На выходных мы перевели серверы на новый контроллер домена, на котором были настроены объекты групповой политики для развертывания программного обеспечения. У всех наших клиентов были перезагружены ОС, поэтому они «свежие», и большинство из них установили программное обеспечение, но некоторые отказываются устанавливать какое-то программное обеспечение. Я получаю следующие ошибки:
Не удалось назначить приложение Adobe Reader XI из политики Adobe Reader. Ошибка была: %% 1274
Не удалось удалить назначение приложения Adobe Reader XI из политики Adobe Reader. Ошибка была: %% 2
Это происходит с Adobe Reader XI, LogMeIn и Google Chrome. Это тоже очень случайно. Я читал в Интернете и в SF, что проблема связана с асинхронным развертыванием, и я уже изменил настройку, чтобы дождаться подключения. В журнале событий я вижу дополнительные сообщения о невозможности вовремя связаться с контроллером домена, поэтому я предполагаю, что все это связано.
Это похоже на то, что настройка ожидания подключения применяется случайным образом. Я уже перезапустил файловый сервер, клиентов и запустил GPUPDATE несколько раз, но он ничего не делает, кроме как сообщает мне, что он должен установить программное обеспечение при следующей перезагрузке, чего никогда не происходит.
Могу ли я выполнить какой-либо другой способ устранения неполадок?
Не уверен, что это имеет значение, но все серверы - это Windows Server 2008 R2, а клиенты - все Windows 7. Клиенты также представляют собой смесь 32 и 64 бит, если это имеет значение ...
Итак, после очень долгого времени, когда я работал над этим, я обнаружил, что в моей сети есть несколько проблем. Во-первых, как предположил @joeqwerty, на коммутаторах есть проблема с STP. Из своего исследования я обнаружил, что как только порт на коммутаторе обновляется (например, при перезапуске компьютера), STP на нем перезапускается, и это может занять до 45 секунд. Через 45 секунд машина уже будет включена, но у нее возникнут проблемы с получением IP-адреса от DHCP-сервера, и оттуда он просто приведет к ошибкам.
Решение состоит в том, чтобы включить PortFast на коммутаторах, который настраивает порты на постоянную пересылку и позволяет избежать всего этапа обнаружения и назначения STP. Я также закончил тем, что просто отключил STP на каждом порту на каждом коммутаторе, который, как я знаю, является клиентским или серверным компьютером. Не уверен, что действительно что-то делает с включением PortFast, но мне становится легче. Не отключайте STP на портах, которые подключаются к другим коммутаторам, маршрутизаторам, шлюзам и т. Д.
Другой проблемой был также брандмауэр Windows. Мои объекты групповой политики полностью отключают брандмауэр, но служба все еще активна. Из своего исследования я обнаружил, что при загрузке компьютера присутствует псевдобрандмауэр, который контролируется службой, которая блокирует весь трафик до тех пор, пока Windows не будет полностью инициализирована, а служба перейдет под контроль Windows. Отключение службы еще больше улучшило доступ к сети во время загрузки машины.
В качестве меры безопасности я также обновил драйверы на всех клиентских и серверных машинах. Я также обновил прошивку сетевых адаптеров на всех серверах и коммутаторах. В качестве дополнительной хорошей меры я также обновил BIOS на всех машинах.
На данный момент вроде все работает нормально. Последнее, с чем я планировал поэкспериментировать, - это Jumbo Frames. Посмотрим, поможет ли это ...