우리 회사에는 Windows 기반의 거의 모든 것(AD, 파일 공유, 인쇄 공유 등)이 실행되는 기본 AD 서버인 Windows Server 2003 R2 서버가 있습니다. 도메인 기능 수준은 Windows Server 2003이지만 포리스트 기능 수준은 Windows 2000(Windows 2000 Server 시스템에서 주로 호스팅되었던 도메인)입니다.
몇 주 전에 동료와 저는 도메인에서 Windows 2000 Server를 제거하고 모든 FSMO 역할을 Windows Server 2003 시스템으로 이동하여 이를 기본이자 유일한 도메인 컨트롤러로 만들었습니다. 안타깝게도 GPO 및 로그인 스크립트와 같은 몇 가지 항목을 이동하는 것을 잊어버렸습니다. 대부분의 로그인 스크립트와 GPO가 다시 생성되었지만 여전히 몇 가지 작은 문제가 남아 있습니다. 그 중 하나는 대략 5분마다 발생하는 작은 오류입니다.
Windows는 GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=OURDOMAIN,DC=com에 대한 gpt.ini 파일에 액세스할 수 없습니다. 파일은 <\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini> 위치에 있어야 합니다. (시스템이 지정된 경로를 찾을 수 없습니다. ). 그룹 정책 처리가 중단되었습니다.
이 오류를 받은 직후 다음 오류가 나타납니다.
Windows는 그룹 정책 개체 목록을 쿼리할 수 없습니다. 이에 대한 이유를 설명하는 정책 엔진에 의해 이전에 기록된 가능한 메시지가 있는지 이벤트 로그를 확인하십시오.
이제 폴더 리디렉션과 같이 제가 다시 만든 기능은 현재 잘 작동하고 있습니다. 제가 알 수 있는 한, 존재하는 GPO는 클라이언트 워크스테이션에서 찾아 적용되고 있으므로 괜찮습니다. 부분. 그러나 이러한 오류는 다소 성가시기 때문에 사라지게 하고 싶습니다. (저는 매일 아침 받은 편지함에 모든 오류의 사본을 받습니다.)
dcgpofix를 실행하려고 시도했지만 다음과 같은 오류 메시지만 표시됩니다.
Microsoft Windows [버전 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
U:>dcgpofix
Microsoft(R) Windows(R) 운영 체제 기본 그룹 정책 복원 유틸리티 v5 .1
저작권 (C) 마이크로소프트 주식회사. 1981년부터 2003년까지
설명: 도메인에 대한 기본 그룹 정책 개체(GPO)를 다시 생성합니다.
구문: DcGPOFix [/ignoreschema] [/대상: 도메인 | DC | 둘 다]
이 유틸리티는 기본 도메인 정책이나 기본 도메인 컨트롤러 정책 중 하나 또는 둘 다를 새로 설치 직후 존재하는 상태로 복원할 수 있습니다. 이 작업을 수행하려면 도메인 관리자여야 합니다.
경고: 이러한 GPO에 대한 모든 변경 사항이 손실됩니다. 이 유틸리티는 재해 복구 목적으로만 사용됩니다.
이 도메인의 Active Directory 스키마 버전과 이 도구에서 지원하는 버전이 일치하지 않습니다. /ignoreschema 명령줄 매개 변수를 사용하여 GPO를 복원할 수 있습니다. 그러나 Active Directory 스키마의 업데이트된 버전이 있을 수 있는 이 도구의 업데이트된 버전을 구하는 것이 좋습니다. 잘못된 스키마로 GPO를 복원하면 예기치 않은 동작이 발생할 수 있습니다. 복원에 실패했습니다. 자세한 내용은 이전 메시지를 참조하세요.
늘 그렇듯이, 제가 빠뜨린 중요한 사항이 있고 이 문제를 해결하는 데 도움이 되도록 알려 주어야 할 사항이 있는 경우 댓글을 남겨주시면 포함하겠습니다.
댓글은 600자로 제한되어 있으므로 추가 정보:
클라이언트와 서버 모두에서 \ourdomain\sysvol 및 \ourdomain.com\sysvol을 탐색할 수 있습니다. 우리가 겪고 있는 실제 문제는 기본 AD 서버의 C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies 디렉터리에 {6AC17...} 디렉터리가 없다는 것입니다. 기간. 전혀 복제되지 않았습니다. 솔직히 말해서 로그인 스크립트와 GPO를 완전히 다시 작성해야 했기 때문에 어떤 것도 복제되지 않았다고 생각합니다.
나는 기존 Win2k 서버를 폐기한 사람이 아니었지만, 지켜보니 그 일을 한 사람이 문제에 부딪혀 실제로 새 시스템에서 FSMO 역할을 장악해야 했습니다. 내가 올바르게 기억한다면 Sysvol을 수동으로 재구축해야 했고, NETLOGON은 작동하기는 하지만 정확히 원하는 방식으로 설정되지 않았습니다. 현재 GPO에서 아직 존재하지 않는 것으로 보이는 이 GPO를 뺀 것처럼 작동합니다.
이 문제를 해결하기 위해 제가 취한 단계 목록은 다음과 같습니다.
- C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies 디렉터리에서 파일을 검색했지만 존재하지 않습니다.
- \ourdomain.com\sysvol 및 \ourdomain\sysvol에서 다시 존재하지 않는 파일을 검색했습니다. 바로 여기 있는 이 두 가지는 GPO가 우리 시스템 어디에도 존재하지 않는다는 것을 말해줍니다.
- 서버의 전체 파일 시스템에서 일치하는 항목을 검색했습니다.6AC1786CWindows 2000 Server에서 6년 전의 오래된 백업 외에는 아무것도 찾지 못했습니다.
- dcgpofix를 실행하려고 시도했지만 도메인의 스키마 유형이 도구의 스키마 유형과 일치하지 않는다는 사실로 인해 실패했습니다.
- 나는 사실상 아무것도 하지 않은 dfsutil /PurgeMupCache를 실행했습니다.
답변1
로그온 스크립트와 GPO를 "이동"하는 것에 대해 이야기할 때 SYSVOL이 제대로 복제되지 않도록 했다는 생각이 듭니다. 그룹 정책의 파일 기반 부분은 새 서버 컴퓨터의 SYSVOL에 자동으로 복제됩니다. 무엇을 복제했는지, 복제하지 않았는지, 그리고 정확히 어떤 조치를 취했는지에 따라 심각한 문제를 일으켰을 수도 있습니다.
즉, 모든 클라이언트 컴퓨터에서 오류가 발생하지 않는다면 "기본 도메인 정책"이 "손상"되었거나 누락되었는지 의심스럽습니다. (클라이언트 오류는 5분마다 발생하는 빈도보다 훨씬 덜 발생합니다. 90분마다 발생합니다.)
서버 컴퓨터 자체에 이름 확인, DFS 또는 파일 및 인쇄 공유 프로토콜 문제가 있는 것 같습니다.
몇 가지 질문:
- 서버 컴퓨터의 DCDIAG 출력은 어떤 모양입니까?
- 서버가 자신(그리고 자신만)을 DNS 서버로 사용하고 있습니까?
- 서버 컴퓨터의 Windows 탐색기에서 GPO 경로(오류 메시지에 있음)를 찾아볼 수 있습니까?
답변2
비슷한 문제가 있었는데 내 노트를 검색하여 "dfsutil /PurgeMupCache"를 사용하여 문제를 해결했습니다. dfsutil은 2k3 설치 CD의 지원 도구에 있는 것 같습니다. 이것은 기술 자료 문서에서 나온 것임에 틀림없지만 내 메모에는 어느 문서인지 나와 있지 않습니다. 그래도 Google의 가치가 있습니다.
JR
답변3
제 동료가 GPO를 재구축하고 이전 GPO에 대한 흔적을 제거하여 문제를 해결한 것 같습니다. 그가 어떻게 했는지 정확히는 모르지만, 이에 대한 추가 정보를 찾을 수 있다면 제가 알아낸 내용으로 이 게시물을 업데이트하겠습니다.