Групповая политика: не удается загрузить подключенные диски, Windows Server 2012 Active Directory и Windows Pro 10

12

Сеть:

  • Многосайтовый домен.
  • Каждый сайт имеет 2 локальных (на месте, в одной подсети) контроллера домена Windows Server 2012 R2.
  • Сайты правильно определены в Сайтах и ​​Сервисах Windows.
  • Для записей DNS для каждого сайта определены ТОЛЬКО два локальных сервера DNS.
  • ВСЕ клиенты - Windows 10 Pro 64-bit со всеми обновлениями.
  • Обе сети полностью работают на коммутаторах Cisco с сертифицированным кабелем CAT6.
  • Каждый сайт имеет локальный сервер хранения Synology (на месте, в одной подсети).
  • В рамках групповой политики два сетевых диска сопоставляются с общими ресурсами на сервере Synology.

Диагностика подключения:

  • dcdiag /test:dns /v /c /eотчеты PASSдля ВСЕХ серверов и ВСЕХ тестов
  • echo %logonserver% всегда возвращает локальный DC
  • nltest /dsgetdc всегда показывает локальный DC и правильный локальный IP
  • На сайте A оба сетевых диска обнаруживаются с вероятностью сбоя 0,5% (у меня было несколько загрузок, когда диски не отображаются правильно).

Выпуск:

На сайте B сетевые диски не отображаются, возможно, в 30% случаев. Иногда это оба диска, иногда один или другой. Проблема в основном случайная и, похоже, не следует за каким-то конкретным пользователем или рабочей станцией.

Симптомы:

Из 30% случаев, когда возникает проблема:

  • 5% времени gpupdateили gpupdate /forceрешит проблему, и накопители сразу появятся. Если gpupdateпервая попытка не сработает, то после этого она практически никогда не будет работать (для этой загрузки)
  • 5% времени gpupdateили gpupdate /forceвызовет появление только одного диска
  • 20% времени gpupdateпроблема не будет решена, но при следующей загрузке все будет в порядке
  • 50% времени gpupdateпроблема не будет устранена, но после одной и другой загрузки gpupdateпоявятся диски

  • 20% времени, прежде чем появятся диски, потребуется несколько перезагрузок (и gpupdateдля каждой загрузки). Иногда это 2 загрузки, но мне приходилось редко перезагружать компьютер, иногда 6 или 7 раз, прежде чем появляются диски.

    • В течение последних 20% времени я иногда получаю ошибки от процесса gpupdate.

      The processing of Group Policy failed. Windows attempted to read the file 
\domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
from a domain controller and was not successful. Group Policy settings may not be 
applied until this event is resolved. This issue may be transient and could be 
caused by one or more of the following:  

a) Name Resolution/Network Connectivity to the current domain controller.  
b) File Replication Service Latency (a file created on another domain controller 
   has not replicated to the current domain controller).  
c) The Distributed File System (DFS) client has been disabled.

    • Эта ошибка на самом деле, как правило, но не всегда, является хорошим признаком, потому что, как правило, после того, как я получаю эту ошибку, следующее «gpupdate» или следующая загрузка и «gpupdate» приводят к повторному появлению дисков.

Диагностика карты дисков:

  1. gpresult /h gpresult.html шоу: 

    Drive Map (Drive: X)
 The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
   X:
    Winning GPO  DriveMaps 
     General Settings
      Result: Success

  2. Я включил ведение журнала отладки среды групповой политики (в соответствии с http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx созданной записью реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). Файл журнала в c:\Windows\debug\UserMode\gpsvc.logне показал мне каких-либо явных ошибок, и я не смог найти большую помощь через Google. Вот несколько интересных сообщений, которые я получил:

    GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.

  3. Я включил отладку предпочтений групповой политики для Карт Диска (согласно http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx набор Drive Map Policy Processingдля Enabledи включен Event Loggingв свойствах \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). Файл журнала в C:\ProgramData\GroupPolicy\Preference\Trace\User.logне вернул никаких ошибок.

    2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.

  4. У меня также есть несколько захватов netmon для входа в систему с дисками, которые не загружаются, но захват содержит так много информации, что я не уверен, с чего начать.

  5. Если после неудачного входа в систему я пытаюсь перейти непосредственно \\SynologyServer\ShareName\, общий ресурс всегда загружается немедленно без каких-либо ошибок. Нет никаких признаков проблем с подключением или разрешением.

Вопрос:

Почему эта проблема возникает так часто на одном сайте, но почти никогда на другом сайте, когда оба находятся в одном домене, имеют одинаковую политику и используют одно и то же программное обеспечение?

Единственное различие в программном обеспечении, о котором я могу подумать, состоит в том, что на сайте A все компьютеры работали под управлением Windows 8.1 Pro и были обновлены до Windows 10 Pro, тогда как на сайте B на всех компьютерах установлены свежие версии Windows 10 Pro.

group-policy  windows-server-2012-r2  mappeddrive  windows-10 
Даниил
источник
Любопытно, если это связано: social.technet.microsoft.com/Forums/en-US/… Групповая политика не участвует, но она связана с подключенными сетевыми дисками. Особенно интересно это наблюдение: «Я заметил, что если вы обновитесь до Windows 10 из Windows 8, вы сможете получить доступ к NAS и подключить ваш диск. Однако, если вы устанавливаете Windows 10« чисто »или с нуля, это невозможно на карту диска ".
Даниэль
Еще один аналогичный отчет, но также из Windows 10 Preview. Не уверен, что они все еще актуальны: answers.microsoft.com/en-us/insider/forum/…
Даниил
Как бы это ни было интересно, почему бы не решить эту проблему с помощью простого сценария «net use» (или «wshNetwork», если вы предпочитаете)? В любом случае, вы пытались настроить объект групповой политики быстрой регистрации? technet.microsoft.com/en-us/magazine/gg486839.aspx , technet.microsoft.com/library/jj573586.aspx
EliadTech
1
Попробуйте установить этот элемент управления, как групповая политика применяется при входе в систему . Это гарантирует, что ваша система ждет, пока сеть в локальной системе всегда будет доступна, прежде чем обрабатывать объекты групповой политики.
AndreVSWorld
Исследования (Google) показали, что сопоставление дисков с помощью сценариев входа в систему больше не поддерживается в Windows 8+ и что рекомендуемое сопоставление с помощью групповой политики
Daniel

Ответы:

1

Поскольку у меня почти нет представителей, я пока не могу задавать вопросы, поэтому я попытаюсь задать вопрос, пока отправляю ответ, и надеюсь, что я не получу консервы. ;)

Я собираюсь предположить, что вы застраховали, что часть GPO в этом случае не представляет проблемы, протестировав этот GPO на «традиционном» UNC-ресурсе в другой системе Windows. Важная недостающая информация, на мой взгляд, связана с тем, подключены ли устройства Synology к домену. Многие устройства NAS на базе Linux, такие как Synology, QNAP и др., Имеют встроенные программные компоненты, которые позволяют им участвовать в доменах Active Directory. Участие этого устройства в домене влияет на решение.

При этом в моей сети есть удаленные средства, соединенные с цепями T1. Мы требуем использовать резервные копии Acronis для обработки изображений во всех системах из-за системных требований. Таким образом, удаленное резервное копирование образов нескольких рабочих мест Windows рабочих станций Windows через T1s не является началом. Поэтому мы разместили устройства Drobo NAS в каждом локальном сегменте, чтобы преодолеть это и дать нам небольшую отказоустойчивость. Эти конкретные Drobos не имеют возможности участвовать в домене AD.

Чтобы активировать общие ресурсы UNC, нам нужно было настроить две основные вещи. Сначала мы создали статические записи DNS на DNS-серверах, чтобы обеспечить правильное разрешение имен. И, во-вторых, нам пришлось «ослабить» две политики, которые DISA обычно рекомендует для большинства членов домена. Мы только ослабили эти политики на сервере резервного копирования и рабочих станциях, для которых выполнялось резервное копирование на сайтах с «медленной связью», поскольку это были единственные системы, которым необходим доступ к соответствующим общим ресурсам:

  • Конфигурация компьютера \ Конфигурация Windows \ Настройки безопасности \ Параметры безопасности:
    • Клиент сети Microsoft: использовать цифровую подпись (всегда) = отключено
    • Microsoft Network Client: отправка незашифрованного пароля на сторонние SMB-серверы = включена
    • Microsoft Network Server: цифровая подпись сообщений (всегда) = отключено

Объекты групповой политики «Цифровая подпись сообщений при согласовании» по-прежнему настроены на «Включено», что снижает риск, связанный с безопасностью. Как только мы включили эти изменения, к общим ресурсам можно было сразу получить доступ через UNC-путь, тогда как раньше это было невозможно.

Вот почему я сказал ранее, что в зависимости от того, могут ли ваши NAS участвовать в домене или нет, определяется путь решения. Если они могут участвовать, то DNS и групповые политики «SMB» не должны быть для вас проблемой, и поэтому решение будет лежать в другом месте. Если они не могут участвовать (как мои NAS), то это может быть вашим решением.

Эль Зильчо
источник
Серверы Synology присоединяются к домену. Таким образом, пользователи (и группы) могут получить доступ к своим подключенным дискам. Общие ресурсы на серверах Synology имеют разрешения на основе пользователей и групп AD.
Даниэль
1
Вам не нужно , чтобы заработать репутацию за привилегию , чтобы задавать вопросы . Любой может спросить, если ваша учетная запись не будет заблокирована системой или модератором, что, насколько я могу судить, не так.
HBruijn
Пожалуйста, не размещайте ответы, если они на самом деле не отвечают на вопрос . ServerFault - это платформа вопросов и ответов, а не форум . Если у вас есть новый вопрос, пожалуйста, задайте его , нажав на Ask Questionкнопку в меню в верхней части этой страницы. Если у вас достаточно репутации, вы можете проголосовать за этот вопрос, чтобы уделить ему больше внимания. В качестве альтернативы, «пометить» его как избранное, и вы будете получать уведомления о новых ответах. Спасибо.
HBruijn
1
@HBrujin, я имел в виду, что этот сайт говорит вам, что до тех пор, пока ваш представитель не достигнет 50-летнего возраста, вы не должны задавать вопросы тому, кто публикует исходную проблему. Вы только должны предлагать решения. Что я полностью понимаю, до некоторой степени. Дэниел, моя следующая рекомендация - протестировать объект групповой политики на традиционном компьютере Windows, на котором размещена общая папка. Если вы уже проверили это, тогда это оставило бы меня в тупике. Хотелось бы проверить это в своей лаборатории, но мы сейчас находимся на Win7 / 2008R2 и не увидим ваших версий до следующего года.
Эль Зильчо
Приношу свои извинения, я читаю «задать вопрос», но, очевидно, то, что вы намеревались, на жаргоне ServerFault называется «комментировать» , что действительно является привилегией, для которой нужно 50 баллов. - Время от времени мы получаем людей, которые не знакомы с форматом вопросов и ответов, поэтому мой второй комментарий.
HBruijn
1

Ну, я нашел эти темы, и это звучит почти так же, как моя:

Windows 10: групповая политика не может быть применена сразу после загрузки

Подключенные к Windows 8.1 / 10 GPO диски не подключаются

По-видимому, эта проблема вызвана тем, что Microsoft по умолчанию включает UNC Hardening в Windows 10. Это исправляет уязвимость системы безопасности, но, очевидно, непреднамеренно заставляет подключенные диски монтировать ненадежно. Неудивительно, что, похоже, Microsoft еще не исправила эту ошибку (или они?)

Это также объясняет, почему у меня не было проблем на Сайте А. Поскольку все компьютеры были обновлены с Windows 8.1 Pro до Windows 10, я предполагаю, что настройки, касающиеся UNC Hardening, перенесены с Windows 8 и остались выключенными , тогда как компьютеры с новыми установку Windows 10 используется значение по умолчанию UNC закалки на .

На самом деле я еще не пробовал решение, но оно кажется слишком подходящим для моих симптомов, чтобы не иметь отношения к делу. Я беспокоюсь о решении, которое открывает мою систему для большего количества угроз безопасности, поэтому я ищу альтернативы. Мне не нравится идея установить это с помощью групповой политики, и мне интересно, можно ли отключить UNC Hardening только путем ручного редактирования реестра. Я хочу сначала поэкспериментировать на нескольких компьютерах, прежде чем решить, что делать дальше. Тем не менее, я могу найти только шаги для изменения настроек через GPO или GPP в настоящее время ...

Есть предположения?

Даниил
источник
1

Я просто хочу обновить это и сказать, что в какой-то момент одно из основных обновлений Windows 10 исправило эту проблему. Это старый вопрос, но я не люблю оставлять вещи висящими, на всякий случай.

Даниил
источник
0

Прочитав все, что вы указали в обновлении Даниэля, я бы на самом деле предположил, что ужесточение UNC, хотя и связано, не является коренной причиной здесь, и что это может быть вариант «быстрой загрузки», который, как сказал ОП 2-го поста, решил его проблему. , Вся эта информация об усилении UNC, относящаяся к общим ресурсам SYSVOL и NETLOGON, по умолчанию защищена. Хотя эта проблема не позволит вашим клиентам получать обновления GP, факт состоит в том, что объект GPO Drive Map уже хотя бы один раз применен к рассматриваемым клиентам и не требует повторного применения после каждой перезагрузки (даже если это так) для выполнения картирование.

Очевидно, что вы захотите протестировать каждый вариант независимо от другого, но независимо от того, какой из вариантов может работать или не работать, эта логическая линия может показаться близкой к основной причине вашей проблемы.

Эль Зильчо
источник
Это не объясняет, почему мои клиенты Windows 8.1 Pro -> Windows 10 не имеют проблем, а мои клиенты Windows 10 с чистой установкой имеют проблему. Насколько я знаю, fastboot существенно не изменился с 8 до 10, но UNC Hardening изменился с выключенного по умолчанию на включенное по умолчанию.
Даниил
Признаюсь, мне пришлось немного поучаствовать в чтении, чтобы немного освоиться с ужесточением UNC. Однако, проверяя локальную GP не имеющего присоединения клиента Windows 10, который у меня есть, а также GP моего домена 2008R2 по умолчанию (без клиентов Win10), я могу с уверенностью сказать, что UNC-усиление не включено по умолчанию. Более того, вся информация, которую я прочитал сегодня утром, гласит, что даже если вы включите UNC Hardening, это все еще инклюзивная политика. Это означает, что любые пути UNC, которые вы вводите в политику, ужесточаются. Все остальные пути остаются незакаленными.
Эль Зильчо
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.