none
AD域策略无法下发到部分用户 RRS feed

  • 问题

  • 各位微软工程师,

    大家好

    我的环境中,遇到如下问题。

    现在有2个AD域控,都是安装的VM Ware虚拟化环境中。在上周将虚拟化环境升级后,两台域控都做过迁移的动作。

    域控开机后,现场的客户端出现无法登陆的状态,与域控的信任出现丢失。还原到半个月前的快照后,sysvol和netlogon的文件夹共享丢失。重建这两个文件夹后并共享出来,客户端能够正常登陆。目前使用VDI的用户不能更新域控的组策略信息,导致无法获取profile文件。更新时出现如下的报错,请查看下图。尝试过部分用户手动修改密码后,可以正常更新到组策略。不过还有用户在修改密码后不能正常更新的状态。请各位大神帮忙查看一下是什么问题,盼望尽快收到回复,谢谢。


    2020年10月12日 3:32

全部回复

  • 尊敬的用户您好,

    感谢您在我们论坛发帖

    • 首先我们排除问题是否和网络有关,运行命令确认客户端是否可以定位到可用的DC: nltest /dsgetdc: /force
    • 如果可以定位到DC,排除是否有sysvol文件夹有关。用问题的用户访问sysvol 文件夹确认是否获取的文件夹有问题(可与正常的user做比较):访问报错截图中的路径\\domain\sysvol\...\<guid>
    • 如果该问题机器定位到的sysvol文件夹有问题,怀疑sysvol复制有问题。参考如下连接进行检查:
    • https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/troubleshoot-missing-sysvol-and-netlogon-shares

    最好的祝福

    Vicky


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月12日 9:29
  • vicky ,你好!

    上述的测试我已经做了第一和第二步,发现都可以访问sysvol文件夹。我想知道这样的状态是否可以确定DC是正常没有问题的?

    还有我测试第二步时,发现GUID的文件夹有很多,我是否只要使用正常和不正常的用户去访问到\\domain\sysvol\domain\Policies就代表SYSVOL文件夹正常。

    2020年10月13日 6:02
  • Vicky,

    补充一下,刚刚做的测试中的截图,是环境里面正常能够更新组策略的机器去访问的,后续会再找一台不能更新组策略的机器去测试访问。如果机器不能正常更新组策略,那打开这个路径下的policies下的文件夹中显示的GUID的文件的数量,会不会与正常能够更新组策略的机器打开显示的文件列表不一致的?

    2020年10月13日 6:33
  • 是的, 需要找一台不正常的客户端机器去比较一下两者定位到的sysvol是否一致,因为他们可能来自不同的DC。
    如果在有问题的机器上不存在报错截图中提到的两个GUID的GPO,那么我们可以确定DC之间的sysvol不一致,sysvol复制存在问题。

    如果问题机器上存在这两个GPO的文件夹,点击进入文件夹,查看是否有权限访问文件夹中的内容。

    最好的祝福

    Vicky


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月14日 8:15
  • 今天使用有问题的客户端测试了,发现直接输入\\DOMIAN\后直接提示需要输入账户和密码,但输入后都无法访问。

    想问下,如果sysvol 和netlogon 文件夹共享丢失,我进入目录中把它们共享后,能正常使用吗?

    客户端会不会拿不到里面的策略或者访问不了里面的内容?

    2020年10月14日 9:42
    • 用nltest /dsgetdc: 命令去确认现在这台有问题的客户端是找的域中哪台DC获取数据
    • 去那台DC上面跑net share 再次确认netlogon 和 sysvol都正确share出来了。如果没有share出来参照以下步骤HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady 改为1手动share netlogon,确保share permission配置正确
    如果域内DC数量在可查范围内,查看是不是每一台DC下面 policies 文件夹下文件数量都一致。如果有DC缺失,列出那些DC并在下建立test文件夹 确认是否存在DFRS/FRS 复制问


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月15日 8:03
  • Vicky

    您好

    使用你提供的方法,能成功将文件夹可以共享出来,但是检查后发现,两台DC下的Policies的文件夹不一致。请问两台DC之间的DFRS/FRS 复制的问题,可以通过什么方式去修复?

    2020年10月16日 1:33
  • 非常好,我收藏了!
    2020年10月20日 6:24
    • 检查DC之间的sysvol复制是否正常
    • 在问题客户端手动访问报错的路径看是否能访问以及gpt.ini文件还在不在
    • 做过的DC迁移具体指代什么,sysvol的迁移还是DC升级

    最好的祝福

    Vicky


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月20日 7:11
  • 你好

    只是检查以查看所提供的信息是否有帮助。 如果您需要进一步的帮助,请告诉我们。

    最好的祝福,

    Vicky


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月22日 9:17
  • 好贴,收藏了。
    2020年12月2日 1:49
  • 硬货啊  收藏

    nn

    2020年12月4日 8:08