Контроллер домена Samba4, сбои обработки групповой политики, gpupdate сбои
Я использую контроллер домена Samba4, и на машинах, соединенных с доменом, я вижу это сообщение:
The processing of Group Policy failed. Windows attempted to read the file \\mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
Выполнение gpupdate дает мне ту же ошибку. Если я открываю поле выполнения и тип notepad \\mydomain.org\sysvol\mydomain.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini, Я открыл Блокнот с файлом в нем. Содержание - они:
[General]
Version=14
Очевидно файл существует и доступен (администратором домена, так или иначе). Название mydomain.org решает к IP-адресу моего контроллера домена. Если я работаю GPRESULT /H GPReport.html, получающийся файл говорит:
Group Policy Infrastructure failed due to the error listed below.
Access is denied.
Note: Due to the GP Core failure, none of the other Group Policy components processed their policy. Consequently, status information for the other components is not available.
Я проверил ACL через smbcacls на доменной папке под долей sysvol и получил этот вывод:
pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org -U administrator@mydomain.org
Enter administrator@mydomain.org's password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Administrator
GROUP:BUILTIN\Administrators
ACL:BUILTIN\Administrators:ALLOWED/OI|CI/FULL
ACL:BUILTIN\Server Operators:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
Если я пытаюсь получить ACLs на самом файле gpt.ini, я получаю это:
pi@dc-rpi1 ~ $ smbcacls //mydomain.org/sysvol mydomain.org/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/gpt.ini -U administrator@mydomain.org
Enter administrator@mydomain.org's password:
REVISION:1
CONTROL:SR|PD|DP
OWNER:MYDOMAIN\Domain Admins
GROUP:MYDOMAIN\Domain Admins
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:MYDOMAIN\Enterprise Admins:ALLOWED/OI|CI/FULL
ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
ACL:MYDOMAIN\Domain Admins:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\SYSTEM:ALLOWED/OI|CI/FULL
ACL:NT AUTHORITY\Authenticated Users:ALLOWED/OI|CI/READ
ACL:NT AUTHORITY\ServerLogon:ALLOWED/OI|CI/READ
Почему обработка групповой политики не будет работать? Разве ACLs не работают, потому что мой DC не выполняет правильную файловую систему или некоторую другую неясную проблему конфигурации?
Я запустил samba-tool ntacl sysvolreset, что заняло несколько секунд, а затем повторил команду smbcacls. Выход не изменился, но gpupdate больше не дает сбой. Ха.
Я уже сталкивался с этим раньше в моем гибридном домене с Samab4 и Windows. В конечном итоге проблема заключалась, по крайней мере, в моем случае, в том, что общий ресурс sysvol не синхронизировался между контроллерами домена. В моем случае мой сценарий синхронизации перестал работать, и на одном контроллере домена был объект групповой политики, а на другом - нет. Я исправил проблему с синхронизацией, и все вернулось к норме.
Надеюсь, это кому-то поможет.