В помощь ИТ специалисту 

Не применяются Default Domain Policy

Обсуждение правил и методов создания и применения групповых политик и политик безопасности.

Модератор: Модераторы

Закрыто
Крепыш
Пользователь
Аватара пользователя
Сообщения: 94
Зарегистрирован: 31 янв 2005, 13:02
Откуда: Балашиха

Сообщение Крепыш » 09 дек 2005, 12:47

В домене два контроллера Windows Server 2003 (мастер) и Windows 2000 Server. После выхода из стоя первого контроллера и переноса (захватом) ролей FSMO на второй контроллер перестали применяться Политики безопасности домена и Default Domain Policy, назначенные в Active Directory.
Утилита DCDiag на котроллере Windows 2000 Server выдаёт:
Цитата
Starting test: MachineAccount
  * SERVER is not a server trust account
  ......................... SERVER failed test MachineAccount
[/quote]

Это как-нибудь связано? И как это лечить?
Нет судьбы, кроме той, которую мы выбираем.
Вернуться к началу
zesta
Новый участник
Сообщения: 6
Зарегистрирован: 15 дек 2005, 21:54

Сообщение zesta » 17 дек 2005, 10:19

Дык все-ж написано в цытате. Нетраст. Идти в Sites&Trust. И еще посмотри RSoP.
Вернуться к началу
Крепыш
Пользователь
Аватара пользователя
Сообщения: 94
Зарегистрирован: 31 янв 2005, 13:02
Откуда: Балашиха

Сообщение Крепыш » 19 дек 2005, 11:11

Цитата (zesta @ 17.12.2005 - 09:19)
Дык все-ж написано в цытате. Нетраст.
[/quote]
А чё это значит?

Цитата (zesta @ 17.12.2005 - 09:19)
Идти в Sites&Trust.
[/quote]
А чё там искать?

Цитата (zesta @ 17.12.2005 - 09:19)
И еще посмотри RSoP.
[/quote]
Зашёл с сервера Windows Server 2003 (не контроллера - контроллера-то уже нет). Говорит:
Цитата
"Самые последние версии ADM-файлов недоступны. Возможная причина - недостаточно прав или нет доступа к сетевым ресурсам.
[/quote]
Цитата
Подробно:
conf.adm
Размещение - "\\Домен\sysvol\Домен\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\conf.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа
inetres.adm
Размещение - "\\Домен\SysVol\Домен\Policies\{3181E754-8B87-429C-8A04-DCDBF57E78E3}\Adm\inetres.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа
system.adm
Размещение - "\\Домен\SysVol\Домен\Policies\{3181E754-8B87-429C-8A04-DCDBF57E78E3}\Adm\system.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа
wmplayer.adm
Размещение - "\\Домен\sysvol\Домен\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\wmplayer.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа
wuau.adm
Размещение - "\\Домен\SysVol\Домен\Policies\{3181E754-8B87-429C-8A04-DCDBF57E78E3}\Adm\wuau.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа
[/quote]

Проверил - все файлы на месте. С любого компа можно зайти так: "\\Контроллер\SYSVOL", а так: "\\Домен\SYSVOL" - только с Windows 2000 можно зайти. На Windows XP и Windows Server 2003 пишет:
Цитата
Нет доступа к \\Домен\SYSVOL. Возможно, у вас нет прав на использование этого сетевого ресурса.
Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа.
[/quote]

В оснастке "Active Directory - пользователи и компьютеры" в свойствах контроллера домена в качестве роли указано "Рабочая станция или сервер" вместо "Контроллер домена".
Команда netdom query fsmo говорит, что все 5 ролей FSMO принадлежат ему.
Нет судьбы, кроме той, которую мы выбираем.
Вернуться к началу
zesta
Новый участник
Сообщения: 6
Зарегистрирован: 15 дек 2005, 21:54

Сообщение zesta » 19 дек 2005, 14:05

Ну ясно - домен есть, а авторизованного контроллера (с точки зрения клиентов) ни одного не осталось:) Потому и политики не пашут, раз \\Домен\SYSVOL отсутствует. А раз на контроллере он присутствует, то
я бы начал с проверки DNS - netdiag /fix и проч, а у клиентов - nslookup.

Насчет FSMO, как я понял, ты http://www.networkdoc.ru/files/insop/ad ... 34790.html смотрел.

netdom query показавает 2000 для DC , PDC?
AD sites & services -> Sites - > Def.F.S.N. -> Servers имеется 2000?
Вернуться к началу
Крепыш
Пользователь
Аватара пользователя
Сообщения: 94
Зарегистрирован: 31 янв 2005, 13:02
Откуда: Балашиха

Сообщение Крепыш » 19 дек 2005, 14:55

NetDiag /fix:
Все тесты "Passed", кроме:
Цитата
Trust relationship test. . . . . . : Skipped

WAN configuration test . . . . . . : Skipped
    No active remote access connections.
[/quote]

nslookup у всех отрабатывает.

Цитата (zesta @ 19.12.2005 - 13:05)
Насчет FSMO, как я понял, ты http://www.networkdoc.ru/files/insop/ad ... 34790.html смотрел.
[/quote]

Нет, netdom query fsmo:
Цитата
Schema owner                Server.Domain
Domain role owner          Server.Domain
PDC role                        Server.Domain
RID pool manager            Server.Domain
Infrastructure owner        Server.Domain
[/quote]

Но и другие 3 способа (через оснастки, NTDSUtil и DCDiag) говорят то же самое.

Цитата (zesta @ 19.12.2005 - 13:05)
AD sites & services -> Sites - > Def.F.S.N. -> Servers имеется 2000?.
[/quote]
Есть. Там был ещё 2003 - я его вручную удалил...
Нет судьбы, кроме той, которую мы выбираем.
Вернуться к началу
zesta
Новый участник
Сообщения: 6
Зарегистрирован: 15 дек 2005, 21:54

Сообщение zesta » 19 дек 2005, 15:27

Ну тогда AD править руками типа http://network.mpei.ac.ru/lang/rus/faqw ... rh6049.htm. Это, может, и не то, но где-то рядом.
Вернуться к началу
Крепыш
Пользователь
Аватара пользователя
Сообщения: 94
Зарегистрирован: 31 янв 2005, 13:02
Откуда: Балашиха

Сообщение Крепыш » 20 дек 2005, 09:28

Ух ты! Заработало!!! :) Спасибо, огромное, zesta!!!
Это я выполнил пункты A - K.
Нет судьбы, кроме той, которую мы выбираем.
Вернуться к началу
Закрыто

Вернуться в Политики безопасности

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

Список форумов
Удалить cookies конференции