समूह नीति: मैप किए गए ड्राइव लोड करने में विफल, Windows Server 2012 सक्रिय निर्देशिका और Windows Pro 10

नेटवर्क:

• मल्टी-साइट डोमेन।
• प्रत्येक साइट में 2 स्थानीय (ऑन-साइट, एक ही सबनेट) विंडोज सर्वर 2012 R2 डोमेन नियंत्रक हैं।
• साइटें विंडोज साइट और सेवाओं में सही ढंग से परिभाषित की गई हैं।
• प्रत्येक साइट के लिए DNS रिकॉर्ड केवल दो स्थानीय DNS सर्वरों को परिभाषित करते हैं।
• सभी ग्राहक सभी अपडेट के साथ विंडोज 10 प्रो 64-बिट हैं।
• दोनों नेटवर्क पूरी तरह से गीगाबिट हैं जो प्रमाणित CAT6 केबल के साथ सिस्को स्विच पर चल रहे हैं।
• प्रत्येक साइट में एक स्थानीय (ऑन-साइट, समान सबनेट) Synology स्टोरेज सर्वर होता है।
• समूह नीति के भाग के रूप में, दो नेटवर्क ड्राइव को Synology सर्वर पर शेयरों में मैप किया जाता है।

कनेक्टिविटी डायग्नोस्टिक्स:

• dcdiag /test:dns /v /c /ePASSसभी सर्वरों और सभी परीक्षणों के लिए रिपोर्ट
• echo %logonserver% हमेशा एक स्थानीय डीसी देता है
• nltest /dsgetdc हमेशा एक स्थानीय डीसी दिखाता है और स्थानीय आईपी को सही करता है
• साइट ए पर, दोनों नेटवर्क ड्राइव दिखाई देते हैं, शायद 0.5% विफलता की संभावना है (मैंने कुछ बूट का अनुभव किया है जहां ड्राइव सही तरीके से नहीं दिखाते हैं)।

मुद्दा:

साइट B पर, नेटवर्क ड्राइव समय के शायद 30% को दिखाने में विफल रहता है। कभी-कभी यह दोनों ड्राइव होते हैं, कभी-कभी यह एक या दूसरे से होता है। समस्या ज्यादातर यादृच्छिक है, और किसी विशेष उपयोगकर्ता या वर्कस्टेशन का पालन नहीं करता है।

लक्षण:

उस समय के 30% में जहां एक समस्या खुद को प्रस्तुत करती है:

• समय का 5% gpupdateया gpupdate /forceतो समस्या को ठीक कर देगा और ड्राइव तुरंत दिखाई देगा। यदि वह gpupdateपहले प्रयास पर काम नहीं करता है, तो यह उसके बाद बहुत काम नहीं करेगा (उस बूट के लिए)
• समय का 5% gpupdateया gpupdate /forceसिर्फ एक ड्राइव के कारण दिखाई देगा
• 20% समय, gpupdateसमस्या को ठीक नहीं करेगा, लेकिन अगला बूट ठीक होगा
• 50% समय, एक gpupdateसमस्या को ठीक नहीं करेगा, लेकिन एक बूट और दूसरे के बाद gpupdate, ड्राइव दिखाई देगा

• 20% समय, यह ड्राइव दिखाई देने से पहले कई रिबूट (और gpupdateप्रत्येक बूट के लिए) ले जाएगा । कभी-कभी यह 2 बूट होता है, लेकिन मुझे कभी-कभी कंप्यूटर को रिबूट करना पड़ता है कभी-कभी ड्राइव दिखाई देने से पहले 6 या 7 बार।

  • इस अंतिम 20% समय के लिए, मुझे कभी-कभी gpupdate प्रक्रिया से त्रुटियाँ मिलेंगी।

    The processing of Group Policy failed. Windows attempted to read the file 
    \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
    from a domain controller and was not successful. Group Policy settings may not be 
    applied until this event is resolved. This issue may be transient and could be 
    caused by one or more of the following:  
    
    a) Name Resolution/Network Connectivity to the current domain controller.  
    b) File Replication Service Latency (a file created on another domain controller 
       has not replicated to the current domain controller).  
    c) The Distributed File System (DFS) client has been disabled.
    

  • यह त्रुटि वास्तव में है, आमतौर पर लेकिन हमेशा नहीं, एक अच्छा संकेत क्योंकि आम तौर पर इस त्रुटि को प्राप्त करने के बाद, अगला ´gpupdate boot या अगला बूट और ´gpupdate´ ड्राइव को फिर से प्रकट करेगा।

ड्राइव मैप डायग्नोस्टिक्स:

1. gpresult /h gpresult.html दिखाता है:

   Drive Map (Drive: X)
    The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
      X:
       Winning GPO  DriveMaps 
        General Settings
         Result: Success
   

2. मैंने समूह नीति वातावरण डीबग लॉगिंग सक्षम किया है (प्रति http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx बनाया रजिस्ट्री प्रविष्टि [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002)। लॉग फ़ाइल c:\Windows\debug\UserMode\gpsvc.logने मुझे कोई स्पष्ट त्रुटि नहीं दिखाई है, और न ही मैं Google के माध्यम से बहुत मदद पा सका हूं। यहाँ कुछ दिलचस्प संदेश मिले हैं:

   GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
   GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
   GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
   

3. मैंने ड्राइव मैप्स ( http://blogs.technet.com/b/askds/archive/2008/07/18/en/hi/en enable-group-policy-preferences-debug-logging-use-the के अनुसार समूह नीति प्राथमिकताएं डिबगिंग सक्षम की हैं) -rsat.aspx सेट Drive Map Policy Processingकरने के लिए Enabledऔर चालू Event Loggingके गुणों में \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing)। लॉग फ़ाइल में C:\ProgramData\GroupPolicy\Preference\Trace\User.logकोई त्रुटि नहीं हुई है।

   2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
   2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
   2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
   2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
   2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
   

4. मेरे पास ड्राइव को लोड करने में विफल होने के साथ लॉगिन के कई नेटमन कैप्चर भी हैं, लेकिन कैप्चर में इतनी जानकारी है कि मुझे यकीन नहीं है कि कहां से शुरू करना है।

5. यदि, एक असफल लॉगिन के बाद, मैं सीधे ब्राउज़ करने का प्रयास करता हूं \\SynologyServer\ShareName\, तो शेयर हमेशा बिना किसी त्रुटि के तुरंत लोड होता है। कनेक्शन या अनुमति की समस्याओं के कोई संकेत नहीं हैं।

सवाल:

यह समस्या एक साइट पर इतनी बार क्यों हो रही है, लेकिन लगभग कभी भी दूसरी साइट पर नहीं होती है, जब दोनों एक ही डोमेन पर होते हैं, एक ही पॉलिसी होती है, और एक ही सॉफ्टवेयर चला रहे होते हैं?

केवल सॉफ्टवेयर अंतर जो मैं सोच सकता हूं, वह यह है कि साइट ए पर, सभी कंप्यूटर विंडोज 8.1 प्रो चला रहे थे और विंडोज 10 प्रो में अपग्रेड किए गए थे, जबकि साइट बी में सभी कंप्यूटरों में विंडोज 10 प्रो की ताजा इंस्टाल होती है।

चूंकि मेरे पास लगभग कोई प्रतिनिधि नहीं है, इसलिए मैं अभी तक प्रश्न नहीं पूछ सकता हूं, इसलिए मैं उत्तर पोस्ट करते समय एक प्रश्न पूछने का प्रयास करूंगा और आशा करता हूं कि मुझे डिब्बाबंद नहीं मिलेगा। ;)

मैं यह मानकर चल रहा हूं कि आपने बीमा किया है कि इस मामले का GPO एक गैर-मुद्दा है, इस GPO को किसी अन्य विंडोज सिस्टम पर "पारंपरिक" UNC शेयर के खिलाफ परीक्षण करके। हालांकि मेरी राय में महत्वपूर्ण लापता जानकारी है कि डोमेन में Synology उपकरण शामिल हैं या नहीं। Synology, QNAP, et al जैसी कई लिनक्स आधारित NAS इकाइयाँ सॉफ़्टवेयर घटक imbedded हैं जो उन्हें सक्रिय निर्देशिका डोमेन में भाग लेने की अनुमति देती हैं। यह उपकरण डोमेन में भाग ले रहा है या नहीं यह समाधान को प्रभावित करता है।

यह कहा जा रहा है, मेरे पास T1 सर्किट के साथ जुड़े मेरे नेटवर्क में दूरस्थ सुविधाएं हैं। हमें सिस्टम की आवश्यकताओं के कारण सभी प्रणालियों पर Acronis इमेजिंग बैकअप के उपयोग की आवश्यकता होती है। इस प्रकार, T1s से अधिक विंडोज वर्कस्टेशंस की बहु-जीबी छवियों का दूरस्थ रूप से बैकअप नॉन-स्टार्टर है। इसलिए हमने इसे दूर करने के लिए प्रत्येक स्थानीय खंड पर ड्रूबो एनएएस इकाइयों को रखा और हमें थोड़ी सी सहिष्णुता दी। ये विशेष Drobos AD डोमेन में भाग लेने की क्षमता नहीं रखते हैं।

UNC शेयरों को कॉन्फ़िगर के रूप में सक्षम करने के लिए, हमें दो मुख्य चीजें स्थापित करनी थीं। सबसे पहले, हमने उचित नाम रिज़ॉल्यूशन की अनुमति देने के लिए DNS सर्वरों पर स्थिर DNS प्रविष्टियाँ बनाईं। और दूसरा, हमें दो नीतियों को "ढीला" करना पड़ा जो कि DISA सामान्य रूप से अधिकांश डोमेन सदस्यों के लिए सुझाता है। हमने केवल बैकअप सर्वर पर इन नीतियों को ढीला कर दिया है, और वर्कस्टेशन को "धीमी लिंक" साइटों पर बैकअप किया जा रहा है, क्योंकि ये केवल संबंधित शेयरों को एक्सेस करने के लिए आवश्यक सिस्टम थे:

• कंप्यूटर कॉन्फ़िगरेशन \ Windows सेटिंग्स \ सुरक्षा सेटिंग्स \ सुरक्षा विकल्प:
  • Microsoft नेटवर्क क्लाइंट: डिजिटल रूप से साइन इन करें (हमेशा) = अक्षम
  • Microsoft नेटवर्क क्लाइंट: तृतीय पक्ष SMB सर्वर के लिए अनियंत्रित पासवर्ड भेजें = सक्षम
  • Microsoft नेटवर्क सर्वर: डिजिटल रूप से साइन इन करें (हमेशा) = अक्षम

GPOs "डिजिटली साइन कम्यूनिकेशंस अगर नेगोशिएट किया हुआ" अभी भी सुरक्षा से जुड़े जोखिम को कम करने के लिए सक्षम होने के लिए सेट हैं। एक बार जब हम इन परिवर्तनों को सक्षम कर लेते हैं, तो शेयरों को तुरंत UNC पथ के माध्यम से एक्सेस किया जा सकता है, जबकि पहले यह असंभव था।

यही कारण है कि मैंने पहले कहा था कि इस पर निर्भर करता है कि आपके NAS डोमेन में भाग ले सकते हैं या नहीं, समाधान का मार्ग निर्धारित करता है। यदि वे भाग ले सकते हैं, तो DNS और "SMB" समूह नीतियां आपके लिए एक गैर-मुद्दा होनी चाहिए, और इस तरह समाधान कहीं और झूठ होगा। यदि वे (मेरे नासे की तरह) भाग नहीं ले सकते, तो यह आपका समाधान हो सकता है।

खैर, मुझे ये सूत्र मिले, और यह मेरे लिए लगभग समान स्थिति की तरह लगता है:

विंडोज 10: समूह नीति सीधे बूट के बाद लागू करने में विफल रहती है, बाद में सफल होती है

विंडोज 8.1 / 10 GPO मैप किए गए ड्राइव कनेक्ट नहीं होंगे

स्पष्ट रूप से यह समस्या Microsoft द्वारा डिफ़ॉल्ट रूप से Windows 10 में UNC हार्डनिंग को सक्षम करने के कारण होती है। यह एक सुरक्षा दोष को ठीक करने के लिए है, लेकिन जाहिर तौर पर अनजाने में मैप किए गए ड्राइव को अविश्वसनीय रूप से माउंट करने का कारण बनता है। आश्चर्य की बात नहीं है, ऐसा लगता है कि Microsoft ने अभी तक इस बग को संबोधित किया है (या उनके पास है?)

यह भी बताता है कि मुझे साइट ए पर कोई समस्या क्यों नहीं हो रही थी क्योंकि विंडोज 8.1 प्रो से विंडोज 10 में अपग्रेड किए गए सभी कंप्यूटर थे, मुझे लगता है कि यूएनसी हार्डिंग के बारे में सेटिंग्स विंडोज 8 से स्थानांतरित कर दी गईं और बंद रहीं , जबकि ताजा वाले कंप्यूटर विंडोज 10 की स्थापना में यूएनसी हार्डनिंग के डिफ़ॉल्ट का उपयोग किया गया था ।

मैंने वास्तव में अभी तक समाधान की कोशिश नहीं की है, लेकिन यह मेरे लक्षणों के अनुकूल होने के लिए फिट नहीं है। मैं एक ऐसे समाधान के बारे में चिंतित हूं जो मेरे सिस्टम को अधिक सुरक्षा खतरों तक खोलता है, इसलिए मैं विकल्पों की तलाश कर रहा हूं। मुझे समूह नीति के माध्यम से इसे स्थापित करने का विचार पसंद नहीं है, और मैं सोच रहा हूं कि क्या केवल रजिस्ट्री के मैन्युअल संपादन के माध्यम से UNC हार्डनिंग को बंद करना संभव है। मैं पहले कुछ कंप्यूटरों पर प्रयोग करना चाहता हूं, इससे पहले कि मैं यह तय करूं कि आगे क्या करना है। हालाँकि, मैं केवल वर्तमान में GPO या GPP के माध्यम से सेटिंग बदलने के लिए चरण पा सकता हूँ ...

कोई विचार?

मैं बस इसे अपडेट करना चाहता हूं और कहना चाहता हूं कि कुछ बिंदु पर एक प्रमुख विंडोज 10 अपडेट ने इस मुद्दे को तय किया। यह एक पुराना प्रश्न है, लेकिन मैं केवल मामले में, चीजों को लटका देना पसंद नहीं करता।

डैनियल के अपडेट में आपके द्वारा दी गई हर चीज को पढ़ने के बाद, मैं वास्तव में सुझाव दूंगा कि UNC सख्त करना, जबकि संबंधित है, यहां मूल कारण नहीं है, और यह कि यह वास्तव में "फास्टबूट" विकल्प हो सकता है 2 के पोस्ट के ओपी ने कहा कि उसकी समस्या तय हो गई है । UNC हार्डनिंग के बारे में जानकारी के सभी SYSVOL और NETLOGON शेयरों को डिफ़ॉल्ट रूप से कठोर किया जा रहा है। जबकि यह मुद्दा आपके क्लाइंट को GP अपडेट प्राप्त करने से रोक देगा, तथ्य यह है कि ड्राइव मैप GPO ने पहले ही कम से कम एक बार ग्राहकों से पूछताछ में लागू कर दिया है, और निष्पादित करने के लिए प्रत्येक रीबूट (फिर भी ऐसा करने के लिए) की आवश्यकता नहीं है मानचित्रण।

जाहिर है आप प्रत्येक विकल्प को स्वतंत्र रूप से परखना चाहेंगे, लेकिन इस बात की परवाह किए बिना कि कौन सा विकल्प काम कर सकता है या नहीं भी कर सकता है, तर्क की यह रेखा आपके मुद्दे के मूल कारण के करीब होगी।