Sieć:
- Domena wielu witryn.
- Każda witryna ma 2 lokalne (na miejscu, w tej samej podsieci) kontrolery domeny z systemem Windows Server 2012 R2.
- Witryny są poprawnie zdefiniowane w Witrynach i usługach systemu Windows.
- Rekordy DNS TYLKO dla każdej witryny mają zdefiniowane dwa lokalne serwery DNS.
- WSZYSTKI klienci to Windows 10 Pro 64-bit ze wszystkimi aktualizacjami.
- Obie sieci są w pełni gigabitowe na przełącznikach Cisco z certyfikowanym okablowaniem CAT6.
- Każda witryna ma lokalny (lokalny, ta sama podsieć) serwer pamięci Synology.
- W ramach zasad grupy dwa dyski sieciowe są mapowane na udziały na serwerze Synology.
Diagnostyka łączności:
dcdiag /test:dns /v /c /e
raportyPASS
dla WSZYSTKICH serwerów i WSZYSTKICH testówecho %logonserver%
zawsze zwraca lokalny kontroler domenynltest /dsgetdc
zawsze pokazuje lokalny kontroler domeny i poprawny lokalny adres IP- W witrynie A pojawiają się oba dyski sieciowe, z prawdopodobieństwem 0,5% awarii (doświadczyłem kilku rozruchów, w których dyski nie pokazują się poprawnie).
Kwestia:
W witrynie B dyski sieciowe nie wyświetlają się może w 30% przypadków. Czasem są to oba dyski, czasem jeden lub drugi. Problem jest w większości losowy i wydaje się, że nie dotyczy konkretnego użytkownika ani stacji roboczej.
Objawy:
Z 30% czasu, w którym pojawia się problem:
- 5% czasu a
gpupdate
lubgpupdate /force
naprawi problem, a napędy natychmiast się pojawią. Jeśligpupdate
nie zadziała przy pierwszej próbie, prawie nigdy potem nie zadziała (dla tego rozruchu) - 5% czasu a
gpupdate
lubgpupdate /force
spowoduje pojawienie się tylko jednego dysku - W 20%
gpupdate
przypadków problem nie naprawi, ale kolejne uruchomienie będzie w porządku - W 50% przypadków a
gpupdate
nie rozwiąże problemu, ale po jednym rozruchu i drugimgpupdate
pojawią się dyski 20% czasu zajmie wiele restartów (i
gpupdate
każdego rozruchu), zanim pojawią się dyski. Czasami są to 2 buty, ale rzadko musiałem restartować komputer czasami 6 lub 7 razy, zanim pojawią się dyski.Przez ostatnie 20% czasu czasami otrzymuję błędy z procesu gpupdate.
The processing of Group Policy failed. Windows attempted to read the file \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: a) Name Resolution/Network Connectivity to the current domain controller. b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). c) The Distributed File System (DFS) client has been disabled.
Ten błąd jest w rzeczywistości, zwykle , ale nie zawsze, o dobry znak, ponieważ na ogół po otrzymuję ten błąd, następny'gpupdate' lub następnego rozruchu i'gpupdate' uczyni dyski ponownie.
Diagnostyka mapy jazdy:
gpresult /h gpresult.html
przedstawia:Drive Map (Drive: X) The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts. X: Winning GPO DriveMaps General Settings Result: Success
Włączyłem rejestrowanie debugowania środowiska zasad grupy (według http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx utworzył wpis rejestru
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002
). Plik dziennika wc:\Windows\debug\UserMode\gpsvc.log
nie pokazał żadnych wyraźnych błędów, ani nie byłem w stanie znaleźć dużej pomocy za pośrednictwem Google. Oto kilka interesujących wiadomości, które otrzymałem:GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier. GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
Włączyłem debugowanie preferencji zasad grupy dla Map Dyskowych (zgodnie z http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx ustawiony
Drive Map Policy Processing
naEnabled
i włączonyEvent Logging
we właściwościach\Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing
). Plik dziennika wC:\ProgramData\GroupPolicy\Preference\Trace\User.log
nie zwrócił żadnych błędów.2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:. 2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP. 2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping. 2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token). 2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
Mam także kilka przechwyconych danych logowania przez sieć, których dyski nie ładują się, ale przechwytywanie zawiera tak wiele informacji, że nie jestem pewien od czego zacząć.
Jeśli po nieudanym logowaniu spróbuję przejść bezpośrednio do
\\SynologyServer\ShareName\
, udział zawsze ładuje się natychmiast, bez żadnych błędów. Brak oznak problemów z połączeniem lub pozwoleniami.
Pytanie:
Dlaczego ten problem występuje tak często w jednej witrynie, ale prawie nigdy w drugiej, gdy obie są w tej samej domenie, mają takie same zasady i korzystają z tego samego oprogramowania?
Jedyną różnicą oprogramowania, o której myślę, jest to, że w Witrynie A wszystkie komputery miały system Windows 8.1 Pro i zostały uaktualnione do systemu Windows 10 Pro, podczas gdy w Witrynie B wszystkie komputery mają nowe instalacje systemu Windows 10 Pro.
Odpowiedzi:
Ponieważ nie mam prawie żadnego przedstawiciela, nie mogę jeszcze zadawać pytań, więc spróbuję zadać pytanie, zamieszczając odpowiedź i mam nadzieję, że nie otrzymam konserw. ;)
Zakładam, że ubezpieczyłeś się, że część GPO w tej sprawie nie jest problemem, testując ten GPO w stosunku do „tradycyjnego” udziału UNC w innym systemie Windows. Ważną brakującą informacją jest jednak, moim zdaniem, to, czy urządzenia Synology są przyłączone do domeny. Wiele jednostek NAS opartych na systemie Linux, takich jak Synology, QNAP i in., Ma wbudowane komponenty oprogramowania, które pozwalają im uczestniczyć w domenach Active Directory. To, czy to urządzenie uczestniczy w domenie, wpływa na rozwiązanie.
To powiedziawszy, mam zdalne urządzenia w mojej sieci połączone z obwodami T1. Wymagamy użycia kopii zapasowych Acronis we wszystkich systemach ze względu na wymagania systemowe. Dlatego zdalne tworzenie kopii zapasowych obrazów stacji roboczych Windows z wieloma GB za pomocą T1 nie jest uruchamianiem. Dlatego umieściliśmy jednostki Drobo NAS w każdym segmencie lokalnym, aby temu zaradzić i zapewnić nam odrobinę odporności na awarie. Te konkretne Drobo nie mają możliwości uczestniczenia w domenie AD.
Aby włączyć skonfigurowane udziały UNC, musieliśmy skonfigurować dwie główne rzeczy. Najpierw stworzyliśmy statyczne wpisy DNS na serwerach DNS, aby umożliwić prawidłowe rozpoznawanie nazw. Po drugie, musieliśmy „poluzować” dwie zasady, które DISA zwykle zaleca większości członków domeny. Poluzowaliśmy tylko te zasady na serwerze kopii zapasowych, a stacje robocze są tworzone w witrynach „powolnych łączy”, ponieważ były to jedyne systemy, które potrzebują dostępu do odpowiednich udziałów:
Obiekty zasad grupy do „Podpisywania cyfrowo komunikacji, jeśli negocjowane” są nadal ustawione na Włączone, co zmniejsza nieco ryzyko związane z bezpieczeństwem. Po włączeniu tych zmian, akcje mogły być natychmiast dostępne poprzez ścieżkę UNC, podczas gdy wcześniej było to niemożliwe.
Właśnie dlatego powiedziałem wcześniej, że w zależności od tego, czy twoje serwery NAS mogą uczestniczyć w domenie, czy nie, określa ścieżkę rozwiązania. Jeśli mogą uczestniczyć, to DNS i zasady grupy „SMB” nie powinny stanowić dla Ciebie problemu, dlatego rozwiązanie leży w innym miejscu. Jeśli nie mogą uczestniczyć (jak moje NASy), może to być twoje rozwiązanie.
źródło
Ask Question
przycisk z menu u góry tej strony. Jeśli masz wystarczającą reputację, możesz głosować za tym pytaniem, aby zwrócić na niego większą uwagę. Możesz też „oznaczyć” gwiazdką jako ulubioną, a będziesz otrzymywać powiadomienia o wszelkich nowych odpowiedziach.Znalazłem te wątki i brzmi to prawie identycznie jak moja:
Windows 10: Zasady grupy nie są stosowane bezpośrednio po uruchomieniu, udaje się później
Napędy mapowane w GPO systemu Windows 8.1 / 10 nie mogą się połączyć
Najwyraźniej ten problem jest spowodowany przez Microsoft domyślnie włączający Hartowanie UNC w Windows 10. Ma to na celu usunięcie luki w zabezpieczeniach, ale najwyraźniej niezamierzenie powoduje, że mapowane dyski nie są montowane niezawodnie. Nic dziwnego, wygląda na to, że Microsoft jeszcze nie zajął się tym błędem (czy też nie?)
Wyjaśnia to również, dlaczego nie miałem problemów w witrynie A. Ponieważ wszystkie komputery zostały uaktualnione z systemu Windows 8.1 Pro do systemu Windows 10, zakładam, że ustawienia dotyczące hartowania UNC zostały przeniesione z systemu Windows 8 i pozostały wyłączone , podczas gdy komputery ze świeżymi zainstalować Windows 10 używany domyślną UNC Hartowanie na .
Właściwie nie wypróbowałem jeszcze rozwiązania, ale wydaje się zbyt idealne, aby pasowało do moich objawów, aby nie było istotne. Martwię się o rozwiązanie, które otwiera mój system na więcej zagrożeń bezpieczeństwa, dlatego szukam alternatyw. Nie podoba mi się pomysł ustawienia tego za pomocą zasad grupy i zastanawiam się, czy można wyłączyć Hartowanie UNC tylko poprzez ręczną edycję rejestru. Najpierw chcę eksperymentować na kilku komputerach, zanim zdecyduję, co dalej. Jednak obecnie mogę znaleźć tylko kroki zmiany ustawienia za pomocą GPO lub GPP ...
jakieś pomysły?
źródło
Chcę to tylko zaktualizować i powiedzieć, że w pewnym momencie jedna z głównych aktualizacji systemu Windows 10 rozwiązała ten problem. To stare pytanie, ale na wszelki wypadek nie lubię zostawiać rzeczy zawieszonych.
źródło
Po przeczytaniu wszystkiego, co dostarczyłeś w aktualizacji Daniela, faktycznie sugerowałbym, że hartowanie UNC, chociaż powiązane, nie jest tutaj główną przyczyną i że może to być opcja „fastboot”, którą OP drugiego postu powiedział, że naprawił swój problem . Wszystkie te informacje o hartowaniu UNC dotyczyły domyślnie hartowania udziałów SYSVOL i NETLOGON. Chociaż ten problem uniemożliwiłby Twoim klientom otrzymywanie aktualizacji GP, faktem jest, że obiekt GPO Drive Map już zastosował się co najmniej raz do danych klientów i NIE POTRZEBUJE ponownego zastosowania po każdym ponownym uruchomieniu (nawet jeśli tak się dzieje) w celu wykonania mapowanie.
Oczywiście będziesz chciał przetestować każdą opcję niezależnie od drugiej, ale niezależnie od tego, która opcja może, ale nie musi działać, ta linia rozumowania wydaje się być zbliżona do podstawowej przyczyny problemu.
źródło