Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » не работает gpupdate

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

KUSA

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Был один контролер домена на 2008R2 (всего один, второго не было!)
Потом на нем умер один из жестких дисков и пока нету второго, он работает на одном харде. Поднял второй DC 2 на 2012. Все вроде работает, те репликация между ними идет, передал все роли этому DC2 - BSP-1S.
C:\Users\administrator>netdom query fsmo
Хозяин схемы                BSP-1S.work.local
Хозяин именования доменов   BSP-1S.work.local
PDC                         BSP-1S.work.local
Диспетчер пула RID          BSP-1S.work.local
Хозяин инфраструктуры       BSP-1S.work.local
Команда выполнена успешно.
C:\Users\administrator>nslookup work.local
bsp-1s.work.local
Address:  192.168.0.70
 
 work.local
Addresses:  192.168.0.70
          192.168.0.6
 
Адреса  192.168.0.6 (первый, сломавшийся DC) и 192.168.0.70 - второй DC2.
Запускаю на DC2
C:\Users\administrator>dcdiag /test:dns
Диагностика сервера каталогов
Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = BSP-1S
   * Определен лес AD.
   Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
   Сервер проверки: windows-noob\BSP-1S
      Запуск проверки: Connectivity
         ......................... BSP-1S - пройдена проверка Connectivity
Выполнение основных проверок
   Сервер проверки: windows-noob\BSP-1S
      Запуск проверки: DNS
         Проверки DNS выполняются без зависания. Подождите несколько минут...
         ......................... BSP-1S - пройдена проверка DNS
   Выполнение проверок разделов на: DomainDnsZones
   Выполнение проверок разделов на: ForestDnsZones
   Выполнение проверок разделов на: Schema
   Выполнение проверок разделов на: Configuration
   Выполнение проверок разделов на: work
   Выполнение проверок предприятия на: work.local
      Запуск проверки: DNS
         Результаты проверки контроллеров домена:
            Контроллер домена: BSP-1S.work.local
            Домен: work.local
               TEST: Dynamic update (Dyn)
                  Warning: Failed to delete the test record dcdiag-test-record in zone work.local
 
               BSP-1S                       PASS PASS PASS PASS WARN PASS n/a
         ......................... work.local - пройдена проверка DNS
 
Аналогично на первом DC отрабатывает
C:\Users\administrator>dcdiag /test:dns
 
Диагностика сервера каталогов
 
Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = BSP-SRV006
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.
 
Выполнение обязательных начальных проверок
   Сервер проверки: windows-noob\BSP-SRV006
      Запуск проверки: Connectivity
         ......................... BSP-SRV006 - пройдена проверка Connectivity
Выполнение основных проверок
   Сервер проверки: windows-noob\BSP-SRV006
      Запуск проверки: DNS
         Проверки DNS выполняются без зависания. Подождите несколько минут...
         ......................... BSP-SRV006 - пройдена проверка DNS
   Выполнение проверок разделов на: ForestDnsZones
   Выполнение проверок разделов на: DomainDnsZones
   Выполнение проверок разделов на: Schema
   Выполнение проверок разделов на: Configuration
   Выполнение проверок разделов на: work
   Выполнение проверок предприятия на: work.local
      Запуск проверки: DNS
         Результаты проверки контроллеров домена:
            Контроллер домена: BSP-SRV006.work.local
            Домен: work.local
               TEST: Dynamic update (Dyn)
                  Warning: Failed to delete the test record dcdiag-test-record in zone work.local
 
               BSP-SRV006                   PASS PASS PASS PASS WARN PASS n/a
         ......................... work.local - пройдена проверка DNS
 
Проблема в том, что если запустить на DC:\Users\administrator>gpupdate /force
Выполняется обновление политики...
 
Не удалось обновить политику компьютера.
Не удалось обновить политику пользователя.
 
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для п
росмотра сведений о результатах групповой политики.
C2 gpudate /force
 
Гугл не помог, может кто сталкивался или знает как решить данную проблему?
 
Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:10 26-08-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html
и посмотрите файл. Гуглите уже результаты, а не общие фразы, типа "не работает"
Цитата:
Warning: Failed to delete the test record dcdiag-test-record in zone work.local  
Что-то с пермишенами на зоны. Сбросить в умолчание.
Но ГП не от этого барахлит.

Цитата:
репликация между ними идет

Откуда уверенность? repadmin /showrepl


----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:17 26-08-2018
KUSA

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
BSP-SRV006 C:\Users\administrator>repadmin /showrepl
 
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
windows-noob\BSP-SRV006
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 86a088ca-6c26-46a3-a4cb-37fcff3b4f7f
DSA - код вызова: 4c04ccbe-1954-4a39-a5d6-0ec4597b0801
 
==== ВХОДЯЩИЕ СОСЕДИ   ======================================
 
DC=work,DC=local
    windows-noob\BSP-1S через  RPC
        DSA - GUID объекта: 75b7e0fe-275b-44f8-b6c5-31298262db76
        Последняя попытка @ 2018-08-26 21:24:37 успешна.
 
CN=Configuration,DC=work,DC=local
    windows-noob\BSP-1S через  RPC
        DSA - GUID объекта: 75b7e0fe-275b-44f8-b6c5-31298262db76
        Последняя попытка @ 2018-08-26 20:51:29 успешна.
 
CN=Schema,CN=Configuration,DC=work,DC=local
    windows-noob\BSP-1S через  RPC
        DSA - GUID объекта: 75b7e0fe-275b-44f8-b6c5-31298262db76
        Последняя попытка @ 2018-08-26 20:51:29 успешна.
 
DC=DomainDnsZones,DC=work,DC=local
    windows-noob\BSP-1S через  RPC
        DSA - GUID объекта: 75b7e0fe-275b-44f8-b6c5-31298262db76
        Последняя попытка @ 2018-08-26 21:17:38 успешна.
 
DC=ForestDnsZones,DC=work,DC=local
    windows-noob\BSP-1S через  RPC
        DSA - GUID объекта: 75b7e0fe-275b-44f8-b6c5-31298262db76
        Последняя попытка @ 2018-08-26 21:20:13 успешна.
 
DC2 - BSP-1S
C:\Users\administrator>repadmin /showrepl
 
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
windows-noob\BSP-1S
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 75b7e0fe-275b-44f8-b6c5-31298262db76
DSA - код вызова: 114deb77-baeb-4d5a-a2ef-b1f5d6da9c14
 
==== ВХОДЯЩИЕ СОСЕДИ   ======================================
 
DC=work,DC=local
    windows-noob\BSP-SRV006 через  RPC
        DSA - GUID объекта: 86a088ca-6c26-46a3-a4cb-37fcff3b4f7f
        Последняя попытка @ 2018-08-26 21:33:20 успешна.
 
CN=Configuration,DC=work,DC=local
    windows-noob\BSP-SRV006 через  RPC
        DSA - GUID объекта: 86a088ca-6c26-46a3-a4cb-37fcff3b4f7f
        Последняя попытка @ 2018-08-26 20:57:56 успешна.
 
CN=Schema,CN=Configuration,DC=work,DC=local
    windows-noob\BSP-SRV006 через  RPC
        DSA - GUID объекта: 86a088ca-6c26-46a3-a4cb-37fcff3b4f7f
        Последняя попытка @ 2018-08-26 20:57:56 успешна.
 
DC=ForestDnsZones,DC=work,DC=local
    windows-noob\BSP-SRV006 через  RPC
        DSA - GUID объекта: 86a088ca-6c26-46a3-a4cb-37fcff3b4f7f
        Последняя попытка @ 2018-08-26 21:19:58 успешна.
 
DC=DomainDnsZones,DC=work,DC=local
    windows-noob\BSP-SRV006 через  RPC
        DSA - GUID объекта: 86a088ca-6c26-46a3-a4cb-37fcff3b4f7f
        Последняя попытка @ 2018-08-26 21:17:23 успешна.
 
 
C:\Users\administrator>
 
C:\Users\administrator>GPRESULT /H GPReport.html
ОШИБКА: Отказано в доступе.
 
В журнале событий Сбой автоматической регистрации сертификатов Локальная система (0x800706ba) Сервер RPC недоступен.
Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 21:38 26-08-2018 | Исправлено: KUSA, 21:44 26-08-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ОШИБКА: Отказано в доступе.  
Да ну ё-моё, сложно от админа запустить? И файл найти в профиле. Или путь сразу указать. Там еще придётся его прочесть и погуглить.
Готовых рецептов не будет, во всяком случае - у меня их нет
 
Добавлено:
Невнятные признаки телепатии просят уточнить, есть ли там  у вас SCCM

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:49 26-08-2018
KUSA

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я запускаю от имени админа контролера домена.
SCCM - не нашел.
Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:08 26-08-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Батенька, значит пермишены съехали. Вообще, их там тысячи... И у меня просто нет времени исследовать каждое предположение
Встроенный администратор должен входить в следующие группы (eng)
 
   
 
Выделенная группа - при наличии Exchange. Иначе её нет

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:47 27-08-2018
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA KUSA

Цитата:
Я запускаю от имени админа контролера домена.  

Да ну ё-моё, админ контроллера домена никакой нахрен не админ в операционной системе!  Запусти cmd.exe  от Администратор, а не от админа домена. А уже в cmd  запускай   gpresult и gpupdate

Цитата:
Чтобы диагностировать сбой, просмотрите журнал событий  
Посмотрел?
 
Для проверки динамической регистрации также в cmd от Админа жмакни на обоих контроллерах домена:
 nltest /dsregdns
 
Должен получить  
 
C:\> nltest /dsregdns
Флаги: 0
Подключение Status = 0 0x0 NERR_Success
Команда выполнена успешно.  


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 12312 | Зарегистр. 10-12-2003 | Отправлено: 12:10 27-08-2018 | Исправлено: ipmanyak, 12:16 27-08-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Запутались в админах...
Есть в AD контейнер - Builtin, так это и есть "локальные группы". Кавычки специально, ибо в самой ОС локальных групп нету. Тем не менее, эти группы распространяются именно на контроллеры домена, как бы локально. Их мемберы являются на контроллерах теми, кем являются... Дескрипшены есть, в конце концов
В контейнере же Users находятся группы, которыми обычно пользуются и которые являются администраторами (ну или иными) на всех остальных машинах домена. Те же пресловутые Domain & Enterprise admins, к примеру.
Чтоб им быть админами еще и на контроллерах, они входят (Member of) в те самые Builtin.
Вот, почему-то у встроенных админов (если я правильно понимаю) не хватает привилегий. Такой подарок можно организовать, конечно. Никто же не помешает в ногу стрелять.

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:32 27-08-2018
KUSA

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
НА BSP-1S (2012 server)
C:\Users\administrator>nltest /dsregdns
Флаги: 0
Подключение Status = 0 0x0 NERR_Success
Команда выполнена успешно.
 
НА BSP-SRV006 (2008R2 server)
C:\Users\administrator>nltest /dsregdns
Флаги: 0
Подключение Status = 0 0x0 NERR_Success
Команда выполнена успешно.
 
 

 

 
 
cmd от админа
C:\Users\administrator>GPRESULT /H GPReport.html
ОШИБКА: Отказано в доступе.
Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:48 27-08-2018 | Исправлено: KUSA, 21:07 27-08-2018
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA Что в журналах событий на контроллерах и на раб.станциях? Event ID с кодом  1055 есть ?
 
Не думаю, что поможет, но попробуй выполнить -  dcdiag /fix    
 
И это на контроллере домена:
 
cd /d %windir%\system32
regsvr32  userenv.dll
cd wbem
mofcomp scersop.mof
gpupdate /force
gpresult
 
При попытке запустить оснастку групповой политики на контроллере  gpmc.msc   что происходит ?  
 
Почитай статью
Troubleshooting Group Policy Processing Errors in an Active Directory Domain  
 
https://www.dell.com/support/article/ru/ru/rubsdc/sln163816/troubleshooting-group-policy-processing-errors-in-an-active-directory-domain?lang=en
и еще одну  
Group Policy Troubleshooting Tools  
https://www.dell.com/support/article/ru/ru/rubsdc/sln155604/group-policy-troubleshooting-tools?lang=en
с утилитой dcgpofix   думай как следует, сбросит все политики нахрен.


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 12312 | Зарегистр. 10-12-2003 | Отправлено: 07:34 28-08-2018 | Исправлено: ipmanyak, 07:59 28-08-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нельзя же работать встроенным админом. Какая бухгалтерия, какой интернет ... И почему именно на DNS сосредоточились?
Попробуйте написанное выше. Особенно про политики. Бекапа тех политик, что были сразу при установке домена у вас естественно нет?
 
Попробуйте восстановить права
AD U&C -- Right Click Domain.local -- Properties -- Security -- Advanced -- Restore Defaults
 
Там есть много веток, где отключено наследование, но, бывает, что помогает.
Сделайте резервную копию на всякий случай, Windows Backup -- Active Directory

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:55 28-08-2018
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » не работает gpupdate


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru