Я недавно установил второй контроллер домена, и вся репликация, похоже, работает нормально, за исключением групповой политики - в Windows 2012r2 через новое управление групповой политикой, когда я нажимаю «Определить сейчас», результаты показывают, что списки управления доступом не синхронизированы с базовым уровнем домен...
Окружающая среда:
DC1: Windows 2008 R2; DC2: Windows 2012 R2; Функциональные уровни леса и домена: Windows 2003; Тип репликации: FRS;
Я запустил dcdiag, просмотрел журналы событий, repadmin / showrepl и т. Д., И все вроде нормально, но групповые политики не синхронизируются ... Я проверил ACL sysvol на обоих контроллерах домена, и они, похоже, имеют одинаковые разрешения ... Также центральная групповая политика хранилище реплицировалось правильно (это sysvol)…
Я обнаружил, что у кого-то еще есть эта проблема http://sysadminconcombre.blogspot.com.au/2014/06/microsoft-dfs-r-problem-sysvol.html и разрешение, которое включало перезапуск DFSR… но у меня есть FRS, так как DFL - 2003 :(
У меня вопрос: есть ли способ исправить это без перехода на DFSR или мне сначала нужно перейти на DFSR? … Все говорит о том, что я не должен переходить с FRS на DFSR, если репликация работает «отлично»….
Любые предложения приветствуются :)
Обновление: мне удалось исправить это, вручную применив ACL sysvol для политик на обоих серверах ... по какой-то причине мне пришлось добавить группу domain \ administrators в качестве полного контроля для каждой политики в sysvol \ policy, а затем она отлично синхронизировалась. ... все работает сейчас, и я посмотрю, как перейти на DFRS позже, когда мы сможем обновить DFL, Ура
Любой другой, кто сталкивается с этой проблемой - если у вас есть только одна или две политики, возможно, будет быстрее создать резервную копию настроек, удалить их все, а затем снова добавить их, что даст тот же эффект.
Это происходит, когда объект групповой политики был изменен на локальном компьютере, но событие репликации не завершилось для других участвующих контроллеров домена. Вы можете принудительно выполнить репликацию на другие контроллеры домена в лесу «Get-ADDomainController -Filter * |% {repadmin / syncall / edjQSA $ _. Hostname}» или просто подождать 15-20 минут и обновить GPMC. Это сделано намеренно и обычно разрешается в следующем цикле репликации.
У меня была такая же проблема при использовании функции "Обнаружить сейчас". Каждый раз, когда я менял фильтрацию безопасности для объекта групповой политики, списки ACL для sysvol отображали проблему. На одном DC политика в sysvol изменила разрешения, а на другом - нет. Так было больше часа. Потом, когда на следующий день пришел на работу, все было хорошо. В моем случае кажется, что репликация разрешений занимает много времени, но новый объект групповой политики реплицируется мгновенно, когда он создается.
В моем тестовом домене только с несколькими объектами GPO (в моем реальном домене есть manay) я получаю ту же ошибку, когда обнаруживаю сейчас; однако, когда я закрываю и снова открываю GPMC, все снова в порядке.
У меня была аналогичная проблема с нашей средой, и я просто обнаружил, что ACL плохо отображаются только на ОЧЕНЬ СТАРОХ объектах групповой политики (более 10 лет). Я просто удалил их, так как они больше не использовались, и теперь все серверы отображаются синхронно. Это наводит меня на мысль, что это не поможет решить мою проблему с невозможностью применения машинных GPO к машинам, но посмотрим! Удачи!