dcdiag /test:dns /v /c /e отчеты PASS для ВСЕХ серверов и ВСЕХ тестовecho %logonserver% всегда возвращает локальный DCnltest /dsgetdc всегда показывает локальный DC и правильный локальный IPНа сайте B сетевые диски не отображаются примерно в 30% случаев. Иногда оба влечения, иногда одно или другое. Проблема в основном случайная и, похоже, не связана с каким-либо конкретным пользователем или рабочей станцией.
Из 30% времени, когда возникает проблема:
gpupdate или gpupdate /force устранит проблему, и диски сразу появятся. Если gpupdate не работает с первой попытки, почти никогда не будет работать после этого (для этой загрузки)gpupdate или gpupdate /force вызовет появление только одного дискаgpupdate не решит проблему, но при следующей загрузке все будет в порядкеgpupdate не решит проблему, но после одной загрузки и другой gpupdate, диски появятся20% времени это займет множественный перезагружается (и gpupdate для каждой загрузки) до появления дисков. Иногда это 2 загрузки, но мне приходилось редко перезагружать компьютер, иногда 6 или 7 раз, прежде чем появятся диски.
В течение последних 20% времени я иногда получаю ошибки из-за процесса gpupdate.
The processing of Group Policy failed. Windows attempted to read the file
\domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini
from a domain controller and was not successful. Group Policy settings may not be
applied until this event is resolved. This issue may be transient and could be
caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller
has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
На самом деле эта ошибка обычно но не всегда хорошо подписать, потому что обычно после того, как я получаю эту ошибку, следующая «gpupdate» или следующая загрузка и «gpupdate» заставят диски снова появиться.
gpresult /h gpresult.html показывает:
Drive Map (Drive: X)
The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
X:
Winning GPO DriveMaps
General Settings
Result: Success
Я включил ведение журнала отладки среды групповой политики (для http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx создана запись в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics]
"GPSvcDebugLevel"=dword:00030002). Файл журнала в c:\Windows\debug\UserMode\gpsvc.log не показал мне каких-либо явных ошибок, и я не смог найти большую помощь через Google. Вот несколько интересных сообщений, которые я получил:
GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.
GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057.
GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
Я включил отладку настроек групповой политики для карт дисков (согласно http://blogs.technet.com/b/askds/archive/2008/07/18/enables-group-policy-preferences-debug-logging-using-the-rsat.aspx устанавливать Drive Map Policy Processing к Enabled и включил Event Logging в свойствах \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing ). Файл журнала в C:\ProgramData\GroupPolicy\Preference\Trace\User.log не вернул никаких ошибок.
2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
У меня также есть несколько захватов netmon входа в систему с дисками, которые не загружаются, но захват содержит так много информации, что я не уверен, с чего начать.
Если после неудачного входа в систему я попытаюсь перейти непосредственно к \\SynologyServer\ShareName\, доля всегда загружается сразу без ошибок. Нет никаких признаков проблем с подключением или разрешением.
Почему эта проблема возникает так часто на одном сайте, но почти никогда на другом, когда оба находятся в одном домене, имеют одинаковую политику и используют одно и то же программное обеспечение?
Единственное различие в программном обеспечении, о котором я могу думать, заключается в том, что на сайте A все компьютеры работали под управлением Windows 8.1 Pro и были обновлены до Windows 10 Pro, тогда как на сайте B на всех компьютерах были установлены свежие установки Windows 10 Pro.
Я просто хочу обновить это и сказать, что в какой-то момент одно из основных обновлений Windows 10 устранило эту проблему. Это старый вопрос, но я не люблю оставлять вещи в подвешенном состоянии, на всякий случай.
Что ж, я нашел эти темы, и это похоже на мою ситуацию:
Windows 10: групповая политика не применяется сразу после загрузки, успешно применяется позже
Диски с сопоставлением GPO в Windows 8.1 / 10 не подключаются
По-видимому, эта проблема вызвана тем, что Microsoft по умолчанию включила защиту UNC в Windows 10. Это сделано для устранения недостатка безопасности, но, по-видимому, непреднамеренно приводит к ненадежному подключению подключенных дисков. Неудивительно, что Microsoft еще не исправила эту ошибку (или они уже есть?)
Это также объясняет, почему у меня не было проблем на сайте A. Поскольку все компьютеры там были обновлены с Windows 8.1 Pro до Windows 10, я предполагаю, что настройки, касающиеся защиты UNC, были перенесены из Windows 8 и остались выключен, тогда как на компьютерах с новой установкой Windows 10 по умолчанию использовалась защита UNC. на.
На самом деле я еще не пробовал решение, но оно кажется слишком подходящим для моих симптомов, чтобы не иметь отношения к делу. Меня беспокоит решение, которое откроет мою систему для большего количества угроз безопасности, поэтому я ищу альтернативы. Мне не нравится идея устанавливать это с помощью групповой политики, и мне интересно, можно ли отключить защиту UNC только с помощью ручного редактирования реестра. Я хочу сначала поэкспериментировать на нескольких компьютерах, прежде чем решать, что делать дальше. Однако в настоящее время я могу найти только шаги для изменения настройки через GPO или GPP ...
Есть предположения?
Поскольку у меня почти нет представителя, я пока не могу задавать вопросы, поэтому я попытаюсь задать вопрос во время публикации ответа и надеюсь, что меня не закончат. ;)
Я предполагаю, что вы убедились, что часть GPO в этом случае не является проблемой, проверив этот GPO на «традиционном» общем ресурсе UNC в другой системе Windows. Однако, на мой взгляд, важная недостающая информация заключается в том, присоединены ли устройства Synology к домену. Многие устройства NAS на базе Linux, такие как Synology, QNAP и др., Имеют встроенные программные компоненты, которые позволяют им участвовать в доменах Active Directory. Независимо от того, участвует ли это устройство в домене, влияет на решение.
При этом в моей сети есть удаленные объекты, связанные с цепями T1. Мы требуем использовать резервные копии образов Acronis на всех системах из-за системных требований. Таким образом, удаленное резервное копирование образов рабочих станций Windows объемом несколько ГБ через T1 не является начальным. Поэтому мы разместили устройства Drobo NAS в каждом локальном сегменте, чтобы преодолеть эту проблему и обеспечить некоторую отказоустойчивость. Эти конкретные Drobos не имеют возможности участвовать в домене AD.
Чтобы включить общие ресурсы UNC в соответствии с настройками, нам нужно было настроить две основные вещи. Во-первых, мы создали статические записи DNS на DNS-серверах, чтобы обеспечить правильное разрешение имен. Во-вторых, нам пришлось «ослабить» две политики, которые DISA обычно рекомендует для большинства членов домена. Мы только ослабили эти политики на сервере резервного копирования и резервных копиях рабочих станций на сайтах с «медленным подключением», поскольку это были единственные системы, которым требовался доступ к соответствующим общим ресурсам:
Для объектов групповой политики «Цифровая подпись сообщений, если согласовано» по-прежнему установлено значение «Включено», что немного снижает риск безопасности. Как только мы включили эти изменения, к общим ресурсам можно было сразу получить доступ по пути UNC, тогда как раньше это было невозможно.
Вот почему я сказал ранее, что путь решения зависит от того, могут ли ваши NAS участвовать в домене или нет. Если они могут участвовать, то DNS и групповые политики «SMB» не должны быть проблемой для вас, и, следовательно, решение будет искать в другом месте. Если они НЕ МОГУТ участвовать (например, мои NAS), это может быть вашим решением.
Прочитав все, что вы предоставили в обновлении, Даниэль, я бы предположил, что усиление защиты UNC, хотя и связанное, не является основной причиной здесь, и что на самом деле это может быть вариант «fastboot», который OP 2-го сообщения сказал, исправил его проблему. . Вся эта информация об усилении защиты UNC относится к общим ресурсам SYSVOL и NETLOGON, которые по умолчанию становятся усиленными. Хотя эта проблема может помешать вашим клиентам получать обновления GP, факт заключается в том, что GPO карты диска уже применен хотя бы один раз к рассматриваемым клиентам, и НЕ НУЖНО повторно применять после каждой перезагрузки (даже если это так) для выполнения отображение.
Очевидно, вы захотите протестировать каждый вариант независимо от другого, но независимо от того, какой вариант может работать или не работать, эта аргументация будет близка к основной причине вашей проблемы.