inzia ad esporlo no ?

Ok..
ho una OU che aveva dentro 2 utenti e 2 pc.
A questa OU avevo linkato una policy creata da me, e veniva applicata con successo su entrambe le macchine.

Un bel giorno creo un'altra OU dove sposto 1 utente e 1 pc della OU che ho descritto prima (drag-drop)

Volendo spostarci anche la policy che avevo creato a suo tempo per la OU precedente, procedo come segue:

1) slink la Policy
2) la rinomino
3) linko la policy rinominata alla nuova OU

Risultato:
il pc che è restato nella OU originaria continua ad applicare la "vecchia" policy (gpresult /Z mostra che non è neanche stata rinominata!)
gpupdate /FORCE non da errori... ma sembra non funzionare

Il pc spostato nella nuova OU, con la nuova policy, funziona bene.

sul pc che non funziona l'unica cosa che trovo nell'eventvwr è questa:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 07/02/2008
Time: 8.36.14
User: NT AUTHORITY\SYSTEM
Computer: XXXXXXXXXX
Description:
Impossibile ottenere il nome del controller di dominio della rete. (Tentativo di operazione del socket verso un host non raggiungibile. ). Elaborazione Criteri di gruppo interrotta.

Solo che il DC è raggiungibile..... non c'è nessun firewall di mezzo.. e il dns che ha a bordo, risolve correttamente gli indirizzi!

eccomi!!

scherzi a parte:

Prima di tutto: livello di SP??? aggiorna tutto all'ultimo livello!!! ci sono una miriade di fix relative alla replica delle GPO.

1) verifica risoluzione nome DNS col PDC Emulator
2) verifica risoluzione nomi NetBIOS col PDC Emulator

quanti DC sono presenti nel dominio? verifica per ciascuno di essi le proprietà di replica intra-site ed eventualmente usa il tool REPLMON

così a occhio sembrerebbe un probl di replica delle GPO...

Ciao

ciao,
ho un solo DC

puoi darmi piu info su "PDC Emulator" ?

ok allora il discorso cambia (e dopo ti dico perche)


con il passaggio da NT4 a Win2000 la gestione del dominio ? cambiata radicalmente; prima esisteva il PDC (primary domain controller), unico nel dominio, ed una serie di BDC (backup domain controller). La differenza consisteva nel fatto che sul PDC venivano apportate le modifiche (cambio password, creazione accounts, modifica gruppi) mentre i BDC conservavano una copia in sola lettura di tutte queste informazioni.
Con Active Directory (da Win 2000 in avanti) tutti i domain controllers sono paritetici, nel senso che per meglio bilanciare il carico di lavoro gestiscono le informazioni in lettura e scrittura.
Purtroppo per? alcune funzioni non supportano la cosiddetta replica multimaster (da tutti verso tutti) e per mantenere la retrocompatibilit? col mondo NT (repliche master-slave) hanno conservato alcuni ruoli singoli, denominati "FSMO Roles" (Flexible Single Master Operations).
Uno di questi ruoli ? il PDC Emulator che appunto emula il comportamento di un PDC NT4 e si occupa ad esempio di registrare i cambi password ed altre funzioni critiche del dominio.
Senza dilungarmi ulteriormente (altrimenti vi suicidate... ) ti dico che il PDC Emulator esiste sul primo domain controller installato in un dominio.

La tua situazione quindi si semplifica di molto poich? avendo un solo DC non hai problemi di repliche.
Il problema risieder? quasi sicuramente nell'ambito della risoluzione dei nomi o dell'accesso alle GPO.

Verifica i livelli di SP e portali all'ultimo livello (sia client che sever), controlla sul DC i log per errori di Active Directory e supponendo che tu non abbia modificato i permessi degli oggetti GPO potresti anche verificare che non sussistano problemi di autenticazione tra client e server (guarda i system log dei client). Poi verifica che il client DFS del PC sia capace di accedere alla cartella delle policies.

Scusate se sono stato prolisso!

mi viene in mente un'altra porcata di WinXP (che potrebbe influire su questo problema)

sui client verifica che la policy locale: "Always wait for the network at computer startup and logon"
che trovi in:
Computer Configuration\Administrative Templates\System\Logon

sia impostata in "enabled" (normalmente è "disabled" e velocizza il processo di logon usando le informazioni precedentemente "cached")

Potresti anche abilitare la policy di refresh periodica delle GPO in background
se vuoi più info in merito fammi sapere.

ciao

per me non sei affatto prolisso.. anzi ti ringrazio molto mi hai fatto capire diverse cose!!!

Dunque, domani (appena posso) faccio un'altra prova: ho joinato nella stessa OU del pc "problematico" un'altro client, stesso livello di patchset... faccio autenticare l'utente con problemi su quel pc e vedo che policy applica...

Come faccio a gestire l'aggiornamento automatico delle policy in background?

meglio cos?! a volte non mi rendo conto di essere logorroico

si la prova potrebbe darti il giusto responso poich? dopo la join al dominio almeno una volta le GPO le deve applicare!

per il refresh in automatico delle policy :
Computer Configuration\Administrative Templates\System\Group Policy

ciao!

Grazie.

ho provato a far loggare l'utente sul pc joinato "fresco": zero problemi...

sul client "incriminato" l'unica cosa che noto di strano nell'eventvwr è:
Impossibile accedere al file gpt.ini per l'oggetto Criteri di gruppo CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=blabla,DC=b lablabla,DC=it. Il file deve essere presente nel percorso <\\blablabla\sysvol\blablabla\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Impossibile leggere le informazioni di configurazione dal controller di dominio. Computer non disponibile o accesso negato. ). Elaborazione dei Criteri di gruppo interrotta.

Ma poi noto anche

Criterio di protezione applicato agli oggetti del criterio di gruppo riuscita.

ok quindi escludiamo problemi di accesso alle GPO

in questo messaggio:
<\\blablabla\sysvol\blablabla\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>

dove tu scrivi "\\blablabla..." ci dovrebbe essere il nome NetBIOS del dominio: giusto?
la condivisione sysvol viene acceduta mediante il client DFS (come ti scrivevo in un post precedente) del PC. Prova a connetterti manualmente a questa condivisione dal PC (da "esegui" scrivi il percorso UNC: \\nomedominio\sysvol\ )
sui PC in cui le policies vengono applicate dovrebbe funzionare (client DFS funzionante), sul PC in questione non andr?.

fammi sapere

funziona da entrambi i pc

si, contiene il mio dominio :=)

apper&#242;.... rognosa sta cosa...

e se dal PC problematico provi a collegarti alla directory della policy?

scrivi tutto il percorso da "esegui"... vediamo se ci entri nelle varie cartelline...
\\blablabla\sysvol\blablabla\Policies\{31B2F340 -016D-11D2-945F-00C04FB984F9}\gpt.ini

se ci arrivi allora non &#232; neanche un problema di DFS... ed il messaggio di errore &#232; fuorviante (DC non raggiungibile o acceso negato)

potresti provare ad attivare sulla sua OU la policy che ti dicevo (quello che esclude il caching)

Ste__86, sei poi riuscito a fare quelle prove?

ciao

Ciao,
ho individuato il problema che &#232; nel client sospetto; ho tralasciato per il momento perch&#232; il mio target non &#232; "ripararlo" ma sperimentare l'active directory...

ora mi sto divertendo con folder redirection e offline files... hai aneddoti in merito?