Na minha empresa, temos um servidor Windows Server 2003 R2, que é nosso principal servidor AD, com quase tudo baseado no Windows em execução (AD, compartilhamento de arquivos, compartilhamento de impressão, etc.). O nível funcional do Domínio é o Windows Server 2003, mas o nível funcional da Floresta é o Windows 2000 (o domínio costumava ser hospedado principalmente em uma máquina com Windows 2000 Server).
Algumas semanas atrás, um colega de trabalho e eu removemos o Windows 2000 Server do domínio, movendo todas as funções FSMO para a máquina Windows Server 2003, tornando-o o principal e único controlador de domínio. Infelizmente, esquecemos de mover algumas coisas, como GPOs e scripts de login. A maioria dos scripts de login foi recriada, assim como os GPOs, mas ainda temos alguns pequenos problemas restantes. Um deles é este pequeno erro que recebemos aproximadamente a cada 5 minutos:
O Windows não pode acessar o arquivo gpt.ini para GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=OURDOMAIN,DC=com. O arquivo deve estar presente no local <\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini>. (O sistema não consegue encontrar o caminho especificado. ). Processamento de Política de Grupo abortado.
Pouco depois de receber este erro, recebemos o seguinte erro:
O Windows não pode consultar a lista de objetos de Política de Grupo. Verifique no log de eventos possíveis mensagens registradas anteriormente pelo mecanismo de política que descrevam o motivo disso.
Agora, coisas que eu recriei, como o Redirecionamento de Pastas, estão funcionando bem no momento, então, até onde eu sei, os GPOs existentes estão sendo encontrados pelas estações de trabalho clientes e estão sendo aplicados, então estamos bem nisso papel. No entanto, gostaria que esses erros desaparecessem porque são bastante irritantes. (Recebo cópias de todos os erros na minha caixa de entrada todas as manhãs).
Tentei executar o dcgpofix, mas isso só me deu a seguinte mensagem de erro:
Microsoft Windows [versão 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
U:>dcgpofix
Utilitário de restauração de política de grupo padrão do sistema operacional Microsoft (R) Windows (R) v5 .1
Direitos autorais (C) Microsoft Corporation. 1981-2003
Descrição: recria os objetos de política de grupo (GPOs) padrão para um domínio
Sintaxe: DcGPOFix [/ignoreschema] [/Destino: Domínio | DC | AMBOS]
Este utilitário pode restaurar uma ou ambas a Política de Domínio Padrão ou a Política de Controladores de Domínio Padrão para o estado que existe imediatamente após uma instalação limpa. Você deve ser um administrador de domínio para executar esta operação.
AVISO: VOCÊ PERDERÁ QUALQUER ALTERAÇÃO FEITA NESSES GPOs. ESTE UTILITÁRIO DESTINA-SE APENAS PARA FINS DE RECUPERAÇÃO DE DESASTRES.
A versão do esquema do Active Directory para este domínio e a versão suportada por esta ferramenta não correspondem. O GPO pode ser restaurado usando o parâmetro de linha de comando /ignoreschema. No entanto, é recomendável que você tente obter uma versão atualizada desta ferramenta que pode ter uma versão atualizada do esquema do Active Directory. A restauração de um GPO com um esquema incorreto pode resultar em um comportamento imprevisível. A restauração falhou. Veja mensagens anteriores para mais detalhes
Como sempre, se houver algo importante que deixei de fora e preciso contar para ajudar a resolver esse problema, comente e incluirei.
Mais informações, pois os comentários são limitados a 600 caracteres:
Sou totalmente capaz de navegar para \ourdomain\sysvol e \ourdomain.com\sysvol tanto dos clientes quanto do servidor. O verdadeiro problema que estamos tendo é que no diretório C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies no servidor AD primário, não há nenhum diretório {6AC17...} lá. Período. Não foi replicado de forma alguma. Para ser sincero, não acho que nada tenha sido replicado, já que tivemos que reconstruir completamente os scripts de login e os GPOs manualmente.
Não fui eu quem aposentou o antigo servidor Win2k, mas ao observar, o cara que fez isso teve um problema e teve que assumir as funções FSMO no novo sistema. O Sysvol teve que ser reconstruído manualmente, se bem me lembro, e o NETLOGON não está configurado exatamente como deveria, embora FUNCIONE, assim como nossos GPOs atuais menos este que parece ser referenciado em algum lugar que ainda não existe.
Aqui está a lista de etapas que executei para tentar resolver esse problema:
- Pesquisado no diretório C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies pelos arquivos, eles não existem
- Pesquisei em \ourdomain.com\sysvol e \ourdomain\sysvol pelos arquivos, que novamente não existem. Esses dois aqui me dizem que o GPO não existe em nenhum lugar do nosso sistema.
- Eu procurei em todo o sistema de arquivos do servidor por algo correspondente6AC1786Ce não encontrei nada, exceto um backup antigo de 6 anos atrás do Windows 2000 Server.
- Tentei executar o dcgpofix, mas ele falhou, citando o fato de que o tipo de esquema do domínio não corresponde ao tipo de esquema da ferramenta.
- Executei dfsutil /PurgeMupCache que efetivamente não fez nada.
Responder1
Quando você fala sobre "mover" scripts de logon e GPOs, isso me faz pensar que você não deixou o SYSVOL replicar corretamente. As partes da Política de Grupo baseadas em arquivo seriam replicadas automaticamente no SYSVOL do novo computador servidor. Você pode ter feito uma grande bagunça, dependendo do que foi ou não replicado e de quais etapas você executou exatamente.
Dito isto, duvido muito que a "Política de Domínio Padrão" esteja "corrompida" ou ausente se você não estiver recebendo erros em todos os computadores clientes. (Erros em clientes ocorreriam com muito menos frequência do que a cada 5 minutos. Seriam um a cada 90 minutos.)
Parece-me que você está tendo um problema de resolução de nomes, DFS ou protocolo de compartilhamento de arquivos e impressão no próprio computador servidor.
Algumas perguntas:
- Qual é a aparência da saída do DCDIAG no computador servidor?
- O servidor está usando a si mesmo (e somente a si mesmo) como servidor DNS?
- Você consegue navegar até o caminho do GPO (na mensagem de erro) no Windows Explorer no computador servidor?
Responder2
Eu tive um problema semelhante e, pesquisando minhas anotações, corrigi-o usando "dfsutil/PurgeMupCache". Acho que dfsutil vem das ferramentas de suporte do CD de instalação do 2k3. Isso deve ter vindo de um artigo da Base de Conhecimento, mas minhas anotações não dizem qual. Vale a pena pesquisar no Google.
Jr.
Responder3
Aparentemente, meu colega de trabalho corrigiu o problema reconstruindo o GPO e removendo rastros do antigo. Não sei exatamente como ele fez isso, mas se eu conseguir encontrar mais informações sobre isso, atualizarei este post com o que descobrir.