Ошибка выдачи обновления групповой политики AD
Итак, вся среда находится в AWS. У меня есть 2 VPC A и B - A имеет AD, а B имеет несколько серверов, присоединенных к домену. Присоединение к домену и другие соединения AD работают через пиринг VPC. Я могу успешно войти с помощью администратора домена на серверы VPC B (хотя есть небольшая задержка). В AD я добавил всех пользователей в группу пользователей удаленного рабочего стола,но другие пользователи домена могут войти на сервер, только если их учетные данные домена добавлены в группу пользователей удаленного рабочего стола локального сервера. Я знаю, что это неправильный путь. Когда я проверяю rsop, я вижу, что групповая политика домена наследуется, но когда я пытаюсь обновить групповую политику (gpupdate, появляется ошибка:
Не удалось успешно обновить политику компьютера. Были обнаружены следующие ошибки:
Не удалось обработать групповую политику. Windows не удалось разрешить имя компьютера. Это могло быть вызвано одной из следующих причин: a) Ошибка разрешения имени на текущем контроллере домена. b) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:
Ошибка обработки групповой политики. Windows не смогла разрешить имя пользователя. Это могло быть вызвано одной из следующих причин: a) Ошибка разрешения имени на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).
Может ли кто-нибудь помочь мне понять, в чем проблема? Любая помощь будет принята с благодарностью.
В AD я добавил всех пользователей к пользователям удаленного рабочего стола группы, но другие пользователи домена могут войти на сервер, только если их учетные данные домена добавляются на локальный сервер пользователей удаленного рабочего стола группа. Я знаю, что это неправильный путь.
На самом деле это правильный путь. Членство в группе пользователей удаленного рабочего стола домена дает возможность входить на контроллеры домена через службы удаленных рабочих столов. Эта группа домена не предоставляет возможность входа членам домена через службы удаленных рабочих столов.
Что касается проблемы обработки вашей групповой политики, какие члены домена используют для DNS (в свойствах TCP / IPv4 сетевой карты)? Что контроллер домена использует для DNS (в свойствах TCP / IPv4 сетевой карты)?
Мы получали сообщение Ошибка обработки групповой политики. Windows не удалось разрешить имя компьютера. Проблема заключалась в том, что часы не синхронизировались. И они не будут синхронизироваться с AD, потому что они не синхронизированы (проблема безопасности?). В любом случае это была курица и яйцо.
Я принудительно синхронизировал часы с:
w32tm /config /manualpeerlist:"time.google.com" /syncfromflags:manual /reliable:yes /update
И gpupdate успешно запустился. Это может помочь вам.