GPO не применяется только к рядовым серверам - опубликуйте подробные сведения об устранении неполадок

Старая проблема с неприменением GPO, которая наблюдалась много раз раньше ...

С 29 апреля ни один из моих рядовых серверов не обрабатывает никакие GPO.

У меня был большой опыт управления AD и GPO, поэтому я публикую здесь после выполнения многих очевидных проверок. Мне эта проблема кажется немного странной:

Проверки выполнены:

• Никаких изменений в конфигурации не было сделано на момент остановки обработки GPO
• Все процессы GPO исправны на контроллерах домена (GPO не повреждены)
• Все объекты групповой политики имеют правильный статус, который можно применить к соответствующему компьютеру / конфигурации пользователя.
• Все GPO имеют соответствующее членство в системе безопасности для их применения (прошедшие проверку пользователи).
• Репликация домена работает нормально, ошибок нет (dcdiag, repadmin / replsum).
• Я даже могу использовать telnet на всех портах службы каталогов, необходимых для связи в домене.
• Все соответствующие службы работают как на членском сервере, так и на DC DNS, браузере компьютера, сервере, TCP / IP NETBIOS Helper и т. Д.
• Служба DFS-R работает на обоих контроллерах домена.
• FRS не используется, и служба отключена, но была отключена задолго до появления этой проблемы.
• DNS работает нормально и может разрешать имена контроллеров домена от рядового сервера.
• В сетевой карте присутствуют два контроллера домена в качестве DNS-серверов, и присутствуют DNS-суффиксы.
• Я могу перейти к файлу gtp.ini в общей папке sysvol в домене, используя полное доменное имя, но не могу открыть файл. Это указывает на проблему с разрешениями NTFS, но файл имеет разрешения на чтение и выполнение для аутентифицированных пользователей.
• Gpudate / force на сервере показывает ту же ошибку, что и ниже (EventID: 1058).
• Gpresult / r не показывает никаких проблем, и все, что нужно применить, присутствует.
• Доступ не запрещен ни к одному из мест, пытающихся получить доступ.
• Аутентификация работает нормально.
• Время и дата не рассинхронизируются ни на одном рядовом сервере.

Несмотря на то, что просмотр \ domain.local \ sysvol \ domain.local \ policy \ и через него возможен, поначалу ответ очень медленно. Это улучшается после первого перебора.

Тот факт, что они отлично обрабатывают DC, указывает на проблему с брандмауэром, и в настоящее время я разговариваю с нашей командой поддержки в центре обработки данных, чтобы узнать, не пропало ли что-нибудь там.

Ошибки, обнаруженные в журнале событий приложений рядового сервера, карты дисков групповой политики: 4098

Элемент предпочтения пользователя «G:» в «Сопоставлениях дисков {FF057D4C-4453-4B05-9617-28DA586479B1}» Объект групповой политики не был применен из-за сбоя с кодом ошибки «0x80070005 Доступ запрещен». Эта ошибка была подавлена.

Журнал системных событий Microsoft-Windows-GroupPolicy EventID: 1058

Ошибка обработки групповой политики. Windows попыталась прочитать файл \ domain.local \ SysVol \ domain.local \ Policies {FF057D4C-4453-4B05-9617-28DA586479B1} \ gpt.ini с контроллера домена, но безуспешно. Параметры групповой политики не могут применяться, пока это событие не будет разрешено. Эта проблема может быть временной и может быть вызвана одним или несколькими из следующих факторов: a) Разрешение имен / сетевое подключение к текущему контроллеру домена. б) Задержка службы репликации файлов (файл, созданный на другом контроллере домена, не реплицирован на текущий контроллер домена). c) Клиент распределенной файловой системы (DFS) отключен.

Идентификатор события Microsoft-Windows-GroupPolicy: 1085

Windows не смогла применить параметры запланированных задач групповой политики. Параметры запланированных задач групповой политики могут иметь собственный файл журнала. Щелкните ссылку «Дополнительная информация».

Журнал операций GroupPolicy Microsoft-Windows-GroupPolicy, идентификатор события: 7017

Системные вызовы для доступа к указанному файлу завершены. \ domain.local \ SysVol \ domain.local \ Policies {42A99E50-622B-4CCA-B7AF-30F44916599D} \ gpt.ini Вызов завершился неудачно через 113782 миллисекунды.

В журнале трассировки GroupPolicy на локальном сервере я постоянно вижу следующую ошибку:

0x80070040 "Указанное сетевое имя больше не доступно

Единственное изменение программного обеспечения, внесенное на всех серверах, произошло 28 апреля, когда я удалил McAfee VSE и установил клиент TrenMicro OfficeScan 11, но не вижу никаких событий, связанных с остатками McAfee. С тех пор я также удалил OfficeScan 11, чтобы проверить и убедиться, что причина не в этом. Я думаю, что это просто совпадение, но я буду искать дальше.

Ошибки журнала системных событий начали появляться в 09:09 29-го числа, тогда как удаление и установка AV произошли в 16:46 накануне.

В любом случае, может ли кто-нибудь увидеть что-то, что я пропустил в рамках устранения неполадок?