gigea Posted May 2, 2011 Report Share Posted May 2, 2011 Salut,Am aflat recent de o chestie care nu prea mi se pare in regula, initial am crezut ca e un delay de la calculator dar dupa cateva verificari in event viewer am aflat altceva.Am o problema cu group policy-ul din domain controller. Nu se aplica corect pe nici un calculator pe care il pun in domeniu. In event am gasit urmatorul mesaj:The processing of Group Policy failed. Windows attempted to read the file "\\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini" from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: a) Name Resolution/Network Connectivity to the current domain controller. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). c) The Distributed File System (DFS) client has been disabled. Am cautat solutia la microsoft dar nu au o rezolvare( o fi rezolvare dar nu prea functionau link-urile). Am tot cautat pe alte forumuri dar nimic. Are cineva o idee cum as putea sa rezolv problema asta ? Quote Link to comment Share on other sites More sharing options...
MagicThunder Posted May 2, 2011 Report Share Posted May 2, 2011 dai msconfig si vezi acolo la services parca sa nu fie oprite din procesele necesare rularii corecte.Poate din cauza unui program unele procese care ar fi trebuit normal sa porneasca au incetat sa mai functioneze.Revino cu un reply Quote Link to comment Share on other sites More sharing options...
gigea Posted May 2, 2011 Author Report Share Posted May 2, 2011 Mai exact dupa ce-ar trebui sa ma uit la servicii ? Ceva legat de Group Policy? Quote Link to comment Share on other sites More sharing options...
MagicThunder Posted May 2, 2011 Report Share Posted May 2, 2011 da,uita-te la servicii la toate sa fie pe enable descarca un software sa iti verifice registrii si dai un repair ceva s-ar putea sa ai unele servicii dezactivate.bifeaza toate din msconfig care apartin de windows Quote Link to comment Share on other sites More sharing options...
gigea Posted May 2, 2011 Author Report Share Posted May 2, 2011 Sunt "enabled" toate. Quote Link to comment Share on other sites More sharing options...
MagicThunder Posted May 2, 2011 Report Share Posted May 2, 2011 nu stiu atunci:-?s-ar putea sa fie vreo incompatibilitate sau in cel mai rau caz ar trebui sa faci un reinstall de OS. Quote Link to comment Share on other sites More sharing options...
gigea Posted May 2, 2011 Author Report Share Posted May 2, 2011 Mai sap si eu intre timp, cu reinstall-ul .. pai.. sa zicem ca nu-i asa de usor precum pare.ms de info. Quote Link to comment Share on other sites More sharing options...
redox Posted May 2, 2011 Report Share Posted May 2, 2011 The Distributed File System (cred) pe statii - asta ii zice mesajul. Verifica serviciile DTC, RPC pe statii. Verifica sa ai configurat corect dns-ul ... Daca zici ca la fiecare calc ii problema asta banuiesc ca nu ii din cauza statiilor locale, deci probabil ca serviciile sunt in regula. Verifica configurarea la DC, DNS si serviciile de pe DC.Ai si secondary DC ? Ce SO au clientii ?Poti sa accesezi "\\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini" de pe client ?MagicThunder ... mai bine taci .... Quote Link to comment Share on other sites More sharing options...
gigea Posted May 2, 2011 Author Report Share Posted May 2, 2011 DFS e pornit. Nu aia e problema. Calea aia cu dcname\sysvol ..ajung la ea. E si un DC secundar, Problema nu tine cont de SO, xp, vista, seven, pe mai multe face. Nu pe toate statiile, dar daca iau unu care, acum e ok la logare, si ii reinstalez windowsul, apare problema la prima logare in domeniu si apoi cu orice user m-as loga tot asa face. Am un delay de aprox 1 minut. Si apare eroarea din primul post in event viewer.Din server e problema, dar nu reusesc sa o izolez. Cineva spunea la un moment dat ca e din gateway, dar mai mult ma bagat in ceata. Quote Link to comment Share on other sites More sharing options...
MagicThunder Posted May 2, 2011 Report Share Posted May 2, 2011 @redox mi-am dat cu parerea ce pula mea vrei?I-am zis doar nu i-am dat cu parul in cap ce plm te bagi ca musca in ciorba prietene?vezi-ti de ciorba ta ca nu te-a bagat nimeni in seama de asta e forum in pula mea sa isi expuna oamenii partea lor de rezolvare. Quote Link to comment Share on other sites More sharing options...
redox Posted May 2, 2011 Report Share Posted May 2, 2011 Bai lanterna sa-ti dai cu parerea ii rubrica aia de offtopic. Daca habar nu ai ce ii ala domeniu nu ii zi la om sa reinstaleze. Tu esti ala se baga ca musca-n lapte pentru ca isi da cu parerea pe chestii de care nu are habar. Daca folosesti Xp ai impresia ca stii ce ii ala domeniu ? Mars in pula mea mea cu comentariile astea de 12 ani ....Gigea : Iti functioneaza serverul de DNS ? Cate servere de DNS ai ? Uita-te la client, daca ai mai multe DNS, unul de win si altul de linux, Primary sa fie ala de windows din domeniu (vezi cum ai setat si in dhcp). Si ce daca vezi tu calea ... in eventID ai si un user : ala trebuie sa aiba drepturi sa vada calea nu neaparat userul logat ...Serverele si statiile sunt in aceeasi locatie ? Quote Link to comment Share on other sites More sharing options...
gigea Posted May 2, 2011 Author Report Share Posted May 2, 2011 Reteaua e Full Windows/Windows Server, noi avem doar un DNS, e cel despre care vorbim aici, care e si DC si merge, da! Mai e un DC care-i serverul de mail (SMTP).Ca sa intelegi mai bine, sunt useri de domeniu cu drepturi de administrare locala, da ala care apare in event viewer are drepturi sa vada calea, care prin coincidenta sunt eu, care sunt si admin de domeniu, dar problema este si la alti utilizatori, care nu sunt admini de domeniu, ci doar admini locali. Nu e problema de drepturi. Acelas user (al meu) pe un calc merge brici autentificarea, pe altul are delay.(cel pe care merge are >3 ani fara reinstalare os.Da , serverele si statiile sunt in aceeasi locatie.Daca scot cablu de retea si ma autentific in domeniu, merge instant, dar tre sa bag cablul care sa am acces in retea. Daca ma autentific cu cablu infipt am delay-ul ala de ~1 minut, timp in care, zic eu, se incearca aplicarea politicilor de domeniu (asignare ip din dhcp, setare firewall, proxy, etc etc). La un moment dat, cand vede ca nu mai poate, intra fara sa aplice politicile de domeniu.Acces in retea este, mail merge, net merge, dhcp activ, totul este in regula. Ce trebuie sa fac eu , este sa configurez pt fiecare user in parte, proxy, firewall etc etc ca sa fie in concordanta cu restul calculatoarelor care s-au autentificat in domeniu fara probleme Quote Link to comment Share on other sites More sharing options...
redox Posted May 2, 2011 Report Share Posted May 2, 2011 Daca scot cablu de retea si ma autentific in domeniu, merge instant, dar tre sa bag cablul care sa am acces in retea. Daca ma autentific cu cablu infipt am delay-ul ala de ~1 minut, timp in care, zic eu, se incearca aplicarea politicilor de domeniu Asa este, incerca sa gaseasca domeniu, si cand nu il gaseste incarca de pe local. Daca incerci fara cablu nu mai cauta domeniul. Potisa faci un test : baga in etc/hosts ip -> dc server. Ar trebui sa-ti mearga fara delay cu cablul bagat.Ai rulat un diagnostic (dcdiag.exe) ?Domain Controller Diagnostics Tool (dcdiag.exe) Quote Link to comment Share on other sites More sharing options...
gigea Posted May 3, 2011 Author Report Share Posted May 3, 2011 (edited) Da, are 'pass' la majoritatea testelor, a dat 'fail' la \DnsForwarders.LE: Am reusit sa izolez problema, este de la GPO. Dar nu reusesc sa-mi dau seama unde se agata. Serviciile sunt ok, LAN-ul este cum ar trebui, permisiile la fel. Imi scapa ceva. Edited May 3, 2011 by gigea Quote Link to comment Share on other sites More sharing options...
redox Posted May 4, 2011 Report Share Posted May 4, 2011 Tu ai pus logurile de pe client ca iti dadeau eroarea aia. Uita-te in logurile din server sa vezi ce erori ai. Trebuie sa incepi sa le iei pe rand. - Cand a aparut problema prima data(ai idee) ? - Daca ai idee can a aparut problema vezi ce s-a intamplat in jurul datei respective : modificare politici ? win update ? upgrade la strucutra domeniului ? ....Secondary ii tot 2003 sau ii 2008 ? Ai win 2008 server in retea sau toate is 2003 ?Pune ceva loguri si de pe DC (ce erori ai ...)Incerca sa fortezi aplicarea : gpupdate sa vezi daca iti merge.Tu ai modificat politica default sau ai creat alt obiect ?In functie de setarile care le ai poti sa incerci restore to default la Domain si la DCdcgpofix /target: Domaindcgpofix /target: DCdcgpofix /target: bothInsa asta poate fi cam tricky ... Quote Link to comment Share on other sites More sharing options...
gigea Posted May 4, 2011 Author Report Share Posted May 4, 2011 Toate serverele sunt 2003, DC primar si cel secundar. In perioada cand a apaurt problema a fost schimbat serverul (DC-ul primar). N-am observat problema decat la 1-2luni dupa modificare, atunci au inceput sa curga calculatoare in firma si la introducerea in domeniu apareau probleme.Inca sunt statii care functioneaza ok, gpupdate merge ok, login-ul merge ok, dar sunt clienti care nu functioneaza asa si la gpupdate am eroarea din primul post. Nu tine cont de OS, ci doar de perioada in care au fost adaugate in domeniu.Gpupdate, pe server, merge ok, nu da nici o problema. gpupdate /force da aceeasi eroare din primul post.Nu am modificat politica default. A ramas aceeasi. Am gasit ieri niste posturi pe technet si am refacut permisiunile pe share-ul sysvol, desi nu era precizat, o sa incerc scoaterea din domeniu si apoi introducerea inapoi pe statiile cu probleme.Acum ma gandesc ca, politicile sunt in regula, ca nu toate statiile au problema asta.In event-urile de pe server, erori si warning-uri sunt pentru wsus, file replication service...un exemplu: Autoenrollment:"Automatic certificare enrollment for local system failed to enroll for one domain controller certificate (0x800706ba). the RPC server is unavailable."Mai sunt si altele, dar specific unui ip sau unui client, si asta cred ca tot din cauza ca nu se aplica bine politicile de grup. O sa le iau pe fiecare in parte si sa caut documentatie sa vad unde ajung. Probabil tot la GPO... Quote Link to comment Share on other sites More sharing options...
redox Posted May 4, 2011 Report Share Posted May 4, 2011 Daca problema a aparut de la schimbare DC-ului inseamna ca pe undeva pointeaza catre vechiul srv. UIta-te aici :Windows Server 2003 ADSI Edit - Download explore Active Directory examplessi aiciHow to remove completely orphaned Domain Controllerset logonserver = \\DCEroarea care ai pus-o initial mai are un cod specific : 3, 5, 53. Care iti apre tie ?Event ID 1058 1 Quote Link to comment Share on other sites More sharing options...
gigea Posted May 4, 2011 Author Report Share Posted May 4, 2011 53Stiu, am trecut si pe la eventuri, am incercat o groaza de solutii date de cei care au mai avut problema aia.Problema e ca mai sunt 2 domain controllere in domeniu, dar nu sunt fizic aici(sunt in Franta). La alea n-am access si n-am cum sa verific anumite setari. O sa trimit un mail sau o sa sun la ei sa le spun.mersi frumos Redox pentru ajutorul acordat (+rep) Quote Link to comment Share on other sites More sharing options...
redox Posted May 4, 2011 Report Share Posted May 4, 2011 Ce sa zic. Raman in continuare la ideea ca poate fi o problema de DNS corelata cu faptul ca vechiul DC a mai ramas agata undeva. In DNS nu ai vechiul DC cumva ? Is curios si eu cum o rezolvi. Da-mi de stire cand ai gasit hiba. Ms. Quote Link to comment Share on other sites More sharing options...
gigea Posted May 4, 2011 Author Report Share Posted May 4, 2011 Mie imi e ca alea 2 servere care sunt dc pe domeniu nu au permisiunile pe sysvol cum trebuie, dar nici nu am cum sa verific, nici macar remote. Am trimis mail, o sa vad ce raspund francezii. Quote Link to comment Share on other sites More sharing options...
redox Posted May 4, 2011 Report Share Posted May 4, 2011 Ai forest ? Daca zici ca iti da codul 53 nu cred ca tine de permisiuni ci pur si simplu nu gasesete DC. Daca l-ar gasi si nu ar avea permisiuni ar fi probabil alt cod. Ii complicat sa-mi dau cu parerea fara sa spun prostii pe orbeste, dar incerca sa pui set logonserver ca fiind dc-ul tau, pe clienti. set /p logonserver=\\<DC>Ai scripturi la logon-logoff start-shutdown ? Quote Link to comment Share on other sites More sharing options...
gigea Posted May 5, 2011 Author Report Share Posted May 5, 2011 Nu stiu daca sa rad sau daca sa injur.. o bucata din mailul primit:"In fact I must change this GPO for apply only on Domain Controllers OU.So I must creating you a new GPO with same information but only for <domain>."I-a luat 5 minute, si totul merge bine. Trebuie sa mai fac niste teste ca mai sunt si alte probleme, dar in mare parte e rezolvata problema.Inca o data, multumesc redox ca ai stat la taclale cu mine si ca ti-ai dat interesul sa ma ajuti, dar am fost indus in eroare de niste eventuri de pe dc-urile de la mine si pt asta imi cer scuze.Se poate inchide topicul. Multam. Quote Link to comment Share on other sites More sharing options...
redox Posted May 5, 2011 Report Share Posted May 5, 2011 Tare Cere ore suplimentare Zii ca ai lucrat 3 zile non stop Quote Link to comment Share on other sites More sharing options...
gigea Posted May 6, 2011 Author Report Share Posted May 6, 2011 Pot sa tot cer, ca nu ma aude nimeni Quote Link to comment Share on other sites More sharing options...
