмену регистрации одной или нескольких DNS-записей из-за следующей ошибки:


        Возникла ошибка. Код события (EventID): 0xC0002719

            Время создания: 04/27/2011  09:20:04

            Строка события:

            Не удалось установить связь DCOM с компьютером 192.168.30.1 через один из настроенных протоколов.

        ......................... WIN-2008R2 - не пройдена проверка SystemLog

      Запуск проверки: VerifyReferences

        ......................... WIN-2008R2 - пройдена проверка

        VerifyReferences

 
 
  Выполнение проверок разделов на: ForestDnsZones

      Запуск проверки: CheckSDRefDom

        ......................... ForestDnsZones - пройдена проверка

        CheckSDRefDom

      Запуск проверки: CrossRefValidation

        ......................... ForestDnsZones - пройдена проверка

        CrossRefValidation

 
  Выполнение проверок разделов на: DomainDnsZones

      Запуск проверки: CheckSDRefDom

        ......................... DomainDnsZones - пройдена проверка

        CheckSDRefDom

      Запуск проверки: CrossRefValidation

        ......................... DomainDnsZones - пройдена проверка

        CrossRefValidation

 
  Выполнение проверок разделов на: Schema

      Запуск проверки: CheckSDRefDom

        ......................... Schema - пройдена проверка CheckSDRefDom

      Запуск проверки: CrossRefValidation

        ......................... Schema - пройдена проверка

        CrossRefValidation

 
  Выполнение проверок разделов на: Configuration

      Запуск проверки: CheckSDRefDom

        ......................... Configuration - пройдена проверка

        CheckSDRefDom

      Запуск проверки: CrossRefValidation

        ......................... Configuration - пройдена проверка

        CrossRefValidation

 
  Выполнение проверок разделов на: personal

      Запуск проверки: CheckSDRefDom

        ......................... personal - пройдена проверка CheckSDRefDom

      Запуск проверки: CrossRefValidation

        ......................... personal - пройдена проверка

        CrossRefValidation

 
  Выполнение проверок предприятия на: personal.tiugsha.com

      Запуск проверки: LocatorCheck

        ......................... personal.tiugsha.com - пройдена проверка

        LocatorCheck

      Запуск проверки: Intersite

        ......................... personal.tiugsha.com - пройдена проверка

        Intersite

Код:

ipconfig /all:

 Настройка протокола IP для Windows

    Имя компьютера  . . . . . . . . . : WIN-2008R2
    Основной DNS-суффикс  . . . . . . : personal.tiugsha.com
    Тип узла. . . . . . . . . . . . . : Гибридный
    IP-маршрутизация включена . . . . : Нет
    WINS-прокси включен . . . . . . . : Нет
    Порядок просмотра суффиксов DNS . : personal.tiugsha.com

 Ethernet adapter Подключение по локальной сети:

    DNS-суффикс подключения . . . . . : personal.tiugsha.com
    Описание. . . . . . . . . . . . . : Realtek RTL8169/8110 Family PCI Gigabit Ethernet NIC (NDIS 6.20)
    Физический адрес. . . . . . . . . : 00-E0-52-AE-23-D6
    DHCP включен. . . . . . . . . . . : Нет
    Автонастройка включена. . . . . . : Да
    IPv4-адрес. . . . . . . . . . . . : 192.168.30.245(Основной)
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз. . . . . . . . . : 192.168.30.1
    DNS-серверы. . . . . . . . . . . : 192.168.30.245
                                        127.0.0.1
    NetBios через TCP/IP. . . . . . . . : Включен

 Туннельный адаптер isatap.{D1C1FE18-E261-4967-8020-BA40CBC63DA6}:

    Состояние среды. . . . . . . . : Среда передачи недоступна.
    DNS-суффикс подключения . . . . . : personal.tiugsha.com
    Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
    Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
    DHCP включен. . . . . . . . . . . : Нет
    Автонастройка включена. . . . . . : Да

Ошибки в DNS:


Код:

1. Название:
 DNS: в списке DNS-серверов на Подключение по локальной сети должен быть указан петлевой адрес, который при этом не должен стоять в списке первым.

 Серьезность:
 Ошибка

 Дата:
 4/26/2011 9:37:27 AM

 Категория:
 Настройка

 Проблема:
 Петлевой IP-адрес не указан у сетевого адаптера Подключение по локальной сети как DNS-сервер или стоит в списке первым.

 Воздействие:
 Если петлевой IP-адрес стоит первым в списке DNS-серверов, Active Directory может не иметь возможности найти партнеров репликации.

 Разрешение:
 Измените параметры адаптера, добавив петлевой IP-адрес в список DNS-серверов на всех активных интерфейсов, но не ставя его в списке серверов первым.

 Дополнительные сведения об этой рекомендации и подробные процедуры: go.microsoft.com/fwlink/?LinkId=188760

Почему выходит эта ошибка совсем непонятно, вроде же все правильно настроено

КЛИЕНТ (Пользователь admin)

Код:

Gpresult:
 Сведения: Пользователь "PERSONAL\admin" не имеет данных RSoP (Думала дело в сетевой карте, драйвера скачала с оф сайта, не помогло (Realtek RTL8139/810x))

 rsop.msc:
 Неправильные данные PSoP. Возможные причины: повреждение данных, данные были удалены или не были созданы. Недопустимое пространство имен

 nslookup:
 Server:  win-2008R2.personal.tiugsha.com 
 Address:  192.168.30.245

 Name:    win-2008R2.personal.tiugsha.com
 Address:  192.168.30.245

 Ping'и проходят, папка SYSVOL доступна

 w32tm /monitor:
 Analyzing WIN-2008R2.personal.tiugsha.com (1 of 1)...
 resolving referer 76.79.67.76 (1 of 1)...
 WIN-2008R2.personal.tiugsha.com *** PDC *** [192.168.30.245]:
    ICMP: 0ms delay.
    NTP: +0.0000000s offset from WIN-2008R2.personal.tiugsha.com
        RefID: 'LOCL' [76.79.67.76]

 ipconfig /all:
 Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : comp

        Основной DNS-суффикс  . . . . . . : personal.tiugsha.com

        Тип узла. . . . . . . . . . . . . : неизвестный

        IP-маршрутизация включена . . . . : нет

        WINS-прокси включен . . . . . . . : нет

        Порядок просмотра суффиксов DNS . : personal.tiugsha.com

                                                                    tiugsha.com

 Подключение по локальной сети - Ethernet адаптер:



        DNS-суффикс этого подключения . . :

        Описание  . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC

        Физический адрес. . . . . . . . . : 00-0D-61-97-67-2D

        Dhcp включен. . . . . . . . . . . : нет

        IP-адрес  . . . . . . . . . . . . : 192.168.30.53

        Маска подсети . . . . . . . . . . : 255.255.255.0

        Основной шлюз . . . . . . . . . . : 192.168.30.1

        DNS-серверы . . . . . . . . . . . : 192.168.30.245

        NetBIOS через TCP/IP. . . . . . . : включен

Сделала пересылку в DNS на ip шлюза (на Solaris'e - 192.168.30.1), nslookup заработал (проверялось на ya.ru, google.com...)

Режим работы карты поменяла с 3 до 1 (ветка rtl8139)

Уже не знаю, в чем проблема, куда копать. Очень надеюсь на вашу помощь

Telepuzik 27-04-2011 11:10 1666508

Покажите вывод nslookup personal.tiugsha.com с клиента Windows XP. На DNS сервере обратная зона создана? Динамические обновления разрешены?

inkaterina 27-04-2011 11:17 1666512

Вложений: 1
nslookup с клиента:
Server: win-2008r2.personal.tiugsha.com
Address: 192.168.30.245

Name: personal.tiugsha.com
Address: 192.168.30.245

Обратная зона задана, но неуверена в правильной настройке, скрин выкладываю

Динамические обновления где посмотреть?

Telepuzik 27-04-2011 12:06 1666535

Цитата:

Цитата inkaterina
Динамические обновления где посмотреть? »

В остнастке DNS сервера щелкаем правой клавишей по доменному имени в зоне прямого просмотра и выбираем Свойства. На вкладке Общие смотрите раздел Динамическое обновление.
Цитата:

Цитата inkaterina
Клиент Windows XP Prof SP3 - входит в домен personal, но под любым пользователем политика не применяется. »

Проблема только у одного клиента или у многих?

inkaterina 27-04-2011 13:02 1666576

Пробовала еще на одном клиенте, тоже самое.

Щас буду ставить все с нуля, потом отпишусь

inkaterina 29-04-2011 09:06 1667414

Эх, ничего не помогло ! Все переустановила с нуля, поставила server 2008R2 Enterpr., лицензия как раз пришла, зарегестрировала, ничем не увлекалась, устранила все ошибки AD и DNS, но все равно та же ошибка на клиенте. Пробовала перевести свой комп (сетевушка получше), но и там тоже самое, подозреваю, что на серваке что то не то, но ЧТО???
Я уже скоро по ночам не смогу спать, еще скоро сессия, придется приостановить работу, а так хотелось разобраться с этим до начала лета.

Telepuzik 29-04-2011 09:45 1667420

Цитата:

Цитата inkaterina
подозреваю, что на серваке что то не то, но ЧТО??? »

Ошибки на клиенте такие же?
Цитата:

Цитата inkaterina
Порядок просмотра суффиксов DNS . : personal.tiugsha.com
tiugsha.com »

Оставьте на клиенте только один DNS суффикс - personal.tiugsha.com. Выполните на клиенте gpupdate /force результат покажите.

inkaterina 29-04-2011 09:59 1667425

Цитата:

Цитата Telepuzik
Ошибки на клиенте такие же? »

да, абсолютно такие же

gpupdate /force:

Обновление политики...
Обновление политики User завершено.
Обновление политики Computer завершено.

Telepuzik 29-04-2011 11:24 1667443

Цитата:

Цитата inkaterina
Обновление политики...
Обновление политики User завершено.
Обновление политики Computer завершено. »

Что в логах после выполнения данной команды появилось?

inkaterina 29-04-2011 11:28 1667444

В логах клиента gpupdate опять эта ошибка: "Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена. Код: 1054".
__________________________________________________
не думаю ,что в AD дело, скорей всего dns шалит. Попробую сначала установить DNS (в одной статье рекомендуют), а потом только AD.

Telepuzik 29-04-2011 11:58 1667453

Попробуйте с клиентской машины из проводника открыть \\personal.tiugsha.com\sysvol\personal.tiugsha.com

banderaz123 01-05-2011 08:52 1668346

Добрый день подскажите пожалуйста уже не знаю что делать.... У меня стоит Windows Server 2008 R2 и мой сайт был виден в интернете по ip адресу. Потом я установил службу доменные имена Active directory и проаисал домен besthomehosting.ru после этого перезагрузил комп...и в итоге мой сайт не доступен из интернета даже по ip адресу...?? что делать?

inkaterina 04-05-2011 15:39 1670156

УРА! Заработало!!! Дело было в драйверах на сетевую в самом сервере. Как всегда копаешь, копаешь, а дело все проще простого !!!!!!!! Огромное всем спасибо!!!


Время: 11:38.

Время: 11:38.
© OSzone.net 2001-