Сеть:
- Многосайтовый домен.
- Каждый сайт имеет 2 локальных (на месте, в одной подсети) контроллера домена Windows Server 2012 R2.
- Сайты правильно определены в Сайтах и Сервисах Windows.
- Для записей DNS для каждого сайта определены ТОЛЬКО два локальных сервера DNS.
- ВСЕ клиенты - Windows 10 Pro 64-bit со всеми обновлениями.
- Обе сети полностью работают на коммутаторах Cisco с сертифицированным кабелем CAT6.
- Каждый сайт имеет локальный сервер хранения Synology (на месте, в одной подсети).
- В рамках групповой политики два сетевых диска сопоставляются с общими ресурсами на сервере Synology.
Диагностика подключения:
dcdiag /test:dns /v /c /eотчетыPASSдля ВСЕХ серверов и ВСЕХ тестовecho %logonserver%всегда возвращает локальный DCnltest /dsgetdcвсегда показывает локальный DC и правильный локальный IP- На сайте A оба сетевых диска обнаруживаются с вероятностью сбоя 0,5% (у меня было несколько загрузок, когда диски не отображаются правильно).
Выпуск:
На сайте B сетевые диски не отображаются, возможно, в 30% случаев. Иногда это оба диска, иногда один или другой. Проблема в основном случайная и, похоже, не следует за каким-то конкретным пользователем или рабочей станцией.
Симптомы:
Из 30% случаев, когда возникает проблема:
- 5% времени
gpupdateилиgpupdate /forceрешит проблему, и накопители сразу появятся. Еслиgpupdateпервая попытка не сработает, то после этого она практически никогда не будет работать (для этой загрузки) - 5% времени
gpupdateилиgpupdate /forceвызовет появление только одного диска - 20% времени
gpupdateпроблема не будет решена, но при следующей загрузке все будет в порядке - 50% времени
gpupdateпроблема не будет устранена, но после одной и другой загрузкиgpupdateпоявятся диски 20% времени, прежде чем появятся диски, потребуется несколько перезагрузок (и
gpupdateдля каждой загрузки). Иногда это 2 загрузки, но мне приходилось редко перезагружать компьютер, иногда 6 или 7 раз, прежде чем появляются диски.В течение последних 20% времени я иногда получаю ошибки от процесса gpupdate.
The processing of Group Policy failed. Windows attempted to read the file \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: a) Name Resolution/Network Connectivity to the current domain controller. b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). c) The Distributed File System (DFS) client has been disabled.Эта ошибка на самом деле, как правило, но не всегда, является хорошим признаком, потому что, как правило, после того, как я получаю эту ошибку, следующее «gpupdate» или следующая загрузка и «gpupdate» приводят к повторному появлению дисков.
Диагностика карты дисков:
gpresult /h gpresult.htmlшоу:Drive Map (Drive: X) The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts. X: Winning GPO DriveMaps General Settings Result: SuccessЯ включил ведение журнала отладки среды групповой политики (в соответствии с http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx созданной записью реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). Файл журнала вc:\Windows\debug\UserMode\gpsvc.logне показал мне каких-либо явных ошибок, и я не смог найти большую помощь через Google. Вот несколько интересных сообщений, которые я получил:GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier. GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.Я включил отладку предпочтений групповой политики для Карт Диска (согласно http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx набор
Drive Map Policy ProcessingдляEnabledи включенEvent Loggingв свойствах\Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). Файл журнала вC:\ProgramData\GroupPolicy\Preference\Trace\User.logне вернул никаких ошибок.2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:. 2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP. 2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping. 2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token). 2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.У меня также есть несколько захватов netmon для входа в систему с дисками, которые не загружаются, но захват содержит так много информации, что я не уверен, с чего начать.
Если после неудачного входа в систему я пытаюсь перейти непосредственно
\\SynologyServer\ShareName\, общий ресурс всегда загружается немедленно без каких-либо ошибок. Нет никаких признаков проблем с подключением или разрешением.
Вопрос:
Почему эта проблема возникает так часто на одном сайте, но почти никогда на другом сайте, когда оба находятся в одном домене, имеют одинаковую политику и используют одно и то же программное обеспечение?
Единственное различие в программном обеспечении, о котором я могу подумать, состоит в том, что на сайте A все компьютеры работали под управлением Windows 8.1 Pro и были обновлены до Windows 10 Pro, тогда как на сайте B на всех компьютерах установлены свежие версии Windows 10 Pro.
Ответы:
Поскольку у меня почти нет представителей, я пока не могу задавать вопросы, поэтому я попытаюсь задать вопрос, пока отправляю ответ, и надеюсь, что я не получу консервы. ;)
Я собираюсь предположить, что вы застраховали, что часть GPO в этом случае не представляет проблемы, протестировав этот GPO на «традиционном» UNC-ресурсе в другой системе Windows. Важная недостающая информация, на мой взгляд, связана с тем, подключены ли устройства Synology к домену. Многие устройства NAS на базе Linux, такие как Synology, QNAP и др., Имеют встроенные программные компоненты, которые позволяют им участвовать в доменах Active Directory. Участие этого устройства в домене влияет на решение.
При этом в моей сети есть удаленные средства, соединенные с цепями T1. Мы требуем использовать резервные копии Acronis для обработки изображений во всех системах из-за системных требований. Таким образом, удаленное резервное копирование образов нескольких рабочих мест Windows рабочих станций Windows через T1s не является началом. Поэтому мы разместили устройства Drobo NAS в каждом локальном сегменте, чтобы преодолеть это и дать нам небольшую отказоустойчивость. Эти конкретные Drobos не имеют возможности участвовать в домене AD.
Чтобы активировать общие ресурсы UNC, нам нужно было настроить две основные вещи. Сначала мы создали статические записи DNS на DNS-серверах, чтобы обеспечить правильное разрешение имен. И, во-вторых, нам пришлось «ослабить» две политики, которые DISA обычно рекомендует для большинства членов домена. Мы только ослабили эти политики на сервере резервного копирования и рабочих станциях, для которых выполнялось резервное копирование на сайтах с «медленной связью», поскольку это были единственные системы, которым необходим доступ к соответствующим общим ресурсам:
Объекты групповой политики «Цифровая подпись сообщений при согласовании» по-прежнему настроены на «Включено», что снижает риск, связанный с безопасностью. Как только мы включили эти изменения, к общим ресурсам можно было сразу получить доступ через UNC-путь, тогда как раньше это было невозможно.
Вот почему я сказал ранее, что в зависимости от того, могут ли ваши NAS участвовать в домене или нет, определяется путь решения. Если они могут участвовать, то DNS и групповые политики «SMB» не должны быть для вас проблемой, и поэтому решение будет лежать в другом месте. Если они не могут участвовать (как мои NAS), то это может быть вашим решением.
источник
Ask Questionкнопку в меню в верхней части этой страницы. Если у вас достаточно репутации, вы можете проголосовать за этот вопрос, чтобы уделить ему больше внимания. В качестве альтернативы, «пометить» его как избранное, и вы будете получать уведомления о новых ответах. Спасибо.Ну, я нашел эти темы, и это звучит почти так же, как моя:
Windows 10: групповая политика не может быть применена сразу после загрузки
Подключенные к Windows 8.1 / 10 GPO диски не подключаются
По-видимому, эта проблема вызвана тем, что Microsoft по умолчанию включает UNC Hardening в Windows 10. Это исправляет уязвимость системы безопасности, но, очевидно, непреднамеренно заставляет подключенные диски монтировать ненадежно. Неудивительно, что, похоже, Microsoft еще не исправила эту ошибку (или они?)
Это также объясняет, почему у меня не было проблем на Сайте А. Поскольку все компьютеры были обновлены с Windows 8.1 Pro до Windows 10, я предполагаю, что настройки, касающиеся UNC Hardening, перенесены с Windows 8 и остались выключенными , тогда как компьютеры с новыми установку Windows 10 используется значение по умолчанию UNC закалки на .
На самом деле я еще не пробовал решение, но оно кажется слишком подходящим для моих симптомов, чтобы не иметь отношения к делу. Я беспокоюсь о решении, которое открывает мою систему для большего количества угроз безопасности, поэтому я ищу альтернативы. Мне не нравится идея установить это с помощью групповой политики, и мне интересно, можно ли отключить UNC Hardening только путем ручного редактирования реестра. Я хочу сначала поэкспериментировать на нескольких компьютерах, прежде чем решить, что делать дальше. Тем не менее, я могу найти только шаги для изменения настроек через GPO или GPP в настоящее время ...
Есть предположения?
источник
Я просто хочу обновить это и сказать, что в какой-то момент одно из основных обновлений Windows 10 исправило эту проблему. Это старый вопрос, но я не люблю оставлять вещи висящими, на всякий случай.
источник
Прочитав все, что вы указали в обновлении Даниэля, я бы на самом деле предположил, что ужесточение UNC, хотя и связано, не является коренной причиной здесь, и что это может быть вариант «быстрой загрузки», который, как сказал ОП 2-го поста, решил его проблему. , Вся эта информация об усилении UNC, относящаяся к общим ресурсам SYSVOL и NETLOGON, по умолчанию защищена. Хотя эта проблема не позволит вашим клиентам получать обновления GP, факт состоит в том, что объект GPO Drive Map уже хотя бы один раз применен к рассматриваемым клиентам и не требует повторного применения после каждой перезагрузки (даже если это так) для выполнения картирование.
Очевидно, что вы захотите протестировать каждый вариант независимо от другого, но независимо от того, какой из вариантов может работать или не работать, эта логическая линия может показаться близкой к основной причине вашей проблемы.
источник