У нас есть проблема, из-за которой некоторые компьютеры, кажется, не подхватывают все свои объекты групповой политики. При просмотре в редакторе управления групповыми политиками мы видим множество объектов групповой политики «красный крестик», «файл не найден» (и в которых не указано, какой объект групповой политики они представляют).
Немного о нашей среде, у нас есть 4 контроллера домена на функциональном уровне Server 2008 R2. 2 контроллера домена — это локальные серверы Server2k8R2, 2 других — это удаленные экземпляры AWS EC2, на которых работает Server 2016.
Запуск «net share» показывает, что NETLOGON и SYSVOL совместно используются по РАЗНЫМ путям для двух контроллеров домена 2K8R2 и контроллеров домена 2K16 (я не знаю, является ли это проблемой).
Server2016 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL\sysvol
Server 2008 R2 DCs show these paths:
NETLOGON - C:\Windows\SYSVOL_DFSR\sysvol\superior.local\SCRIPTS
SYSVOL - C:\Windows\SYSVOL_DFSR\sysvol
Во всех случаях C:\Windows\SYSVOL\sysvol пуст, за исключением папки domain.local.
Запуск «DCDIAG» показывает сбой теста «SystemLog» для всех четырех и предупреждения в тесте DFSREvent:
AWSDC01 & AWSDC02:
SystemLog test-
"The Netlogon service encountered a client using RPC signing instead of RPC sealing".
"The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account.
DFSREvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
"
OnSite-DC1:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
SystemLog test - "An error event occurred. Event ID 0xC2000001. Unexpected failure. Error code 490@01010004"
OnSite-DC2:
DFRSEvent test - "There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause problems with group policy"
and
"This computer could not authenticate with \\AWSDC01.domain.local, a Windows domain controller for domain DOMAINNAME, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized."
Некоторые дополнительные замечания:
-Event viewer logs (on on-site DC1 and on-site DC2) under application and services > DFS replication show only information about replication between each other. No mention of replication between the AWS DC's.
- Every hour the on-prem DCs show a DFS error "the dfs replication service is stopping communication with partner {other on-prem DC} for replication group Domain System Volume due to an error. Error 9036.
AWS DC02 only shows error logs regarding DFS replication with on-prem DC02. Same error 9036 "replication service stopping due to an error".
AWS DC01, same thing - only shows logs regarding DFS replication with on-prem DC01. Error 9036 "replication service stopped due to an error".
Любая идея, что может происходить здесь, или где искать дальше?
лук