sysvol полномочия для одного или нескольких GPOS на этом контроллере домена не находятся в синхронизации с полномочиями для GPOS на базовом домене
Я недавно установил второй контроллер домена, и вся репликация, кажется, хорошо работает за исключением групповой политики - окна In 2012r2 через новое управление Групповой политикой, когда я нажимаю на "Detect Now", результаты показывают ACLs не в синхронизации с базовым доменом...
Среда:
DC1: Windows 2008 R2; DC2: Windows 2012 R2; Лес и Доменные Функциональные уровни: Windows 2003; Тип репликации: FRS;
Я выполнил dcdiag, посмотрели на журналы событий, repadmin/showrepl и т.д., и все кажется прекрасным, но групповые политики не будут синхронизировать …, я проверил sysvol ACL и в DC, и у них, кажется, есть те же полномочия … Также групповая политика, которую центральное хранилище копировало правильно (который является sysvol), …
Я нашел, что у кого-то еще есть эта проблема здесь http://sysadminconcombre.blogspot.com.au/2014/06/microsoft-dfs-r-problem-sysvol.html и разрешение, которое включило перезапуск DFSR …, но у меня есть FRS, так как DFL является 2003 :(
Мой вопрос, там какой-либо способ зафиксировать это, не мигрируя на DFSR, или я должен переместиться в DFSR сначала? … Все говорит, что я не должен перемещаться от FRS до DFSR без репликации, работающей 'отлично' ….
Любые предложения ценятся :)
Обновление: мне удалось это исправить, вручную применив sysvol ACL's для политик на обоих серверах... по каким-то причинам мне пришлось добавить группу domain\administrators в качестве полного контроля для каждой политики в разделе sysvol\policies, а затем она отлично синхронизировалась. ... все работает сейчас, и я посмотрю на миграцию в DFRS позже, когда мы сможем обновить DFL, Cheers
Кто-нибудь еще видит эту проблему - если у вас только одна или две политики, возможно, будет быстрее создать резервную копию параметров, удалить их все, а затем добавить их обратно, что будет иметь тот же эффект.
.У меня была такая же проблема при использовании функции «Определить сейчас». Каждый раз, когда я изменял фильтрацию безопасности для объекта групповой политики, списки ACL для sysvol отображали проблему. На одном DC политика в sysvol изменила разрешение, а на другом - нет. Так было больше часа. Потом, когда на следующий день пришел на работу, все было хорошо. В моем случае кажется, что репликация разрешений занимает много времени, но новый объект групповой политики реплицируется мгновенно, когда он создается.
В моем тестовом домене только с несколькими объектами GPO (в моем реальном домене есть manay) я получаю ту же ошибку, когда обнаруживаю сейчас; однако, когда я закрываю и снова открываю GPMC, все снова в порядке.
У меня была аналогичная проблема с нашей средой, и я просто обнаружил, что списки ACL плохо отображались только на ОЧЕНЬ СТАРОХ объектах групповой политики (более 10 лет). Я просто удалил их, так как они больше не использовались, и теперь все серверы отображаются синхронно.Это заставляет меня думать, что это не поможет решить мою проблему с невозможностью применения машинных групповых политик к машинам, но посмотрим! Удачи!
Это происходит, когда GPO изменился на локальном компьютере, но событие репликации не завершилось на другие участвующие контроллеры домена. Вы можете форсировать репликацию на другие контроллеры домена в лесу "Get-ADDomainController -Filter * | %{repadmin /syncall /edjQSA $_.hostname}" или просто подождать 15-20 минут и обновить GPMC. Это специально разработано и обычно решается в следующем цикле репликации
.Старые вопросы, но по-прежнему занимают высокие места, поэтому я подумал, что могу вмешаться. У меня только что была эта проблема с одним из наших контроллеров домена, он показывал такие ошибки, как «Номера версий для одного или нескольких объектов групповой политики на этом контроллере домена не синхронизированы с версиями для объектов групповой политики на базовом контроллере домена». или даже «Active Directory или SysVol недоступны на этом контроллере домена или объект отсутствует».
В конце концов, простая перезагрузка неисправного контроллера домена решила проблему. Если я нажму «Обнаружить сейчас», теперь все будет синхронизировано. Просто то, что вы можете попробовать, прежде чем копаться в журналах.