В моей компании у нас есть сервер Windows Server 2003 R2, который является нашим основным сервером AD, на котором работает практически все, что связано с Windows (AD, обмен файлами, общий доступ к принтерам и т. д.). Функциональный уровень домена — Windows Server 2003, но функциональный уровень леса — Windows 2000 (домен раньше в основном размещался на машине с Windows 2000 Server).
Пару недель назад мы с коллегой удалили Windows 2000 Server из домена, переместив все роли FSMO на машину Windows Server 2003, сделав ее основным и единственным контроллером домена. К сожалению, мы забыли переместить несколько вещей, таких как GPO и сценарии входа. Большинство сценариев входа были пересозданы, как и GPO, но у нас все еще есть несколько небольших оставшихся проблем. Одна из них — эта маленькая ошибка, которая возникает примерно каждые 5 минут:
Windows не может получить доступ к файлу gpt.ini для GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=OURDOMAIN,DC=com. Файл должен находиться в расположении <\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini>. (Система не может найти указанный путь.). Обработка групповой политики прервана.
Вскоре после получения этой ошибки мы получаем следующую ошибку:
Windows не может запросить список объектов групповой политики. Проверьте журнал событий на наличие возможных сообщений, ранее зарегистрированных механизмом политики, которые описывают причину этого.
Теперь, вещи, которые я воссоздал, такие как перенаправление папок, в настоящее время работают просто отлично, поэтому, насколько я могу судить, существующие объекты групповой политики обнаруживаются клиентскими рабочими станциями и применяются, так что с этой частью у нас все хорошо. Однако я хотел бы избавиться от этих ошибок, потому что они довольно раздражают. (Я получаю копии всех ошибок в своем почтовом ящике каждое утро).
Я попытался запустить dcgpofix, однако это выдало мне следующее сообщение об ошибке:
Microsoft Windows [Версия 5.2.3790] (C) Авторские права 1985-2003 Microsoft Corp.
U:>dcgpofix
Утилита восстановления групповой политики по умолчанию для операционной системы Microsoft(R) Windows(R) v5.1
Авторские права (C) Корпорация Microsoft. 1981-2003
Описание: Воссоздает объекты групповой политики (GPO) по умолчанию для домена.
Синтаксис: DcGPOFix [/ignoreschema] [/Target: Домен | DC | BOTH]
Эта утилита может восстановить либо Default Domain Policy, либо Default Domain Controllers Policy, либо и то, и другое в состояние, которое существует сразу после чистой установки. Для выполнения этой операции вы должны быть администратором домена.
ВНИМАНИЕ: ВЫ ПОТЕРЯЕТЕ ЛЮБЫЕ ИЗМЕНЕНИЯ, ВНЕСЕННЫЕ В ЭТИ GPO. ДАННАЯ УТИЛИТА ПРЕДНАЗНАЧЕНА ТОЛЬКО ДЛЯ АВАРИЙНОГО ВОССТАНОВЛЕНИЯ.
Версия схемы Active Directory для этого домена и версия, поддерживаемая этим инструментом, не совпадают. GPO можно восстановить с помощью параметра командной строки /ignoreschema. Однако рекомендуется попробовать получить обновленную версию этого инструмента, которая может иметь обновленную версию схемы Active Directory. Восстановление GPO с неправильной схемой может привести к непредсказуемому поведению. Восстановление не удалось. Подробнее см. в предыдущих сообщениях
Как обычно, если я упустил что-то важное и хочу рассказать об этом, чтобы помочь решить эту проблему, напишите комментарий, и я это добавлю.
Дополнительная информация, поскольку комментарии ограничены 600 символами:
Я полностью могу просматривать \ourdomain\sysvol и \ourdomain.com\sysvol как с клиентов, так и с сервера. Реальная проблема, с которой мы столкнулись, заключается в том, что в каталоге C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies на основном сервере AD нет каталога {6AC17...}. Точка. Он вообще не реплицировался. Честно говоря, я не думаю, что что-либо реплицировалось, поскольку нам пришлось полностью перестраивать сценарии входа и объекты групповой политики вручную.
Я не был тем, кто удалил старый сервер Win2k, но, судя по наблюдениям, тот, кто это сделал, столкнулся с проблемой и фактически был вынужден перехватить роли FSMO на новой системе. Sysvol пришлось вручную перестроить, если я правильно помню, и NETLOGON настроен не совсем так, как должен, хотя он РАБОТАЕТ, как и наши текущие GPO, за исключением этого, который, похоже, где-то упоминается, но не существует.
Вот список шагов, которые я предпринял, чтобы попытаться решить эту проблему:
- Поискал файлы в каталоге C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies, но их не существует.
- Поискал файлы \ourdomain.com\sysvol и \ourdomain\sysvol, которые снова не существуют. Эти два прямо здесь говорят мне, что GPO напрямую не существует нигде в нашей системе.
- Я проверил всю файловую систему сервера на предмет совпадений6AC1786Cи не нашел ничего, кроме старой резервной копии 6-летней давности с Windows 2000 Server.
- Я попытался запустить dcgpofix, но он не сработал, сославшись на то, что тип схемы домена не соответствует типу схемы инструмента.
- Я запустил dfsutil /PurgeMupCache, что фактически ничего не дало.
решение1
Когда вы говорите о "перемещении" сценариев входа и GPO, это заставляет меня думать, что вы не позволили SYSVOL реплицироваться должным образом. Файловые части групповой политики автоматически реплицировались в SYSVOL нового серверного компьютера. Вы могли серьезно напутать, в зависимости от того, что реплицировалось или не реплицировалось, и какие именно шаги вы предприняли.
При этом я очень сомневаюсь, что «Политика домена по умолчанию» «повреждена» или отсутствует, если вы не получаете ошибки на всех клиентских компьютерах. (Ошибки на клиентах будут возникать гораздо реже, чем каждые 5 минут. Они будут возникать каждые 90 минут.)
Мне кажется, что у вас проблема с разрешением имен, DFS или протоколом общего доступа к файлам и принтерам на самом сервере.
Некоторые вопросы:
- Как выглядит вывод DCDIAG на сервере?
- Использует ли сервер себя (и только себя) в качестве DNS-сервера?
- Можете ли вы перейти к пути к объекту групповой политики (в сообщении об ошибке) из проводника Windows на сервере?
решение2
У меня была похожая проблема, и, просматривая свои заметки, я исправил ее с помощью "dfsutil /PurgeMupCache". Я думаю, dfsutil из инструментов поддержки на установочном CD 2k3. Это, должно быть, из статьи в Базе знаний, но в моих заметках не сказано, из какой именно. Хотя стоит поискать в Google.
Дж.Р.
решение3
Видимо, мой коллега исправил проблему, перестроив GPO и удалив следы старого. Я не знаю точно, как он это сделал, но если я смогу найти больше информации об этом, я обновлю этот пост тем, что узнаю.