Не будет преувеличением сказать, что неисправности в AD - кошмар любого системного администратора, особенно когда внезапно перестают применяться групповые политики. А еще хуже когда неисправность плавающая, здесь проявляется, а там нет. В такие моменты неволей начинаешь верить в восстание машин, но не стоит отчаиваться и наш сегодняшний случай тому пример.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Эта история началась в прошедший понедельник. Мы отгрузили нашему постоянному клиенту 4 новых рабочих станции и одну ремонтную, с заменой материнской платы. Как говориться, ничто не предвещало беды, однако во вторник утром системный администратор клиента озадачил нас возникшей проблемой - ни на одной из рабочих станций не применяются групповые полититки, точнее применяются, но как-то сугубо выборочно. Проблема усугублялась тем, что большая часть корпоративного софта устанавливалась именно через GPO и устанавливать это все руками админу явно не улыбалось, да и оставлять без внимания проблему такого уровня тоже не стоило.
Мы тщательно проверили конфигурацию AD, исправив походя несколько незначительных ошибок, но вскоре выяснили, что проблема проявляется только на новых ПК, уже существующий парк компьютеров обрабатывал групповые политики как положено. Поэтому решено было изучить журналы событий с этих ПК, первое что мы увидели, это ошибка NETLOGON, которая сообщала, что нет доступного контроллера домена:
В журнале Приложения также нашлась аналогичная ошибка о том, что не удалось получить имя контроллера домена:
В связи с чем была еще раз проверена конфигурация DNS серверов, однако каких либо проблем выявлено не было, поэтому мы углубились в дальнейшее изучение логов и нашли там что-то интересное:
На первый взгляд невинное сообщение, что система обнаружила сетевой адаптер и инициировала через него нормальную работу. Но это событие стоит в списке выше сообщения об ошибке, а следовательно произошло позже. Ситуация начала немного проясняться, если на момент выполнения стека групповых политик сетевой адаптер оказался недоступным, то вполне логично ожидать сбоя в их применении.
Теперь мы знаем, что искать, поиск по коду ошибок быстро привел нас к
статье 326152 базы знаний Miсrosoft из которой следовало, что виной всему гигабитные сетевые адаптеры и функция проверки сетевого состояния системы. Дело в том, что данная функция определяет состояние сетевого адаптера и, если он отключен или недоступен, то все привязанные к нему сетевые протоколы дезактивируются. В тоже время на начальном этапе загрузки драйвер сетевого адаптера пытается определить тип сети и установить параметры передачи данных, для системы в этот момент адаптер недоступен и применение групповых политик оказывается невозможным. Для устранения этой проблемы следует воспользоваться исправлением
Microsoft Fix it 50492, которое достаточно скачать и запустить на целевом ПК.
Действительно, после применения исправления и перезагрузки все заработало как надо, а в нашу копилку знаний добавился еще один случай. Мы надеемся, что данный материал окажется вам полезен и позволит при возникновении подобной ситуации сэкономить время и силы, которые мы потратили на решений данной проблемы.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Последние комментарии