En mi empresa, tenemos un servidor Windows Server 2003 R2, que es nuestro servidor AD principal y en él se ejecuta prácticamente todo lo basado en Windows (AD, intercambio de archivos, uso compartido de impresiones, etc.). El nivel funcional del dominio es Windows Server 2003, pero el nivel funcional del bosque es Windows 2000 (el dominio solía estar alojado principalmente en una máquina con Windows 2000 Server).
Hace un par de semanas, un compañero de trabajo y yo eliminamos el servidor Windows 2000 del dominio, trasladando todas las funciones de FSMO a la máquina con Windows Server 2003, convirtiéndolo en el único y principal controlador de dominio. Lamentablemente, nos olvidamos de mover un par de cosas, como los GPO y los scripts de inicio de sesión. Se han recreado la mayoría de los scripts de inicio de sesión, así como los GPO, pero aún nos quedan un par de pequeños problemas. Uno de ellos es este pequeño error que recibimos aproximadamente cada 5 minutos:
Windows no puede acceder al archivo gpt.ini para GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=OURDOMAIN,DC=com. El archivo debe estar presente en la ubicación <\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini>. (El sistema no puede encontrar la ruta especificada. ). Se canceló el procesamiento de la política de grupo.
Poco después de recibir este error, recibimos el siguiente error:
Windows no puede consultar la lista de objetos de política de grupo. Consulte el registro de eventos para ver posibles mensajes registrados previamente por el motor de políticas que describan el motivo de esto.
Ahora, las cosas que he recreado, como la redirección de carpetas, actualmente funcionan bien, por lo que puedo decir, las estaciones de trabajo cliente encuentran los GPO que existen y se están aplicando, así que estamos bien en eso. parte. Sin embargo, me gustaría que estos errores desaparecieran porque es bastante molesto. (Recibo copias de todos los errores en mi bandeja de entrada todas las mañanas).
Intenté ejecutar dcgpofix, sin embargo, esto solo me da el siguiente mensaje de error:
Microsoft Windows [Versión 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
U:>dcgpofix
Utilidad de restauración de directiva de grupo predeterminada del sistema operativo Microsoft(R) Windows(R) v5 .1
Copyright (C) Microsoft Corporation. 1981-2003
Descripción: recrea los objetos de política de grupo (GPO) predeterminados para un dominio
Sintaxis: DcGPOFix [/ignoreschema] [/Target: Dominio | CC | AMBOS]
Esta utilidad puede restaurar la Política de dominio predeterminada o la Política de controladores de dominio predeterminada o ambas al estado que existe inmediatamente después de una instalación limpia. Debe ser administrador de dominio para realizar esta operación.
ADVERTENCIA: PERDERÁ TODOS LOS CAMBIOS QUE HAYA REALIZADO EN ESTOS GPO. ESTA UTILIDAD ESTÁ DESTINADA ÚNICAMENTE PARA FINES DE RECUPERACIÓN DE DESASTRES.
La versión del esquema de Active Directory para este dominio y la versión admitida por esta herramienta no coinciden. El GPO se puede restaurar utilizando el parámetro de línea de comando /ignoreschema. Sin embargo, se recomienda que intente obtener una versión actualizada de esta herramienta que puede tener una versión actualizada del sistema de Active Directory. Restaurar un GPO con un esquema incorrecto puede provocar un comportamiento impredecible. La restauración falló. Ver mensajes anteriores para más detalles.
Como siempre, si hay algo importante que he omitido y necesito decirte para ayudar a solucionar este problema, comenta y lo incluiré.
Más información ya que los comentarios están limitados a 600 caracteres:
Puedo navegar hasta \ourdomain\sysvol y \ourdomain.com\sysvol tanto desde el cliente como desde el servidor. El verdadero problema que estamos teniendo es que en el directorio C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies en el servidor AD principal, no hay ningún directorio {6AC17...} allí. Período. No se replicó en absoluto. Para ser honesto, no creo que se haya replicado nada, ya que tuvimos que reconstruir completamente los scripts de inicio de sesión y los GPO a mano.
No fui yo quien retiró el antiguo servidor Win2k, pero al observar, el tipo que lo hizo tuvo un problema y de hecho tuvo que asumir los roles de FSMO en el nuevo sistema. Sysvol tuvo que reconstruirse manualmente si no recuerdo mal, y NETLOGON no está configurado exactamente como debería, aunque SÍ funciona, al igual que nuestros GPO actuales menos este al que parece estar referenciado en algún lugar pero que no existe.
Aquí está la lista de pasos que he seguido para intentar resolver este problema:
- Se buscaron los archivos en el directorio C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies, no existen
- Busqué en \ourdomain.com\sysvol y \ourdomain\sysvol los archivos, que nuevamente no existen. Estos dos de aquí me dicen que el GPO directamente no existe en ningún lugar de nuestro sistema.
- He buscado en todo el sistema de archivos del servidor algo que coincida6AC1786Cy no encontré nada excepto una copia de seguridad antigua de hace 6 años de Windows 2000 Server.
- Intenté ejecutar dcgpofix, solo para fallar citando el hecho de que el tipo de esquema del dominio no coincide con el tipo de esquema de la herramienta.
- Ejecuté dfsutil /PurgeMupCache que efectivamente no hizo nada.
Respuesta1
Cuando hablas de "mover" scripts de inicio de sesión y GPO, eso me hace pensar que no permitiste que SYSVOL se replicara correctamente. Las partes basadas en archivos de la Política de grupo se habrían replicado automáticamente en el SYSVOL de la nueva computadora servidor. Es posible que haya cometido un serio desastre, dependiendo de lo que se replicó o no y de los pasos que tomó exactamente.
Dicho esto, dudo mucho que la "Política de dominio predeterminada" esté "dañada" o falte si no recibe errores en todas las computadoras cliente. (Los errores en los clientes ocurrirían con mucha menos frecuencia que cada 5 minutos. Serían uno cada 90 minutos).
Me parece que está teniendo un problema de resolución de nombres, DFS o protocolo para compartir archivos e impresiones en la computadora servidor.
Algunas preguntas:
- ¿Cómo se ve la salida de DCDIAG en la computadora servidor?
- ¿El servidor se utiliza a sí mismo (y sólo a sí mismo) como servidor DNS?
- ¿Puedes buscar la ruta del GPO (en el mensaje de error) desde el Explorador de Windows en la computadora servidor?
Respuesta2
Tuve un problema similar y, buscando en mis notas, lo solucioné usando "dfsutil /PurgeMupCache". Creo que dfsutil proviene de las herramientas de soporte en el CD de instalación de 2k3. Esto debe haber venido de un artículo de la base de conocimientos, pero mis notas no dicen cuál. Aunque vale la pena buscarlo en Google.
J.R.
Respuesta3
Aparentemente, mi compañero de trabajo solucionó el problema reconstruyendo el GPO y eliminando rastros del anterior. No sé exactamente cómo lo hizo, pero si puedo encontrar más información al respecto, actualizaré esta publicación con lo que descubra.