У нас есть проблема, когда некоторые компьютеры, похоже, не подхватывают все свои GPO. При просмотре в редакторе управления групповой политикой мы видим много-много GPO "красный x", "файл не найден" (и которые не указывают, какой GPO они).
Немного о нашей среде: у нас есть 4 контроллера домена на функциональном уровне Server 2008 R2. 2 контроллера домена — это локальные серверы Server2k8R2, 2 других — это внешние экземпляры AWS EC2, на которых работает Server 2016.
Запуск «net share» показывает, что NETLOGON и SYSVOL совместно используются по РАЗНЫМ путям для двух контроллеров домена 2K8R2 и контроллеров домена 2K16 (не знаю, является ли это проблемой).
Server2016 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL\sysvol
Server 2008 R2 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL_DFSR\sysvol\superior.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL_DFSR\sysvol
Во всех случаях C:\Windows\SYSVOL\sysvol пуст, за исключением папки domain.local.
Запуск «DCDIAG» показывает сбой теста «SystemLog» для всех четырех и предупреждения при тесте DFSREvent:
AWSDC01 & AWSDC02:
SystemLog test-
"The Netlogon service encountered a client using RPC signing instead of RPC sealing".
"The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.
DFSREvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
"
OnSite-DC1:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
SystemLog test - "An error event occurred. Event ID 0xC2000001. Unexpected failure. Error code 490@01010004"
OnSite-DC2:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
and
"This computer could not authenticate with \\AWSDC01.domain.local, a Windows domain controller for domain DOMAINNAME, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized."
Некоторые дополнительные моменты, на которые следует обратить внимание:
-Event viewer logs (on on-site DC1 and on-site DC2) under application and services > DFS replication show only information about replication between each other. No mention of replication between the AWS DC's.
- Every hour the on-prem DCs show a DFS error "the dfs replication service is stopping communication with partner {other on-prem DC} for replication group Domain System Volume due to an error. Error 9036.
AWS DC02 only shows error logs regarding DFS replication with on-prem DC02. Same error 9036 "replication service stopping due to an error".
AWS DC01, same thing - only shows logs regarding DFS replication with on-prem DC01. Error 9036 "replication service stopped due to an error".
есть идеи, что здесь может происходить или куда смотреть дальше?
решение1
Ошибки указывают на проблему аутентификации, поэтому недавнее обновление Kerberos, на которое ссылается Грег Эскью, вполне может быть причиной, особенно если вы недавно обновились и проблема началась в этот момент. Если вы так думаете, рассмотрите возможность временного удаления этого обновления, а затем, когда все снова заработает, запланируйте dcpromo серверов 2008 как можно скорее.
Вы можете попробовать этот инструмент: https://www.microsoft.com/en-us/download/details.aspx?id=30005
Я уверен, что раньше я тоже пользовался другим инструментом мониторинга репликации от MS, просто сейчас не могу вспомнить, как он называется. Это была установка MSI, вот все, что я помню! Может быть, это был только FRS diag, а не dfrs.
Репликация AD сильно зависит от DNS и синхронизированного времени, поэтому обязательно трижды проверьте все эти настройки. Вы можете сравнить время с:
net time \\server
Посмотрите, нет ли расхождений - работает ли вообще (т.е. нет ли проблем с соединением между серверами при запуске команды). В противном случае рассмотрите возможность синхронизации их всех с одним и тем же внешним источником времени, например, pool.ntp.org.
Чтобы проверить DNS, выполните ping каждого полного доменного имени сервера с каждого другого сервера, сравните результаты друг с другом и с тем, что вы ожидаете. Я предполагаю, что у вас есть VPN или аналогичная не-nat L3-маршрутизация между локальной сетью и AWS? Например, 192.168.1.10 может выполнить ping 10.0.0.2 или любого другого «внутреннего» IP-адреса локальной сети и AWS (я знаком только с Azure, поэтому это может быть не то же самое, простите, если AWS работает как-то по-другому).
Вы также можете проверить как AWS, так и локальные сайты и сервисы AD, перейти к NTDS и посмотреть на отношения репликации. Вы можете щелкнуть правой кнопкой мыши и выполнить репликацию, посмотреть, что там написано (перефразируя) «ok» или «can’t do it» — это может помочь сузить проблему.