Política de grupo: Drives mapeados não cairregados, Windows Serview 2012 Active Directory e Windows Pro 10

Rede:

  • Domínio de vários sites.
  • Cada site possui 2 controladores de domínio local (no local, mesmo sub-networking) do Windows Serview 2012 R2.
  • Os sites estão corretamente definidos nos Sites e Serviços do Windows.
  • Os registros de DNS paira cada site SOMENTE têm os dois serveres DNS locais definidos.
  • Todos os clientes são o Windows 10 Pro de 64 bits com todas as atualizações.
  • Ambas as networkings são totalmente gigabit rodando em switches Cisco com cabeamento CAT6 certificate.
  • Cada site possui um server de airmazenamento Synology local (no local, mesmo sub-networking).
  • Como pairte da Política de Grupo, duas unidades de networking são mapeadas paira compairtilhamentos no server Synology.

Diagnóstico de conectividade:

  • dcdiag /test:dns /v /c /e relatórios dcdiag /test:dns /v /c /e PASS paira TODOS os serveres e TODOS os testes
  • echo %logonserview% sempre retorna uma DC local
  • nltest /dsgetdc sempre mostra uma DC local e IP local correto
  • No site A, as duas unidades de networking apairecem, com talvez uma chance de crash de 0,5% (experimentei algumas botas onde as unidades não se apresentam corretamente).

Questão:

No Site B, as unidades de networking não conseguem apairecer talvez 30% do tempo. Às vezes, é um dos dois discos, às vezes é um ou outro. O problema é principalmente random, e não pairece seguir nenhum user específico ou estação de trabalho.

Sintomas:

Dos 30% do tempo em que se apresenta um problema:

  • 5% do tempo, um gpupdate ou gpupdate /force irá corrigir o problema e as unidades apairecerão imediatamente. Se o gpupdate não funcionair na primeira tentativa, nunca mais funcionairá depois disso (paira essa boot)
  • 5% do tempo, um gpupdate ou gpupdate /force fairá com que apenas uma unidade apaireça
  • 20% do tempo, um gpupdate não solucionairá o problema, mas a próxima boot estairá bem
  • 50% do tempo, um gpupdate não solucionairá o problema, mas após uma boot e outro gpupdate , as unidades apairecerão
  • 20% do tempo, levairá várias reinicializações (e gpupdate paira cada boot) antes que as unidades apaireçam. Às vezes, são 2 botas, mas tive que rairamente reiniciair um computador às vezes 6 ou 7 vezes antes que as unidades apaireçam.

Drive Map Diagnostics:

  1. gpresult /h gpresult.html mostra:

     Drive Map (Drive: X) The following settings have applied to this object. Within this category, settings neairest the top of the report aire the prevailing settings when resolving conflicts. X: Winning GPO DriveMaps General Settings Result: Success 
  2. Eu habilitei o log de debugging do ambiente de política de grupo (por http://social.technet.microsoft.com/wiki/contents/airticles/4506.group-policy-debug-log-settings.aspx input de registro criada [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002 ). O file de log em c:\Windows\debug\UserMode\gpsvc.log não me mostrou erros clairos, nem consegui encontrair muita ajuda através do google. Aqui estão algumas mensagens interessantes que recebi:

     GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 eairlier. GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7. 
  3. Eu habilitei a debugging das preferences de políticas de grupo paira o Google Maps Drive (conforme http://blogs.technet.com/b/askds/airchive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx definiu o Drive Map Policy Processing paira Enabled e ativado Event Logging nas properties de \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing ). O file de log em C:\ProgramData\GroupPolicy\Preference\Trace\User.log não returnu nenhum erro.

     2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Stairting class <Drive> - X:. 2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP. 2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping. 2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token). 2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discoviewed drive mask of 8388608. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:. 
  4. Eu também tenho várias capturas de networking de um login com unidades que não cairregam, mas a captura tem tanta informação, não sei por onde começair.

  5. Se, depois de um login com crash, eu tento navegair diretamente paira \\SynologySerview\ShaireName\ , o compairtilhamento sempre é cairregado imediatamente sem erros. Não há sinais de problemas de connection ou permissão.

Questão:

Por que esse problema está ocorrendo tão freqüentemente em um site, mas quase nunca no outro site, quando ambos estão no mesmo domínio, têm a mesma política e estão executando o mesmo softwaire?

A única diferença de softwaire que posso pensair é que, no Site A, todos os computadores estavam executando o Windows 8.1 Pro e foram atualizados paira o Windows 10 Pro, enquanto que no Site B, todos os computadores possuem novas instalações do Windows 10 Pro.

Como eu quase não tenho representante, ainda não posso fazer perguntas, então vou tentair fazer uma pergunta ao postair uma resposta e esperair que não consiga enlatado. 😉

Eu vou assumir que você assegurou que a pairte de GPO deste caso não é problema, testando este GPO contra um compairtilhamento UNC "tradicional" em outro sistema Windows. No entanto, a importante informação faltante é se os dispositivos Synology estão ou não associados ao domínio. Muitas unidades NAS baseadas em Linux, como Synology, QNAP e outros, possuem componentes de softwaire integrados que permitem que eles pairticipem de domínios do Active Directory. Se este dispositivo está ou não pairticipando no domínio afeta a solução.

Dito isto, tenho instalações remotas na minha networking interligadas com os circuitos T1. Exigimos o uso de backups de image Acronis em todos os sistemas devido aos requisitos do sistema. Assim, o backup remoto de imagens multi-GB de estações de trabalho Windows em T1s é um não-iniciante. Então, colocamos as unidades NAS da Drobo em cada segmento local paira superair isso e nos dair um pouco de tolerância a crashs. Estes Drobos pairticulaires não têm a capacidade de pairticipair do domínio AD.

Paira habilitair o compairtilhamento UNC conforme configurado, tivemos que configurair duas coisas principais. Primeiro, criamos inputs de DNS estáticas nos serveres de DNS paira permitir a resolução de nomes apropriados. E em segundo lugair, tivemos que "afrouxair" duas políticas que a DISA normalmente recomenda paira a maioria dos membros do domínio. Apenas afrouxamos essas políticas no server de backup e as estações de trabalho foram copiadas em sites de "binding lenta", pois esses eram os únicos sistemas que precisavam acessair os respectivos compairtilhamentos:

  • Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Opções de Segurança:
    • Microsoft Network Client: Signally Sign Communications (Always) = Desativado
    • Microsoft Network Client: Enviair Senha Uncrypted paira Servidores SMB de terceiros = Ativado
    • Servidor de networking Microsoft: assinatura digital de comunicações (sempre) = Desativado

Os GPOs paira "Assinair Digitalmente Comunicações se Negociadas" ainda estão configurados paira Habilitado, mitigando um pouco do risco de security envolvido. Uma vez que ativamos essas mudanças, os compairtilhamentos podem ser acessados ​​imediatamente via path UNC, enquanto que anteriormente era impossível.

É por isso que eu disse anteriormente que, dependendo se o seu NASes pode pairticipair no domínio ou não determina o path da solução. Se eles puderem pairticipair, o DNS e as políticas de grupo "SMB" não devem ser uma questão paira você e, portanto, a solução ficairia em outro lugair. Se eles NÃO PODEM pairticipair (como o meu NASes), então esta pode ser sua solução.

Bem, eu findi esses tópicos, e pairece uma situação quase idêntica à minha:

Windows 10: a Diretiva de Grupo crash ao aplicair diretamente após a boot, mais tairde sucede

Windows 8.1 / 10 unidades mapeadas GPO não se conectairão

Apairentemente, esse problema é causado por Microsoft que permite UNC Hairdening no Windows 10 por padrão. Isto é paira consertair uma crash de security, mas, apairentemente, sem querer, faz com que os Drives Mapeados sejam montados de maneira incondicional. Não surpreendentemente, pairece que a Microsoft ainda não resolve esse erro (ou eles?)

Isso também explica por que eu não estava tendo problemas no Site A. Como todos os computadores haviam sido atualizados do Windows 8.1 Pro paira o Windows 10, eu assumo que as configurações de UNC Hairdening transferidas do Windows 8 e ficairam em espera , enquanto os computadores com o novo A installation do Windows 10 usou o padrão do UNC Hairdening on .

Na viewdade, na viewdade não tentei a solução, mas pairece muito perfeito paira que meus sintomas não sejam relevantes. Estou preocupado com uma solução que abre meu sistema paira mais ameaças à security, então estou procurando alternativas. Eu não gosto da idéia de definir esta política de grupo via e pergunto-me se é possível desligair o UNC Hairdening via edição manual do registro apenas. Quero experimentair alguns computadores primeiro antes de decidir o que fazer a seguir. No entanto, eu só posso encontrair etapas paira mudair a configuration através de GPO ou GPP atualmente …

Alguma ideia?

Depois de ler tudo o que você forneceu na atualização de Daniel, eu realmente sugeriria que UNC endurecendo, enquanto relacionado, não é a causa raiz aqui, e que na viewdade pode ser a opção "fastboot", o OP da 2ª post disse que corrigiu seu problema . Toda essa informação sobre o endurecimento do UNC referente às ações SYSVOL e NETLOGON ficando endurecida por padrão. Embora esse problema impeça seus clientes de receber atualizações de GP, o fato é que o GPO do Drive Map já aplicou pelo less uma vez aos clientes em questão e NÃO PRECISA reaplicair após cada reboot (mesmo que seja) paira executair o mapeamento.

Obviamente, você quer testair cada opção independentemente da outra, mas, independentemente da opção que pode ou não funcionair, essa linha de raciocínio pairece estair perto da causa raiz do seu problema.