Criteri di gruppo: Impossibile caricare unità mappate, Windows Server 2012 Active Directory e Windows Pro 10

12

Rete:

  • Dominio multi-sito.
  • Ogni sito ha 2 controller di dominio Windows Server 2012 R2 locali (in loco, stessa sottorete).
  • I siti sono definiti correttamente in Siti e servizi di Windows.
  • I record DNS per ciascun sito hanno SOLO definiti i due server DNS locali.
  • TUTTI i client sono Windows 10 Pro a 64 bit con tutti gli aggiornamenti.
  • Entrambe le reti sono completamente gigabit in esecuzione su switch Cisco con cablaggio CAT6 certificato.
  • Ogni sito ha un server di archiviazione Synology locale (in loco, stessa sottorete).
  • Come parte di Criteri di gruppo, due unità di rete sono mappate su condivisioni sul server Synology.

Diagnostica connettività:

  • dcdiag /test:dns /v /c /ereport PASSper TUTTI i server e TUTTI i test
  • echo %logonserver% restituisce sempre un controller di dominio locale
  • nltest /dsgetdc mostra sempre un controller di dominio locale e un IP locale corretto
  • Sul sito A, entrambe le unità di rete vengono visualizzate, con forse una probabilità dello 0,5% di errore (ho riscontrato alcuni boot in cui le unità non vengono visualizzate correttamente).

Problema:

Nel sito B, le unità di rete non vengono visualizzate forse il 30% delle volte. A volte sono entrambe le unità, a volte è l'una o l'altra. Il problema è per lo più casuale e non sembra seguire alcun utente o Workstation in particolare.

Sintomi:

Del 30% delle volte in cui si presenta un problema:

  • Il 5% delle volte a gpupdateo gpupdate /forcerisolverà il problema e le unità appariranno immediatamente. Se gpupdatenon funziona al primo tentativo, non funzionerà praticamente mai dopo (per quel boot)
  • Il 5% delle volte a gpupdateo gpupdate /forcefarà apparire solo un'unità
  • Il 20% delle volte, a gpupdatenon risolverà il problema, ma il prossimo avvio andrà bene
  • Il 50% delle volte, a gpupdatenon risolverà il problema, ma dopo un avvio e un altro gpupdate appariranno le unità

  • Il 20% delle volte, occorreranno più riavvii (e gpupdateper ogni avvio) prima che vengano visualizzate le unità. A volte sono 2 gli stivali, ma raramente ho dovuto riavviare un computer a volte 6 o 7 volte prima che vengano visualizzate le unità.

    • Per quest'ultimo 20% delle volte, a volte riceverò errori dal processo gpupdate.

      The processing of Group Policy failed. Windows attempted to read the file 
\domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
from a domain controller and was not successful. Group Policy settings may not be 
applied until this event is resolved. This issue may be transient and could be 
caused by one or more of the following:  

a) Name Resolution/Network Connectivity to the current domain controller.  
b) File Replication Service Latency (a file created on another domain controller 
   has not replicated to the current domain controller).  
c) The Distributed File System (DFS) client has been disabled.

    • Questo errore è in realtà, di solito ma non sempre, un buon segno perché generalmente dopo che ricevo questo errore, il prossimo "aggiornamento" o il successivo avvio e "aggiornamento" faranno riapparire le unità.

Diagnostica mappa unità:

  1. gpresult /h gpresult.html Spettacoli: 

    Drive Map (Drive: X)
 The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
   X:
    Winning GPO  DriveMaps 
     General Settings
      Result: Success

  2. Ho abilitato la registrazione del debug dell'ambiente di criteri di gruppo (per http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx creato la voce di registro [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). Il file di log in c:\Windows\debug\UserMode\gpsvc.lognon mi ha mostrato alcun chiaro errore, né sono stato in grado di trovare molto aiuto tramite Google. Ecco alcuni messaggi interessanti che ho ricevuto:

    GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.

  3. Ho abilitato il debug delle preferenze dei criteri di gruppo per Drive Maps (come da http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx impostato Drive Map Policy Processingsu Enablede attivato Event Loggingnelle proprietà di \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). Il file di registro C:\ProgramData\GroupPolicy\Preference\Trace\User.lognon ha restituito errori.

    2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.

  4. Ho anche diverse acquisizioni netmon di un accesso con unità che non riescono a caricare, ma l'acquisizione ha così tante informazioni che non sono sicuro da dove cominciare.

  5. Se, dopo un accesso non riuscito, provo a navigare direttamente \\SynologyServer\ShareName\, la condivisione viene sempre caricata immediatamente senza errori. Non ci sono segni di connessione o problemi di autorizzazione.

Domanda:

Perché questo problema si verifica così frequentemente in un sito, ma quasi mai nell'altro sito, quando entrambi si trovano nello stesso dominio, hanno lo stesso criterio e eseguono lo stesso software?

L'unica differenza software che mi viene in mente è che sul Sito A, tutti i computer eseguivano Windows 8.1 Pro e sono stati aggiornati a Windows 10 Pro, mentre sul Sito B, tutti i computer hanno nuove installazioni di Windows 10 Pro.

group-policy  windows-server-2012-r2  mappeddrive  windows-10 
Daniel
fonte
Curioso se questo è correlato: social.technet.microsoft.com/Forums/en-US/… Non sono coinvolti criteri di gruppo, ma è correlato a unità di rete mappate. Questa osservazione è particolarmente interessante: "Ho notato che se esegui l'aggiornamento a Windows 10 da Windows 8, puoi accedere al NAS e mappare il tuo disco. Tuttavia, se installi Windows 10" pulito "o da zero, è impossibile per mappare l'unità ".
Daniel,
Un altro rapporto simile, ma anche dall'anteprima di Windows 10. Non sono sicuro se questi sono ancora rilevanti: answer.microsoft.com/en-us/insider/forum/…
Daniel
Per quanto interessante, perché non risolverlo con un semplice script "net use" (o "wshNetwork" se preferisci)? In ogni caso, hai provato a configurare l'oggetto Criteri di gruppo per l'ottimizzazione dell'accesso rapido? technet.microsoft.com/en-us/magazine/gg486839.aspx , technet.microsoft.com/library/jj573586.aspx
EliadTech
1
Prova a impostare questo controllo su come vengono applicati i criteri di gruppo all'accesso . Assicura che il sistema attenda che la rete sul sistema locale sia sempre disponibile prima di elaborare gli oggetti Criteri di gruppo.
AndreVSWorld
La ricerca (google) mi ha mostrato che la mappatura delle unità tramite script di accesso non è più supportata per Windows 8+ e che la mappatura tramite Criteri di gruppo è il metodo consigliato
Daniel,

Risposte:

1

Dal momento che non ho quasi un rappresentante, non posso ancora fare domande, quindi cercherò di porre una domanda mentre invio una risposta e spero di non essere in scatola. ;)

Presumo che tu abbia assicurato che la parte relativa all'oggetto Criteri di gruppo di questo caso non è un problema, testando questo oggetto Criteri di gruppo su una condivisione UNC "tradizionale" su un altro sistema Windows. L'importante informazione mancante, secondo me, è se i dispositivi Synology siano o meno uniti al dominio. Molte unità NAS basate su Linux come Synology, QNAP e altri hanno componenti software incorporati che consentono loro di partecipare ai domini Active Directory. Se questo dispositivo partecipa o meno al dominio influisce sulla soluzione.

Detto questo, ho strutture remote nella mia rete interconnesse con i circuiti T1. Richiediamo l'uso dei backup di imaging Acronis su tutti i sistemi a causa dei requisiti di sistema. Pertanto, il backup in remoto di immagini multi-GB di stazioni di lavoro Windows su T1 non è un inizio. Quindi abbiamo posizionato le unità Drobo NAS su ogni segmento locale per ovviare a questo e darci un po 'di tolleranza ai guasti. Questi particolari Drobos non hanno la possibilità di partecipare al dominio AD.

Per abilitare le condivisioni UNC come configurato, abbiamo dovuto impostare due cose principali. Innanzitutto, abbiamo creato voci DNS statiche sui server DNS per consentire una corretta risoluzione dei nomi. E in secondo luogo, abbiamo dovuto "allentare" due politiche che DISA normalmente raccomanda per la maggior parte dei membri del dominio. Abbiamo solo allentato queste politiche sul server di backup e il backup delle stazioni di lavoro in siti di "collegamento lento", in quanto questi erano gli unici sistemi che necessitavano di accedere alle rispettive condivisioni:

  • Configurazione computer \ Impostazioni di Windows \ Impostazioni di sicurezza \ Opzioni di sicurezza:
    • Client di rete Microsoft: firma digitale (sempre) = disabilitato
    • Client di rete Microsoft: invia password non crittografata a server SMB di terze parti = abilitato
    • Microsoft Network Server: firma digitale (sempre) = disabilitato

Gli oggetti Criteri di gruppo su "Firma digitalmente le comunicazioni se negoziati" sono ancora impostati su Abilitato, mitigando un po 'il rischio per la sicurezza. Una volta abilitate queste modifiche, è possibile accedere immediatamente alle condivisioni tramite il percorso UNC, mentre in precedenza era impossibile.

Questo è il motivo per cui ho detto in precedenza che, a seconda che i NAS possano partecipare al dominio o meno, determina il percorso della soluzione. Se possono partecipare, i criteri di gruppo DNS e "SMB" dovrebbero essere un problema per te, e quindi la soluzione potrebbe trovarsi altrove. Se NON POSSONO partecipare (come i miei NAS), questa potrebbe essere la tua soluzione.

El Zilcho
fonte
I server Synology sono uniti al dominio. Ecco come gli utenti (e i gruppi) sono in grado di accedere alle loro unità mappate. Le condivisioni sui server Synology dispongono delle autorizzazioni in base agli utenti e ai gruppi AD.
Daniel,
1
Non è necessario guadagnare reputazione per il privilegio di porre domande . Chiunque può chiedere a meno che il tuo account non venga bannato dal sistema o da un moderatore, il che per quanto ne so non è il caso.
HBruijn,
Si prega di non pubblicare risposte a meno che non rispondano effettivamente alla domanda . ServerFault è una piattaforma di domande e risposte e non un forum . Se hai una nuova domanda, chiedila facendo clic sul Ask Questionpulsante dal menu nella parte superiore di questa pagina. Se hai una reputazione sufficiente, puoi votare questa domanda per dargli maggiore attenzione. In alternativa, contrassegnalo come preferito e riceverai una notifica di eventuali nuove risposte. Grazie.
HBruijn,
1
@HBrujin, ciò che intendevo dire è che questo sito ti dice che fino a quando il tuo rappresentante è 50 o superiore, non dovresti fare domande alla persona che pubblica il problema originale. Dovresti solo offrire soluzioni. Che capisco perfettamente, fino a un certo punto. Daniel, la mia prossima raccomandazione sarebbe quella di testare l'oggetto Criteri di gruppo su un computer Windows tradizionale che ospita una cartella condivisa. Se l'hai già provato, beh, questo mi lascerebbe perplesso per un po '. Vorrei poterlo provare nel mio laboratorio, ma siamo su Win7 / 2008R2 in questo momento e non saremo nelle tue versioni fino al prossimo anno.
El Zilcho,
Mi scuso, ho letto "fai una domanda", ma apparentemente come si chiamava, nel gergo ServerFault, pubblicare un "commento" , che in effetti è un privilegio per il quale sono necessari 50 punti. - Occasionalmente riceviamo persone che non hanno familiarità con il formato Domande e risposte, quindi il mio secondo commento.
HBruijn,
1

Bene, ho trovato questi thread e sembra una situazione quasi identica alla mia:

Windows 10: i criteri di gruppo non si applicano direttamente dopo l'avvio, ma riescono più tardi

Le unità mappate GPO Windows 8.1 / 10 non si collegheranno

Apparentemente questo problema è causato da Microsoft che abilita l'indurimento UNC in Windows 10 per impostazione predefinita. Questo serve a correggere un difetto di sicurezza, ma apparentemente causa involontariamente il montaggio di unità mappate in modo non intenzionale. Non sorprende, sembra che Microsoft debba ancora affrontare questo bug (o hanno?)

Questo spiega anche perché non ho avuto problemi sul sito A. Poiché tutti i computer erano stati aggiornati da Windows 8.1 Pro a Windows 10, presumo che le impostazioni relative all'indurimento UNC siano state trasferite da Windows 8 e siano rimaste spente , mentre i computer con il nuovo installazione di Windows 10 utilizzato il valore predefinito di UNC Tempra su .

Non ho ancora provato la soluzione, ma sembra troppo perfetto per i miei sintomi per non essere rilevante. Sono preoccupato per una soluzione che apre il mio sistema a più minacce alla sicurezza, quindi sto cercando alternative. Non mi piace l'idea di impostare questo tramite i criteri di gruppo e mi chiedo se sia possibile disattivare l'Hardening UNC solo modificando manualmente il registro. Voglio sperimentare su alcuni computer prima di decidere cosa fare dopo. Tuttavia, al momento posso trovare solo i passaggi per modificare l'impostazione tramite GPO o GPP ...

qualche idea?

Daniel
fonte
1

Voglio solo aggiornare questo e dire che a un certo punto uno dei principali aggiornamenti di Windows 10 ha risolto questo problema. Questa è una vecchia domanda ma non mi piace lasciare le cose sospese, per ogni evenienza.

Daniel
fonte
0

Dopo aver letto tutto ciò che hai fornito nell'aggiornamento Daniel, in realtà suggerirei che l'indurimento UNC, sebbene correlato, non è la causa principale qui, e che potrebbe effettivamente essere l'opzione "avvio rapido" che l'OP del 2 ° post ha detto risolto il suo problema . Tutte queste informazioni sull'indurimento UNC si riferivano alle condivisioni SYSVOL e NETLOGON che venivano indurite per impostazione predefinita. Sebbene questo problema impedisca ai tuoi clienti di ricevere aggiornamenti GP, il fatto è che l'oggetto Criteri di gruppo di Drive Map si è già applicato almeno una volta ai client in questione e non DEVE riapplicare dopo ogni riavvio (anche se lo fa) per eseguire la mappatura.

Ovviamente vorrai testare ciascuna opzione indipendentemente dall'altra, ma indipendentemente da quale opzione possa funzionare o meno, questa linea di ragionamento sembrerebbe essere vicina alla causa principale del tuo problema.

El Zilcho
fonte
Questo non spiega perché i miei client Windows 8.1 Pro -> Windows 10 non abbiano alcun problema, ma i miei client Windows 10 con installazione pulita hanno tutti il ​​problema. Per quanto ne so, fastboot non è cambiato in modo significativo da 8 a 10, ma UNC Hardening è passato da default off a default on.
Daniel,
Devo ammettere che ho dovuto fare alcune letture rapide per accelerare un po 'la tempra dell'UNC. Tuttavia, controllando il GP locale del client Windows 10 non di dominio che ho, così come i GP predefiniti del mio dominio 2008R2 (senza client Win10), posso tranquillamente dire che la protezione UNC non è abilitata per impostazione predefinita. Inoltre, tutte le informazioni che ho letto questa mattina affermano che anche se si abilita l'indurimento dell'UNC, è ancora una politica inclusiva. Ciò significa che qualsiasi percorso UNC inserito nella politica viene rafforzato. Tutti gli altri percorsi rimangono non induriti.
El Zilcho,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.