Всем привет!
Возникла проблема с групповыми политиками, т.е.с их неприменением на клиентах. С чего копать уже не знаю, запуталась совсем, так что опишу все.
Сервер 2008 R2 SP1, домен personal.tiugsha.com, пользователи administrator - хозяин домена, admin - администратор домена, user - пользователь домена.
Групповая политика GPO2, запрещающая редактирование реестра (к примеру) и применена ко всем пользователям. На сервере политика применяется, даже если на контроллер заходить под admin'ом, реестр недоступен.
Клиент Windows XP Prof SP3 - входит в домен personal, но под любым пользователем политика не применяется.
В логах клиента при обновлении политики (gpupdate) появляется ошибка: "Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена. Код: 1054".
Результаты команд
СЕРВЕР
Код:
Gpresult /R /user admin:
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
(С) Корпорация Майкрософт, 1981-2001
Создано на 4/26/2011 в 10:28:34 AM
Данные RSOP для PERSONAL\admin на WIN-2008R2 : Режим ведения журнала
---------------------------------------------------------------------
Конфигурация ОС: Основной контроллер домена
Версия ОС: 6.1.7601
Имя сайта: Default-First-Site-Name
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\admin
Подключение по медленному каналу: Нет
Конфигурация компьютера
------------------------
CN=WIN-2008R2,OU=Domain Controllers,DC=personal,DC=tiugsha,DC=com
Последнее применение групповой политики: 4/26/2011 в 10:23:58 AM
Групповая политика была применена с: WIN-2008R2.personal.tiugsha.com
Порог медленного канала для групповой политики: 500 kbps
Имя домена: PERSONAL
Тип домена: Windows 2000
Примененные объекты групповой политики
---------------------------------------
Default Domain Controllers Policy
Default Domain Policy
Local Group Policy
Компьютер является членом следующих групп безопасности
------------------------------------------------------
BUILTIN\Administrators
Все
BUILTIN\Users
Пред-Windows 2000 доступ
Группа авторизации доступа Windows
СЕТЬ
Прошедшие проверку
Данная организация
WIN-2008R2$
Контроллеры домена
КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ
Группа с запрещением репликации паролей RODC
Обязательный уровень системы
Конфигурация пользователя
--------------------------
CN=admin,OU=Пользователи домена,DC=personal,DC=tiugsha,DC=com
Последнее применение групповой политики: 4/22/2011 в 10:42:38 AM
Групповая политика была применена с: WIN-2008R2.personal.tiugsha.com
Порог медленного канала для групповой политики: 500 kbps
Имя домена: PERSONAL
Тип домена: Windows 2000
Примененные объекты групповой политики
---------------------------------------
Н/Д
Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)
Default Domain Policy
Фильтрация: Не применяется (пусто)
Пользователь является членом следующих групп безопасности
---------------------------------------------------------
Администраторы домена
Все
BUILTIN\Administrators
BUILTIN\Users
Пред-Windows 2000 доступ
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
Группа с запрещением репликации паролей RODC
Высокий обязательный уровень
Режим работы леса и домена Windows Server R2 (почему в gpresult тип 2000 не понятно, даже, если пытаюсь повысить режим, пишет, что он итак в максимальном)
Код:
w32tm /monitor
Получение списка доменных служб AD для домена по умолчанию...
Анализ WIN-2008R2.personal.tiugsha.com (1 of 1)...
задержкасмещение относительно WIN-2008R2.personal.tiugsha.com
Страта: 1
Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, поскольку поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.
WIN-2008R2.personal.tiugsha.com *** PDC ***[[::1]:123]:
ICMP: 0ms
NTP: +0.0000000s RefID: 'LOCL' [0x4C434F4C]
Код:
w32tm /query /configuration
[Настройка]
EventLogFlags: 10 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)
FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)
[TimeProviders]
NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NTP (Локально)
NtpServer: time.windows.com (Локально)
NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
Код:
dcdiag:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = WIN-2008R2
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\WIN-2008R2
Запуск проверки: Connectivity
......................... WIN-2008R2 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\WIN-2008R2
Запуск проверки: Advertising
......................... WIN-2008R2 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... WIN-2008R2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... WIN-2008R2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... WIN-2008R2 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... WIN-2008R2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... WIN-2008R2 - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... WIN-2008R2 - пройдена проверка
MachineAccount
Запуск проверки: NCSecDesc
......................... WIN-2008R2 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... WIN-2008R2 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... WIN-2008R2 - пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
......................... WIN-2008R2 - пройдена проверка Replications
Запуск проверки: RidManager
......................... WIN-2008R2 - пройдена проверка RidManager
Запуск проверки: Services
......................... WIN-2008R2 - пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x00001696
Время создания: 04/27/2011 08:51:35
Строка события:
Не удалось выполнить динамическую регистрацию или отмену регистрации одной или нескольких DNS-записей из-за следующей ошибки:
Возникла ошибка. Код события (EventID): 0xC0002719
Время создания: 04/27/2011 09:20:04
Строка события:
Не удалось установить связь DCOM с компьютером 192.168.30.1 через один из настроенных протоколов.
......................... WIN-2008R2 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... WIN-2008R2 - пройдена проверка
VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: personal
Запуск проверки: CheckSDRefDom
......................... personal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... personal - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: personal.tiugsha.com
Запуск проверки: LocatorCheck
......................... personal.tiugsha.com - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... personal.tiugsha.com - пройдена проверка
Intersite
Код:
ipconfig /all:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : WIN-2008R2
Основной DNS-суффикс . . . . . . : personal.tiugsha.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : personal.tiugsha.com
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : personal.tiugsha.com
Описание. . . . . . . . . . . . . : Realtek RTL8169/8110 Family PCI Gigabit Ethernet NIC (NDIS 6.20)
Физический адрес. . . . . . . . . : 00-E0-52-AE-23-D6
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.30.245(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.30.1
DNS-серверы. . . . . . . . . . . : 192.168.30.245
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{D1C1FE18-E261-4967-8020-BA40CBC63DA6}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : personal.tiugsha.com
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Ошибки в DNS:
Код:
1. Название:
DNS: в списке DNS-серверов на Подключение по локальной сети должен быть указан петлевой адрес, который при этом не должен стоять в списке первым.
Серьезность:
Ошибка
Дата:
4/26/2011 9:37:27 AM
Категория:
Настройка
Проблема:
Петлевой IP-адрес не указан у сетевого адаптера Подключение по локальной сети как DNS-сервер или стоит в списке первым.
Воздействие:
Если петлевой IP-адрес стоит первым в списке DNS-серверов, Active Directory может не иметь возможности найти партнеров репликации.
Разрешение:
Измените параметры адаптера, добавив петлевой IP-адрес в список DNS-серверов на всех активных интерфейсов, но не ставя его в списке серверов первым.
Дополнительные сведения об этой рекомендации и подробные процедуры: go.microsoft.com/fwlink/?LinkId=188760
Почему выходит эта ошибка совсем непонятно, вроде же все правильно настроено
КЛИЕНТ (Пользователь admin)
Код:
Gpresult:
Сведения: Пользователь "PERSONAL\admin" не имеет данных RSoP (Думала дело в сетевой карте, драйвера скачала с оф сайта, не помогло (Realtek RTL8139/810x))
rsop.msc:
Неправильные данные PSoP. Возможные причины: повреждение данных, данные были удалены или не были созданы. Недопустимое пространство имен
nslookup:
Server: win-2008R2.personal.tiugsha.com
Address: 192.168.30.245
Name: win-2008R2.personal.tiugsha.com
Address: 192.168.30.245
Ping'и проходят, папка SYSVOL доступна
w32tm /monitor:
Analyzing WIN-2008R2.personal.tiugsha.com (1 of 1)...
resolving referer 76.79.67.76 (1 of 1)...
WIN-2008R2.personal.tiugsha.com *** PDC *** [192.168.30.245]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from WIN-2008R2.personal.tiugsha.com
RefID: 'LOCL' [76.79.67.76]
ipconfig /all:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : comp
Основной DNS-суффикс . . . . . . : personal.tiugsha.com
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : personal.tiugsha.com
tiugsha.com
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-0D-61-97-67-2D
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.30.53
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.30.1
DNS-серверы . . . . . . . . . . . : 192.168.30.245
NetBIOS через TCP/IP. . . . . . . : включен
Сделала пересылку в DNS на ip шлюза (на Solaris'e - 192.168.30.1), nslookup заработал (проверялось на ya.ru, google.com...)
Режим работы карты поменяла с 3 до 1 (ветка rtl8139)
Уже не знаю, в чем проблема, куда копать. Очень надеюсь на вашу помощь