Групова політика: Картовані накопичувачі не завантажуються, Windows Server 2012 Active Directory та Windows Pro 10

Мережа:

• Домен на декількох сайтах.
• Кожен сайт має 2 локальних (на сайті, одна і та ж підмережа) контролерів домену Windows Server 2012 R2.
• Сайти правильно визначені в Сайтах і службах Windows.
• Записи DNS для кожного сайту ТІЛЬКИ мають два локальних DNS-сервери.
• ВСІ клієнти - це Windows 10 Pro 64-бітний з усіма оновленнями.
• Обидві мережі є повністю гігабітними, що працюють на комутаторах Cisco із сертифікованим кабелем CAT6.
• Кожен сайт має локальний (на сайті, одна і та ж підмережа) сервер зберігання даних Synology.
• У рамках групової політики два мережеві накопичувачі відображаються на спільних ресурсах на сервері Synology.

Діагностика підключення:

• dcdiag /test:dns /v /c /eзвіти PASSдля ВСІХ серверів та ВСІХ тестів
• echo %logonserver% завжди повертає локальний постійний струм
• nltest /dsgetdc завжди показує локальний постійний струм і правильний локальний IP
• На сайті A з'являються обидва мережеві диски, можливо, 0,5% шанс виходу з ладу (у мене виникли кілька завантажень, де накопичувачі не відображаються правильно).

Проблема:

На сайті B мережеві накопичувачі не відображаються, можливо, 30% часу. Іноді це обидва приводи, іноді це те чи інше. Проблема здебільшого випадкова, і, схоже, не підпадає під жодного конкретного користувача чи Workstation.

Симптоми:

З 30% випадків, коли проблема виникає:

• 5% часу a gpupdateабо gpupdate /forceвирішить проблему, і накопичувачі відразу з’являться. Якщо gpupdateне працює з першої спроби, вона майже ніколи не працюватиме після цього (для цього завантаження)
• 5% часу a gpupdateабо gpupdate /forceпризведе до появи лише одного диска
• 20% часу програма gpupdateне виправить проблему, але наступне завантаження буде нормальним
• У 50% випадків gpupdateпроблема не виправить проблему, але після однієї завантаження та іншої gpupdate з'являться диски

• 20% часу знадобиться кілька перезавантажень (і gpupdateдля кожного завантаження) до появи дисків. Іноді це 2 черевики, але мені доводилося рідко перезавантажувати комп’ютер, іноді 6 чи 7 разів до появи дисків.

  • За останні 20% часу я інколи отримуватиму помилки з процесу gpupdate.

    The processing of Group Policy failed. Windows attempted to read the file 
    \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
    from a domain controller and was not successful. Group Policy settings may not be 
    applied until this event is resolved. This issue may be transient and could be 
    caused by one or more of the following:  
    
    a) Name Resolution/Network Connectivity to the current domain controller.  
    b) File Replication Service Latency (a file created on another domain controller 
       has not replicated to the current domain controller).  
    c) The Distributed File System (DFS) client has been disabled.
    

  • Ця помилка насправді, як правило, але не завжди, є хорошим знаком, тому що зазвичай після того, як я отримаю цю помилку, наступний ´gpupdate´ або наступний завантажувач та „gpupdate“ змусить накопичувати диски знову.

Діагностика карти диска:

1. gpresult /h gpresult.html показує:

   Drive Map (Drive: X)
    The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
      X:
       Winning GPO  DriveMaps 
        General Settings
         Result: Success
   

2. Я ввімкнув ведення журналу налагодження групової політики (за http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx створений запис реєстру [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). Файл журналу в c:\Windows\debug\UserMode\gpsvc.logмені не показав явних помилок, і мені не вдалося знайти багато допомоги через google. Ось кілька цікавих повідомлень, які я отримав:

   GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
   GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
   GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
   

3. Я ввімкнув налагодження налаштувань групової політики на Картах Диска (відповідно до http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx набір Drive Map Policy Processingдля Enabledі включений Event Loggingу властивостях \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). Файл журналу C:\ProgramData\GroupPolicy\Preference\Trace\User.logне повернув жодних помилок.

   2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
   2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
   2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
   2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
   2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
   

4. У мене також є кілька захоплених логіном записів для входу з накопичувачами, які не завантажуються, але в захопі є стільки інформації, що я не знаю, з чого почати.

5. Якщо після невдалого входу в систему я спробую перейти безпосередньо до цього \\SynologyServer\ShareName\, частка завжди завантажується негайно, без помилок. Немає ознак проблем з підключенням або дозволом.

Питання:

Чому ця проблема трапляється так часто на одному сайті, але майже ніколи на іншому сайті, коли обидва знаходяться в одному домені, мають однакову політику і працюють одне і те ж програмне забезпечення?

Єдиною різницею програмного забезпечення, яку я можу придумати, є те, що на сайті A всі комп'ютери працювали під керуванням Windows 8.1 Pro та були оновлені до Windows 10 Pro, тоді як на сайті B усі комп'ютери мають нові інсталяції Windows 10 Pro.

Оскільки у мене майже немає представника, я ще не можу задавати питання, тому спробую задати питання, публікуючи відповідь, і сподіваюся, що я не отримаю консерви. ;)

Я припускаю, що ви застрахували, що частина цієї групи справ не є проблемою, протестувавши цю групову групу на "традиційну" акцію UNC в іншій системі Windows. Важлива інформація, яка відсутня, хоча, на мою думку, - це приєднання пристроїв Synology до домену. У багатьох підрозділах NAS на базі Linux, таких як Synology, QNAP та ін., Є вбудовані програмні компоненти, які дозволяють їм брати участь у доменах Active Directory. Незалежно від того, чи цей пристрій бере участь у домені, це впливає на рішення.

При цьому, у мене в мережі віддалені засоби, пов'язані між собою із схемами T1. Ми вимагаємо використовувати резервні копії зображень Acronis у всіх системах через системні вимоги. Таким чином, віддалене резервне копіювання зображень на кількох ГБ робочих станцій Windows через T1 не є стартером. Тож ми розмістили підрозділи Drobo NAS на кожному локальному сегменті, щоб подолати це і дати нам трохи відмовостійкості. Ці конкретні Drobos не мають можливості брати участь у домені AD.

Щоб включити акції UNC як налаштовані, нам довелося встановити дві основні речі. По-перше, ми створили статичні записи DNS на серверах DNS для забезпечення належного дозволу імен. По-друге, нам довелося «послабити» дві політики, які DISA зазвичай рекомендує для більшості членів домену. Ми розслабили цю політику лише на резервному сервері, а робочі станції створювали резервні копії на сайтах "повільної посилання", оскільки це були єдині системи, які потребували доступу до відповідних спільних ресурсів:

• Конфігурація комп'ютера \ Налаштування Windows \ Налаштування безпеки \ Параметри безпеки:
  • Мережевий клієнт Microsoft: Зв'язок із цифровим підписом (завжди) = Вимкнено
  • Мережевий клієнт Майкрософт: Надішліть незашифрований пароль на сторонні сервери SMB = Увімкнено
  • Мережевий сервер Microsoft: Зв'язок із цифровим знаком (завжди) = Вимкнено

Групові організації для "Цифрового підпису комунікацій, якщо проходять переговори" все ще встановлені на "Увімкнено", зменшуючи трохи ризику для безпеки. Як тільки ми ввімкнули ці зміни, до акцій можна було негайно отримати доступ до UNC-шляху, тоді як раніше це було неможливо.

Ось чому я говорив раніше, що залежно від того, чи можуть ваші NASS брати участь у домені чи ні, визначає шлях рішення. Якщо вони можуть брати участь, то політика DNS та групи "SMB" повинна бути для вас проблемою, і, отже, рішення лежить в іншому місці. Якщо вони не можуть брати участь (як мої NASes), то це може бути вашим рішенням.

Ну, я знайшов ці теми, і це звучить як майже однакова ситуація з моєю:

Windows 10: Групова політика не застосовується безпосередньо після завантаження, успішно працює пізніше

Відображені на карту накопичувачі Windows 8.1 / 10 не підключаться

Мабуть, ця проблема спричинена тим, що Microsoft включив UNC Hardening у Windows 10 за замовчуванням. Це для усунення недоліків безпеки, але, мабуть, ненавмисно спричиняє неналежне встановлення Mapped Drive. Не дивно, що, здається, Microsoft ще не вирішила цю помилку (чи вони є?)

Це також пояснює, чому у мене не було проблем на сайті A. Оскільки всі комп'ютери там були оновлені з Windows 8.1 Pro до Windows 10, я припускаю, що налаштування щодо UNC Hardening перенесено з Windows 8 і не працює , тоді як комп'ютери зі свіжими установка Windows 10 використовувала за замовчуванням UNC Hardening на .

Я ще не намагався вирішити цю проблему, але здається, що вона занадто досконала, щоб підходити до моїх симптомів, щоб не мати значення. Мене хвилює рішення, яке відкриє мою систему до більшої кількості загроз безпеці, тому я шукаю альтернативи. Мені не подобається ідея встановлювати це за допомогою групової політики, і мені цікаво, чи можна вимкнути UNC Hardening за допомогою редагування реєстру лише вручну. Я хочу спершу експериментувати на кількох комп’ютерах, перш ніж вирішити, що робити далі. Однак зараз я можу знайти лише кроки щодо зміни налаштувань через GPO або GPP ...

Будь-які думки?

Я просто хочу це оновити і сказати, що в якийсь момент одне з основних оновлень Windows 10 вирішило цю проблему. Це давнє запитання, але мені не подобається залишати речі висячими, про всяк випадок.

Прочитавши все, що ви надали в оновленнях Daniel, я б фактично припустив, що загартовування UNC, хоча і пов'язане, не є першопричиною тут, і що це, власне, може бути опція "fastboot". . Вся ця інформація про загартовування UNC стосувалась акцій SYSVOL та NETLOGON, що за замовчуванням загартовувалися. Хоча ця проблема заважає вашим клієнтам отримувати оновлення GP, факт полягає в тому, що GPO Drive Map вже принаймні один раз застосовувався до відповідних клієнтів і не потребує повторної подачі заявки після кожного перезавантаження (навіть якщо це відбувається) для виконання. відображення

Очевидно, ви хочете перевірити кожен варіант незалежно від іншого, але незалежно від того, який варіант може працювати, а може не працювати, цей рядок міркувань виявиться близьким до першопричини вашої проблеми.