Zasady grupy: Nie można załadować mapowanych dysków, Windows Server 2012 Active Directory i Windows Pro 10

12

Sieć:

  • Domena wielu witryn.
  • Każda witryna ma 2 lokalne (na miejscu, w tej samej podsieci) kontrolery domeny z systemem Windows Server 2012 R2.
  • Witryny są poprawnie zdefiniowane w Witrynach i usługach systemu Windows.
  • Rekordy DNS TYLKO dla każdej witryny mają zdefiniowane dwa lokalne serwery DNS.
  • WSZYSTKI klienci to Windows 10 Pro 64-bit ze wszystkimi aktualizacjami.
  • Obie sieci są w pełni gigabitowe na przełącznikach Cisco z certyfikowanym okablowaniem CAT6.
  • Każda witryna ma lokalny (lokalny, ta sama podsieć) serwer pamięci Synology.
  • W ramach zasad grupy dwa dyski sieciowe są mapowane na udziały na serwerze Synology.

Diagnostyka łączności:

  • dcdiag /test:dns /v /c /eraporty PASSdla WSZYSTKICH serwerów i WSZYSTKICH testów
  • echo %logonserver% zawsze zwraca lokalny kontroler domeny
  • nltest /dsgetdc zawsze pokazuje lokalny kontroler domeny i poprawny lokalny adres IP
  • W witrynie A pojawiają się oba dyski sieciowe, z prawdopodobieństwem 0,5% awarii (doświadczyłem kilku rozruchów, w których dyski nie pokazują się poprawnie).

Kwestia:

W witrynie B dyski sieciowe nie wyświetlają się może w 30% przypadków. Czasem są to oba dyski, czasem jeden lub drugi. Problem jest w większości losowy i wydaje się, że nie dotyczy konkretnego użytkownika ani stacji roboczej.

Objawy:

Z 30% czasu, w którym pojawia się problem:

  • 5% czasu a gpupdatelub gpupdate /forcenaprawi problem, a napędy natychmiast się pojawią. Jeśli gpupdatenie zadziała przy pierwszej próbie, prawie nigdy potem nie zadziała (dla tego rozruchu)
  • 5% czasu a gpupdatelub gpupdate /forcespowoduje pojawienie się tylko jednego dysku
  • W 20% gpupdateprzypadków problem nie naprawi, ale kolejne uruchomienie będzie w porządku
  • W 50% przypadków a gpupdatenie rozwiąże problemu, ale po jednym rozruchu i drugim gpupdate pojawią się dyski
  • 20% czasu zajmie wiele restartów (i gpupdatekażdego rozruchu), zanim pojawią się dyski. Czasami są to 2 buty, ale rzadko musiałem restartować komputer czasami 6 lub 7 razy, zanim pojawią się dyski.

    • Przez ostatnie 20% czasu czasami otrzymuję błędy z procesu gpupdate.

      The processing of Group Policy failed. Windows attempted to read the file 
      \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
      from a domain controller and was not successful. Group Policy settings may not be 
      applied until this event is resolved. This issue may be transient and could be 
      caused by one or more of the following:  
      
      a) Name Resolution/Network Connectivity to the current domain controller.  
      b) File Replication Service Latency (a file created on another domain controller 
         has not replicated to the current domain controller).  
      c) The Distributed File System (DFS) client has been disabled.
      
    • Ten błąd jest w rzeczywistości, zwykle , ale nie zawsze, o dobry znak, ponieważ na ogół po otrzymuję ten błąd, następny'gpupdate' lub następnego rozruchu i'gpupdate' uczyni dyski ponownie.

Diagnostyka mapy jazdy:

  1. gpresult /h gpresult.html przedstawia:

    Drive Map (Drive: X)
     The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
       X:
        Winning GPO  DriveMaps 
         General Settings
          Result: Success
    
  2. Włączyłem rejestrowanie debugowania środowiska zasad grupy (według http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx utworzył wpis rejestru [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). Plik dziennika w c:\Windows\debug\UserMode\gpsvc.lognie pokazał żadnych wyraźnych błędów, ani nie byłem w stanie znaleźć dużej pomocy za pośrednictwem Google. Oto kilka interesujących wiadomości, które otrzymałem:

    GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
    GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
    GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
    
  3. Włączyłem debugowanie preferencji zasad grupy dla Map Dyskowych (zgodnie z http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx ustawiony Drive Map Policy Processingna Enabledi włączony Event Loggingwe właściwościach \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). Plik dziennika w C:\ProgramData\GroupPolicy\Preference\Trace\User.lognie zwrócił żadnych błędów.

    2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
    2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
    2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
    2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
    2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
    2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
    2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
    2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
    2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
    2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
    2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
    
  4. Mam także kilka przechwyconych danych logowania przez sieć, których dyski nie ładują się, ale przechwytywanie zawiera tak wiele informacji, że nie jestem pewien od czego zacząć.

  5. Jeśli po nieudanym logowaniu spróbuję przejść bezpośrednio do \\SynologyServer\ShareName\, udział zawsze ładuje się natychmiast, bez żadnych błędów. Brak oznak problemów z połączeniem lub pozwoleniami.

Pytanie:

Dlaczego ten problem występuje tak często w jednej witrynie, ale prawie nigdy w drugiej, gdy obie są w tej samej domenie, mają takie same zasady i korzystają z tego samego oprogramowania?

Jedyną różnicą oprogramowania, o której myślę, jest to, że w Witrynie A wszystkie komputery miały system Windows 8.1 Pro i zostały uaktualnione do systemu Windows 10 Pro, podczas gdy w Witrynie B wszystkie komputery mają nowe instalacje systemu Windows 10 Pro.

Daniel
źródło
Ciekawe, jeśli jest to powiązane: social.technet.microsoft.com/Forums/en-US/... Nie są zaangażowane żadne zasady grupy, ale są one powiązane z mapowanymi dyskami sieciowymi. Szczególnie interesujące jest to spostrzeżenie: „Zauważyłem, że jeśli uaktualnisz system do Windows 10 z Windows 8, możesz uzyskać dostęp do NAS i zmapować swój dysk. Jeśli jednak zainstalujesz Windows 10„ czysty ”lub od zera, nie jest to możliwe do mapowania dysku ”.
Daniel
Kolejny podobny raport, ale także z podglądu systemu Windows 10. Nie jestem pewien, czy są one nadal aktualne: answer.microsoft.com/en-us/insider/forum/…
Daniel
Choć jest tak interesujące, dlaczego nie rozwiązać go za pomocą prostego skryptu „net use” (lub „wshNetwork”, jeśli wolisz)? W każdym razie, czy próbowałeś skonfigurować GPO w celu szybkiej optymalizacji logowania? technet.microsoft.com/en-us/magazine/gg486839.aspx , technet.microsoft.com/library/jj573586.aspx
EliadTech
1
Spróbuj ustawić tę Kontrolę, w jaki sposób zasady grupy są stosowane podczas logowania . Zapewnia, że ​​Twój system będzie czekał na to, aby sieć w systemie lokalnym była zawsze dostępna przed przetworzeniem obiektów GPO.
AndreVSWorld,
Badania (google) wykazały, że mapowanie dysków za pomocą skryptów logowania nie jest już obsługiwane w systemie Windows 8+ i że mapowanie za pomocą zasad grupy jest zalecaną metodą
Daniel,

Odpowiedzi:

1

Ponieważ nie mam prawie żadnego przedstawiciela, nie mogę jeszcze zadawać pytań, więc spróbuję zadać pytanie, zamieszczając odpowiedź i mam nadzieję, że nie otrzymam konserw. ;)

Zakładam, że ubezpieczyłeś się, że część GPO w tej sprawie nie jest problemem, testując ten GPO w stosunku do „tradycyjnego” udziału UNC w innym systemie Windows. Ważną brakującą informacją jest jednak, moim zdaniem, to, czy urządzenia Synology są przyłączone do domeny. Wiele jednostek NAS opartych na systemie Linux, takich jak Synology, QNAP i in., Ma wbudowane komponenty oprogramowania, które pozwalają im uczestniczyć w domenach Active Directory. To, czy to urządzenie uczestniczy w domenie, wpływa na rozwiązanie.

To powiedziawszy, mam zdalne urządzenia w mojej sieci połączone z obwodami T1. Wymagamy użycia kopii zapasowych Acronis we wszystkich systemach ze względu na wymagania systemowe. Dlatego zdalne tworzenie kopii zapasowych obrazów stacji roboczych Windows z wieloma GB za pomocą T1 nie jest uruchamianiem. Dlatego umieściliśmy jednostki Drobo NAS w każdym segmencie lokalnym, aby temu zaradzić i zapewnić nam odrobinę odporności na awarie. Te konkretne Drobo nie mają możliwości uczestniczenia w domenie AD.

Aby włączyć skonfigurowane udziały UNC, musieliśmy skonfigurować dwie główne rzeczy. Najpierw stworzyliśmy statyczne wpisy DNS na serwerach DNS, aby umożliwić prawidłowe rozpoznawanie nazw. Po drugie, musieliśmy „poluzować” dwie zasady, które DISA zwykle zaleca większości członków domeny. Poluzowaliśmy tylko te zasady na serwerze kopii zapasowych, a stacje robocze są tworzone w witrynach „powolnych łączy”, ponieważ były to jedyne systemy, które potrzebują dostępu do odpowiednich udziałów:

  • Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Opcje zabezpieczeń:
    • Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) = wyłączony
    • Klient sieci Microsoft: Wyślij niezaszyfrowane hasło do serwerów SMB innych firm = włączone
    • Microsoft Network Server: podpisuj cyfrowo komunikację (zawsze) = wyłączone

Obiekty zasad grupy do „Podpisywania cyfrowo komunikacji, jeśli negocjowane” są nadal ustawione na Włączone, co zmniejsza nieco ryzyko związane z bezpieczeństwem. Po włączeniu tych zmian, akcje mogły być natychmiast dostępne poprzez ścieżkę UNC, podczas gdy wcześniej było to niemożliwe.

Właśnie dlatego powiedziałem wcześniej, że w zależności od tego, czy twoje serwery NAS mogą uczestniczyć w domenie, czy nie, określa ścieżkę rozwiązania. Jeśli mogą uczestniczyć, to DNS i zasady grupy „SMB” nie powinny stanowić dla Ciebie problemu, dlatego rozwiązanie leży w innym miejscu. Jeśli nie mogą uczestniczyć (jak moje NASy), może to być twoje rozwiązanie.

El Zilcho
źródło
Serwery Synology są przyłączone do domeny. W ten sposób użytkownicy (i grupy) mają dostęp do swoich mapowanych dysków. Udziały na serwerach Synology mają uprawnienia oparte na użytkownikach i grupach AD.
Daniel
1
Nie trzeba zarobić reputacji dla przywilej do zadawania pytań . Każdy może zapytać, chyba że twoje konto zostanie zbanowane przez system lub moderatora, o ile nie mogę powiedzieć, że tak jest.
HBruijn,
Nie publikuj odpowiedzi, chyba że faktycznie odpowiedzą na pytanie . ServerFault to platforma pytań i odpowiedzi , a nie forum . Jeśli masz nowe pytanie, zadaj je , klikając Ask Questionprzycisk z menu u góry tej strony. Jeśli masz wystarczającą reputację, możesz głosować za tym pytaniem, aby zwrócić na niego większą uwagę. Możesz też „oznaczyć” gwiazdką jako ulubioną, a będziesz otrzymywać powiadomienia o wszelkich nowych odpowiedziach.
HBruijn,
1
@Hrrujin, miałem na myśli to, że ta strona mówi ci, że dopóki twój przedstawiciel nie będzie miał 50 lat lub więcej, nie powinieneś zadawać pytań osobie, która opublikowała oryginalny problem. Masz tylko oferować rozwiązania. Co do pewnego stopnia całkowicie rozumiem. Daniel, moim następnym zaleceniem byłoby przetestowanie obiektu zasad grupy na tradycyjnym komputerze z systemem Windows, na którym znajduje się folder współdzielony. Jeśli już to przetestowałeś, cóż, przez chwilę byłbym zakłopotany. Chciałbym móc to przetestować w moim laboratorium, ale jesteśmy teraz na Win7 / 2008R2 i nie będziemy na waszych wersjach do przyszłego roku.
El Zilcho,
Przepraszam, czytam „zadaj pytanie”, ale najwyraźniej to, co zamierzałeś, nazywa się w żargonie ServerFault, aby opublikować „komentarz” , który jest rzeczywiście przywilejem, za który trzeba zdobyć 50 punktów. - Czasami spotykamy ludzi, którzy nie znają formatu pytań i odpowiedzi, stąd mój drugi komentarz.
HBruijn,
1

Znalazłem te wątki i brzmi to prawie identycznie jak moja:

Windows 10: Zasady grupy nie są stosowane bezpośrednio po uruchomieniu, udaje się później

Napędy mapowane w GPO systemu Windows 8.1 / 10 nie mogą się połączyć

Najwyraźniej ten problem jest spowodowany przez Microsoft domyślnie włączający Hartowanie UNC w Windows 10. Ma to na celu usunięcie luki w zabezpieczeniach, ale najwyraźniej niezamierzenie powoduje, że mapowane dyski nie są montowane niezawodnie. Nic dziwnego, wygląda na to, że Microsoft jeszcze nie zajął się tym błędem (czy też nie?)

Wyjaśnia to również, dlaczego nie miałem problemów w witrynie A. Ponieważ wszystkie komputery zostały uaktualnione z systemu Windows 8.1 Pro do systemu Windows 10, zakładam, że ustawienia dotyczące hartowania UNC zostały przeniesione z systemu Windows 8 i pozostały wyłączone , podczas gdy komputery ze świeżymi zainstalować Windows 10 używany domyślną UNC Hartowanie na .

Właściwie nie wypróbowałem jeszcze rozwiązania, ale wydaje się zbyt idealne, aby pasowało do moich objawów, aby nie było istotne. Martwię się o rozwiązanie, które otwiera mój system na więcej zagrożeń bezpieczeństwa, dlatego szukam alternatyw. Nie podoba mi się pomysł ustawienia tego za pomocą zasad grupy i zastanawiam się, czy można wyłączyć Hartowanie UNC tylko poprzez ręczną edycję rejestru. Najpierw chcę eksperymentować na kilku komputerach, zanim zdecyduję, co dalej. Jednak obecnie mogę znaleźć tylko kroki zmiany ustawienia za pomocą GPO lub GPP ...

jakieś pomysły?

Daniel
źródło
1

Chcę to tylko zaktualizować i powiedzieć, że w pewnym momencie jedna z głównych aktualizacji systemu Windows 10 rozwiązała ten problem. To stare pytanie, ale na wszelki wypadek nie lubię zostawiać rzeczy zawieszonych.

Daniel
źródło
0

Po przeczytaniu wszystkiego, co dostarczyłeś w aktualizacji Daniela, faktycznie sugerowałbym, że hartowanie UNC, chociaż powiązane, nie jest tutaj główną przyczyną i że może to być opcja „fastboot”, którą OP drugiego postu powiedział, że naprawił swój problem . Wszystkie te informacje o hartowaniu UNC dotyczyły domyślnie hartowania udziałów SYSVOL i NETLOGON. Chociaż ten problem uniemożliwiłby Twoim klientom otrzymywanie aktualizacji GP, faktem jest, że obiekt GPO Drive Map już zastosował się co najmniej raz do danych klientów i NIE POTRZEBUJE ponownego zastosowania po każdym ponownym uruchomieniu (nawet jeśli tak się dzieje) w celu wykonania mapowanie.

Oczywiście będziesz chciał przetestować każdą opcję niezależnie od drugiej, ale niezależnie od tego, która opcja może, ale nie musi działać, ta linia rozumowania wydaje się być zbliżona do podstawowej przyczyny problemu.

El Zilcho
źródło
To nie wyjaśnia, dlaczego mój Windows 8.1 Pro -> klienci Windows 10 nie mają problemu, ale wszyscy moi klienci z czystą instalacją Windows 10 mają problem. O ile mi wiadomo, fastboot nie zmienił się znacząco z 8 do 10, ale hartowanie UNC zmieniło się z domyślnego wyłączonego na domyślny włączony.
Daniel
Przyznaję, że musiałem dokonać szybkiej lektury, aby nieco przyspieszyć proces hartowania w UNC. Jednak po sprawdzeniu lokalnego GP, który dołączyłem do klienta Windows 10, który mam, a także domyślnych GP mojej domeny 2008R2 (bez klientów Win10), mogę śmiało powiedzieć, że hartowanie UNC nie jest domyślnie włączone. Co więcej, wszystkie informacje, które przeczytałem dziś rano, stwierdzają, że nawet JEŚLI włączysz Hartowanie UNC, nadal jest to polityka integracyjna. Oznacza to, że wszelkie ścieżki UNC, które wprowadzisz do polityki, zostaną zahartowane. Wszystkie inne ścieżki pozostają nieutwardzone.
El Zilcho