Есть идеи, почему диагностическая утилита групповой политики GPOTool будет сообщать о несоответствии версий GPO между двумя контроллерами домена, если номера версий совпадают?
Policy {GUID}
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details:
------------------------------------------------------------
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version: 1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
------------------------------------------------------------
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version: 1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
Проблема вызвана несовпадением версий между DS политики контроллеров домена по умолчанию и частями Sysvol, а не различием между двумя DC. Ваши контроллеры домена синхронизированы друг с другом, но данные, которые они синхронизируют, не синхронизированы сами с собой. Что вы хотите сделать, так это установить для версий DS и Sysvol одинаковое значение. Чтобы быть в безопасности, идите с 1(user) 45(machine)
. Вам нужно будет ввести значение 65581
(1 * 65536 + 45 = 65581). открыто \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini
в блокноте и установить Version=65581
. Теперь, используя ADSIEdit, ADExplorer, adfind и т. Д., Перейдите к CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname
и установить versionnumber
к 65581
. Теперь идите на обед, а когда вернетесь, снова запустите GPOTool. Все номера версий должны указываться как 65581
и / или 1(user) 45(machine)
.
Примечание. Идентификатор GUID политики контроллеров домена по умолчанию всегда 6AC1786C-016F-11D2-945F-00C04FB984F9, но убедитесь, что это на самом деле GUID на случай, если кто-то переименовал его и создал другой объект групповой политики с тем же именем.
См. Следующие страницы для более подробного описания того, как рассчитываются и используются номера версий GPO:
Это не говорит о несовпадении версий ваших контроллеров домена, это говорит о том, что это один из ваших объектов групповой политики.
Вам необходимо отследить нарушающую политику ("Policy {GUID}") и в папке sysvol на ваших контроллерах домена перейти в ее папку (\ DC \ sysvol \ policy {GUID}) и проверить файл GPT.INI на обоих DC. В нем будет номер версии, и номер версии будет отличаться на разных контроллерах домена - это несоответствие версии, на которое он жалуется.
Исправление зависит от того, что именно вызвало несоответствие - вы можете исправить это, отредактировав номер версии в GPT.ini, или это может быть результатом более серьезной проблемы, например, неисправных наборов реплик FRS, настроек ACL для этого конкретного объекта групповой политики и т. д. Недостаточно информации, чтобы точно определить первопричину.
Я бы посмотрел, находится ли ваша среда AD в состоянии переноса журнала. Мы столкнулись с той же проблемой, и нам пришлось выполнить восстановление D2, чтобы вернуть все объекты групповой политики в согласованное состояние.