طریقه پاک کردن history یا cashe پالیسی در سیستم کلاینت
سلام و خداقوت محضر اساتید بزرگوار
بر روی ویندوز سرور 2012 r2 که دومین کنترلر نمی باشد سرویس wsus فعاله و این سرور جوین دامین می باشد
ویندوز سرور اصلی هم 2008 r2 می باشد
از طریق پالیسی تعریف شده تمام کلاینتها آپدیتها را دریافت می کنند اما خود سرور wsus نمیتونه این پالیسی را بگیره و در نتیجه اپدیت هم نمیشه
بعد از gpupdate /force پیغام زیر می آید
Computer policy could not be updated successfully. The following errors were enc
ountered:
The processing of Group Policy failed. Windows attempted to read the file \\test.com\SysVol\test.com\Policies\{EB639693-A447-4794-A307-C12374667E7E}\gpt.i
ni from a domain controller and was not successful. Group Policy settings may no
t be applied until this event is resolved. This issue may be transient and could
be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller
has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
User Policy update has completed successfully.
To diagnose the failure, review the event log or run GPRESULT /H GPReport.html f
rom the command line to access information about Group Policy results.
در گزارش event هم این پیغام میاد
System
- Provider
[ Name] Microsoft-Windows-GroupPolicy
[ Guid] {AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}
EventID 1058
Version 0
Level 2
Task 0
Opcode 1
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2019-04-15T07:36:42.168070600Z
EventRecordID 14232
- Correlation
[ ActivityID] {8AB6410B-9F65-43E3-9597-1CCFF083FF3B}
- Execution
[ ProcessID] 952
[ ThreadID] 1784
Channel System
Computer WSUS-2012.test.com
- Security
[ UserID] S-1-5-18
- EventData
SupportInfo1 4
SupportInfo2 912
ProcessingMode 0
ProcessingTimeInMilliseconds 672
ErrorCode 5
ErrorDescription Access is denied.
DCName DC-2008.test.com
GPOCNName cn={EB639693-A447-4794-A307-C12374667E7E},cn=policies,cn=system,DC=test,DC=com
FilePath \\test.com\SysVol\test.com\Policies\{EB639693-A447-4794-A307-C12374667E7E}\gpt.ini
1- چرا پیغام Access is denied میده
بعد از هر بار ری استارت کردن سرور wsus برای ارتباط با دومین از طریق test.com\\ پیغام یوزر و پس را وارد کنید میدهد که بعد از وارد کردن یوزر و پس ادمین به پوشه sysvol دسترسی پیدا می کند(در صورتیکه کلاینتها بدون مشکلی به پوشه sysvol دسترسی دارند و پسورد نمی خواهند)
پالیسی مربوطه که به این سرور لینک شده را حذف کردم ( اصل پالیسی سر جاشه چون کلاینتها بدون مشکل پالیسی را گرفتن) اما باز هم بعد از زدن gpupdate پیغام بالا را می دهد
گزارش گرفته شده با استفاده از GPRESULT /H GPReport.html هم نشون میده هیچ پالیسی را نمیتونه بگیره
2- چطوری میشه history یا cashe پالیسی در این سرور wsus را پاک کرد ؟( اگر وجود داشته باشه)
3- آیا باید اصل پالیسی را حذف کنم ؟
تشکر
7 پاسخ
سلام ، این خطا معمولا بعد از گذشت یک مدت زمان خاص و بعد از Restart کردن سرور برطرف میشه. ببینید از سرور WSUS میتونید DC رو با اسم Ping کنید ؟
خروجی دستور nslookup YourDCName چی هست ؟
چند تا DC تو شبکه دارید ؟ با هم به درستی Replicate می کنن ؟
Network Discovery توی دامین کنترلر فعال هست ؟ برای فعال کردن Network Discovery تعدادی سرویس باید فعال باشن. این لینک رو ببینید.
سرور WSUS توی کنسول ADUC توی OU درستش قرار داره ؟ در کنار کلاینت هایی که آپدیت میگیرن ؟
لطفا به سئوالات به درستی جواب بدید تا بتونیم راهنماییتون کنیم. متشکرم
منظور از مستند سازی یعنی هر تغییری را یادداشت کنم یا بک آپ گرفتن ازش را میفرمایید ؟
نه منظورم اینه که هر تغییری که توی شبکه انجام دادین رو یادداشت کنید که بهش میگن مستند سازی. در اصطلاح فنی Change Management یا مدیریت تغییرات هم گفته میشه. البته نا گفته نمونه که Backup گیری رو هم باید مستند سازی کنید اگه خواستید از دیتابیسی یا تنظیمات یه سرویس Backup بگیرید همه و همه از کوچکترین تغییر تا تغییرات اساسی باید مستند سازی بشن.
چه بخواید و چه نخواید برای اینکه مشکلتون حل بشه باید این کار رو انجام بدید. در ضمن در دامین جدید هر تغییری که توی اکتیودایرکتوری میدید رو حتما حتما حتما مستندسازی کنید. مطمئن باشید انجام مستندسازی بیشتر از 90 درصد مشکلات شبکه رو حل می کنه.
در سرور wsus
C:\Users\Administrator>nslookup dc-2008
Server: dc-2008.domain.test
Address: 192.168.144.20
Name: dc-2008.domain.test
Address: 192.168.144.20
====================================
دو تا DC در شبکه هست
اولی 2008 که اصلیه 192.168.144.20 ( پوشه های sysvol وnetlogon در درایو D ایجاد شده اند )
دومی 2012 که ادیشناله 192.168.144.30
Dns ها را هم ضربدری گذاشتم
فقط بعد از نصب ادیشنال پوشه های sysvol و netlogon در این سرور ایجاد نشد ( نمیدونم به خاطر این هست که این دو پوشه در سرور اصلی در درایو C نیستند یا مشکل از یه چیز دیگست )
(عملا سرور ادیشنال نمیتونه به تنهایی گروپ پالیسی را ایجاد و مدیریت کنه )
تو این سایت هم به آقای مهندس نصیری برای رفع مشکل خیلی زحمت دادم اما فایده نداشت
تست replicate را اگر منظورتون با این دستور باشه در هر دو سرور انجام دادم و همه was successful هستن
repadmin /showrepl
DC=test,DC=com<left>
<left> Default-First-Site-Name\DC-2012 via RPC
============================================================
Network Discovery فعال نبود => فعالش کردم
در ادیشنال هم باید این کار را انجام بدم ؟
============================================================
سرور WSUS توی کنسول ADUC در OU جداگانه قرار دارد ( چون نمیخوام همه پالیسی های مربوط به کلاینتها روی این سرور هم نصب و فعال شود- اما قبل از فرمایش شما این تست را هم کرده بودم و آن را به OU کلاینتها منتقل کردم اما هیچ پالیسی را نمیتونه بگیره == اما پیغام نمیده که نمیتونه دیگر پالیسی ها را هم بگیره فقط پیغامش مربوط به همین پالیسی wsus هست ، واسه همین گفتم شاید چیزی تو history یا cashe مونده باشه )
**** فقط یک نکته *****
در بعضی از کلاینتها از جمله سرور wsus وقتی نام دامین ( test.com ) را ping میگیرم reply from میشه از IP ادیشنال
نمیدونم توزیعش تو شبکه چطوریه اما بعضی از کلاینتها پینگ میشن به سرور اصلی و بعضی ها به سرور ادیشنال
همینطور وقتی Nslookup test.com میگیرم
nslookup test.com
Server: dc-2008.test.com سرور اصلی
Address: 192.168.144.20 سرور اصلی
Name: test.com
Addresses: 192.168.144.20 === آی پی سرور اصلی
192.168.144.30 === آی پی سرور ادیشنال
خیلی ممنون
دقیقا همینطوره
خودم هم به این فکر افتادم اما چون روی سرور اصلی file server دارم و از طرفی کلی یوزر که باید مجدد join بشن به سرور جدید و تعریف پالیسی جدید روی 2016 ( همه اینا خیلی وقتگیره )
این مشکل رو فکر می کنم خیلی وقته دارید و هنوز هم دارید از DFSR به جای FRS استفاده می کنید. تا جایی که میدونم برطرف کردن این مشکل راهی به جز Re-Structure کردن دامین نداره و به این سادگی ها این مشکل رفع نمیشه. پیشنهادم اینه که اکتیودایرکتوری رو کلا پاک کنید و از اول دامین رو راه اندازی کنید. چون که هر چقدر جلوتر برید به مشکلات زیادی برمیخورید و محیط کار رفته رفته پیچیده تر و پیچیده تر میشه. در ضمن بهتره به سرور 2016 مهاجرت کنید یعنی اکتیودایرکتوری رو روی ویندوز سرور 2016 نصب کنید و حداقل Forest Functional Level تون سرور 2016 باشه.