Problême de stratégie de domaine.

Problême de stratégie de domaine. - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 24-04-2008 à 09:50:44    

Bonjour, nous avons quelques problemes en ce moment pour mettre en place des installations par stratégies.
La mise en place est vraiment très simple, on veut juste lancer un batch à l'ouverture de session en passant par une stratégie...
 
Le probleme, est que cette stratégie s'applique un peu quand elle veut... quelques fois cela va fonctionner sans probleme et des fois non
 
Ce qui m'interpelle, c'est que quand je fait un rsop.msc sur le poste client censé recevoir et appliquer la stratégie j'ai un message d'erreur
 
http://info16.fr/ftpl/images/rsop.JPG
 
avez vous une idée

Reply

Marsh Posté le 24-04-2008 à 09:50:44   

Reply

Marsh Posté le 24-04-2008 à 13:31:21    

Regarde au niveau de ton fichier .ADM
 
ici t'as quelques infos
http://www.hotline-pc.org/gpedit.htm

Reply

Marsh Posté le 19-05-2008 à 12:04:06    

je relance le problême...
quasiment aucune de mes stratégies ne s'appliquent

Reply

Marsh Posté le 19-05-2008 à 13:55:49    

Les eventlog disent quoi ?
Si tu as plusieurs DC, la réplication FRS se fait-elle bien ?

Reply

Marsh Posté le 19-05-2008 à 14:10:58    

Merci de t'interesser au problême
 
Oui j'ai deux DC qui se répliquent l'un l'autre
Quel journal veux tu que je consulte?
 
autre question, y a t'il un moyen de savoir sur quel dc un poste client s'est loggé ?
Quels audits faut t'il activer pour visualiser les probleme de propagation de stratégies?


Message édité par bartounet16 le 19-05-2008 à 14:39:47
Reply

Marsh Posté le 19-05-2008 à 15:47:47    

(@Je@b : finnallement, l'envie d'aider es plus forte que l'envie de bouder ^^)
 
Premièrement, sur le poste incriminé, commence par lancer un GPRESULT, tu auras déjà une indication sur ce qui se passe au niveau des GPOs et tu sauras de quel servur la GPO a été propagée :
 
J:\>GPRESULT
 
Outil de résultat du système d'exploitation Microsoft (R) Windows (R) XP v2.0
Copyright (C) Microsoft Corp. 1981-2001
 
Jeu créé le 19/05/2008 à 15:45:54
 
 
Résultats RSOP pour FUJINON-FR\l.veirman sur MTGL4G36J3J : mode journalisation
-------------------------------------------------------------------------------
 
Type de système d'exploitation :                     Microsoft Windows XP Profes
sionnel
 Configuration du système d'exploitation :                  Station de travail m
embre
Version du système d'exploitation :                  5.1.2600
Nom du domaine :xxx
Type de domaine :Windows 2000
Nom du site :                   Premier-Site-par-defaut
Profil itinérant :
Profil local :xxxx
Connexion via une liaison lente ? : Non
 
 
Paramètre de l'ordinateur
--------------------------
    CN=xxx,OU=xxxY,OU=Oxxx,OU=Production,OU=xxx,DC
=xxx,DC=net
    Heure de la dernière application de la stratégie de groupe : 19/05/2008 at 1
5:04:56
    Stratégie de groupe appliquée depuis :      SRVMTG01.xxxxx
    Seuil de liaison lente dans la stratégie de groupe :   500 kbps
 
    Objets Stratégie de groupe appliqués
    -------------------------------------
        Install$
        Default Domain Policy
 
    Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refus
é
    ----------------------------------------------------------------------------
--
        Stratégie de groupe locale
            Filtrage :  Non appliqué (vide)
 
    L'ordinateur fait partie des groupes de sécurité suivants :
    -----------------------------------------------------------
        (ma p'tite liste)
 
 
PARAMÈTRES UTILISATEURS
------------------------
    CN=ttttt,OU=Cpts Prestataires,OU=xxx,DC=xxxx,DC=net
    Heure de la dernière application de la stratégie de groupe : 19/05/2008 at 1
4:31:01
    Stratégie de groupe appliquée depuis :      SRVMTG01.xxxx
    Seuil de liaison lente dans la stratégie de groupe :   500 kbps
 
    Objets Stratégie de groupe appliqués
    -------------------------------------
        Default Domain Policy
        Install$
 
    Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refus
é
    ----------------------------------------------------------------------------
--
        Stratégie de groupe locale
            Filtrage :  Non appliqué (vide)
 
    L'utilisateur fait partie des groupes de sécurité suivants :
    ------------------------------------------------------------
    (ma p'tite liste)
 
J:\>
 


Message édité par El Kokott le 19-05-2008 à 15:54:39
Reply

Marsh Posté le 19-05-2008 à 15:52:01    

Ensuite, consulte le journal des évenements du poste client et pistes au niveau SYSTEM / APPLICATION / SECURITY si tu n'as pas des erreurs liées à ton domaine.
 
 
Par expérience, je sais qu'un GP qui ne s'applique pas est souvent le fait d'un domaine avec problème entre les postes clients et les DCs, c'est donc à ce niveau que tu dois chercher.


Message édité par El Kokott le 19-05-2008 à 15:55:18
Reply

Marsh Posté le 19-05-2008 à 17:37:21    

Pour savoir sur quel serveur tu es authentifier : echo %LOGONSERVER%
 
Vérifier la bonne communication des DC : sur les DC, regarder les logs de Directory Services, DNS, File Replication Services.
 
Après dans le ressource kit de win2003 et les support tools tu as frsdiag http://technet2.microsoft.com/wind [...] x?mfr=true
 
et dcdiag pour vérifier qd tu as des erreurs/avertissements
 
 
 
Après sur le client, tu as en effet gpresult et ses switchs qui peuvent fournir des infos supplémentaires (sous vista j'ai /V et /Z)

Reply

Marsh Posté le 19-05-2008 à 18:23:45    

Merci pour vos réponses.
Voici le début de ma réponse tout d'abord le gpresult
 
Outil de r‚sultat du systŠme d'exploitation Microsoft (R) Windows (R) XP v2.0
Copyright (C) Microsoft Corp. 1981-2001
 
Jeu cr‚‚ le 19/05/2008 … 18:18:50
 
 
 
R‚sultats RSOP pour * : mode journalisation
------------------------------------------------------------------------------
 
Type de systŠme d'exploitationÿ:                     Microsoft Windows XP Professionnel
 Configuration du systŠme d'exploitation :                  Station de travail membre
Version du systŠme d'exploitation :                  5.1.2600
Nom du domaineÿ:mondomaine
Type de domaine :Windows 2000
Nom du site :                   Premier-Site-par-defaut
Profil itin‚rant :              
Profil local :C:\Documents and Settings\monposte
Connexion via une liaison lente ? : Non
 
 
ParamŠtre de l'ordinateur
--------------------------
    CN=monposte,OU=Groupe de PC Wsus,DC=mondomaine,DC=priv
    Heure de la derniŠre application de la strat‚gie de groupe : 19/05/2008 at 18:17:15
    Strat‚gie de groupe appliqu‚e depuis :     *.priv
    Seuil de liaison lente dans la strat‚gie de groupe :   500 kbps
 
    Objets Strat‚gie de groupe appliqu‚s
    -------------------------------------
        Sus update
        Pare feu XP off
        Default Domain Policy
 
    Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqu‚s car ils ont ‚t‚ refus‚
    ------------------------------------------------------------------------------
        Strat‚gie de groupe locale
            Filtrage :  Non appliqu‚ (vide)
 
    L'ordinateur fait partie des groupes de s‚curit‚ suivants :
    -----------------------------------------------------------
        ma liste
         
 
PARAMÔTRES UTILISATEURS
------------------------
    CN=monposte,OU=for,OU=Utilisateurs mondomaine,OU=Utilisateurs,DC=mondomaine,DC=priv
    Heure de la derniŠre application de la strat‚gie de groupe : 19/05/2008 at 18:18:03
    Strat‚gie de groupe appliqu‚e depuis :      mon DC
    Seuil de liaison lente dans la strat‚gie de groupe :   500 kbps
 
    Objets Strat‚gie de groupe appliqu‚s
    -------------------------------------
        Proxy et param IE bloqu‚s
        Default Domain Policy
 
    Les objets strat‚gie de groupe n'ont pas ‚t‚ appliqu‚s car ils ont ‚t‚ refus‚
    ------------------------------------------------------------------------------
        deployOCS
            Filtrage :  Non appliqu‚ (vide)
 
        Strat‚gie de groupe locale
            Filtrage :  Non appliqu‚ (vide)
 
    L'utilisateur fait partie des groupes de s‚curit‚ suivants :
    ------------------------------------------------------------
        ma liste
 
Déjà c'est pas trop normal ca :  deployOCS
            Filtrage :  Non appliqu‚ (vide)


Message édité par bartounet16 le 19-05-2008 à 18:25:01
Reply

Marsh Posté le 19-05-2008 à 18:39:31    

pourquoi les stratégies ont été refusées ?
Jeanb, j'ai en effet des problèmes de réplication entre les deux DC
 
Les messages de services de réplication sont toujours les memes...
impossible de répliquer dc2 sur dc1 car le nom dns dc1.mondomaine.fr ne peut pas etre résolu...
Pourtant quand on fait une résolution de nom DNS, il n'y a aucun soucis et le résoud très bien...
 
Autre chose j'ai des messages de services de réplication tous les jours qui correspondent à un ancien controleur de domaine de test qui était censé etre supprimé...
Ce serveur n'exsite plus mais j'ai pourtant toujours des messages d'erreur de réplcation concernant ce DC temporaire...
D'ou ma question comment supprimé un ancien controleur de domaine qui n'existe plus sans mettre en péril la stabilité du domaine...


Message édité par bartounet16 le 19-05-2008 à 18:54:09
Reply

Marsh Posté le 19-05-2008 à 18:39:31   

Reply

Marsh Posté le 19-05-2008 à 19:08:05    

Elles sont refusées parce que comme dit l'erreur, les gpo sont vides :D ce qui montre bien le pb de réplication.
 
Au niveau dns, ils sont configurés comment tes serveurs ? :
Chacun est serveur dns aussi ?  
dans les propriétés de la carte réseau ils ont comme dns principal 127.0.0.1 et en secondaire leur partenaire ?
 
Essaie de résoudre le nom dns de chaque dc à partir de chaque serveur :
nslookup dc1 dc1
nslookup dc2 dc1
nslookup dc1 dc2
nslookup dc2 dc2
 
Et tu peux regarder les outils dcdiag, frsdiag, replmon et repladmin ainsi que les event log :)
 
 
Pour supprimer l'ancien dc, déjà faudrait voir si il "existe" sur chaque dc. J'essaierai si possible de résoudre le pb de réplication avant. Et après tu peux faire un clean metadata pour virer tous les restes : http://technet2.microsoft.com/Wind [...] d1033.mspx

Reply

Marsh Posté le 19-05-2008 à 19:54:39    

Merci de tes réponses,
J'aimerai comprendre, le fait qu'elle soit vide ok, mais elle peut pas etre vide sur les 2 dc, et j'ai bien testé, sur un poste client j'ai ouvert une session à partir de DC1 mais aussi à partir de DC2 ( en vérifiant avec %LOGONSERVER%)
Je veux bien que la stratégie soit vide sur un DC car il n'a pas répliqué, mais elle devrait au moins exister sur le DC sur lequel j'ai créé la stratégie non?
 
Pour les DNS
 
Sur DC1
 
Ethernet carte lan :
 
        Suffixe DNS spéc. à la connexion. :
        Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
        Adresse physique. . . . . . . . . : 00-06-5B-FD-8B-87
        DHCP activé . . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.1.200
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.1.251
        Serveurs DNS. . . . . . . . . . . : 192.168.1.200
                                            192.168.1.201
        Serveur WINS principal. . . . . . : 192.168.1.200
        Serveur WINS secondaire . . . . . : 192.168.1.201
 
 
Pour DC2  
 
Ethernet carte lan :
 
        Suffixe DNS spéc. à la connexion. :
        Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
        Adresse physique. . . . . . . . . : 00-06-5B-FD-8B-88
        DHCP activé . . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.1.201
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.1.251
        Serveurs DNS. . . . . . . . . . . : 192.168.1.201
                                            192.168.1.200
        Serveur WINS principal. . . . . . : 192.168.1.201
        Serveur WINS secondaire . . . . . : 192.168.1.200
 
Les dns sont pas 127.0.0.1 mais leur propre IP, je ne pense pas que ca joue...  
 
En ce qui concerne les nslookup, tout est résolu sans probleme...
j'en perd mon latin

Reply

Marsh Posté le 19-05-2008 à 20:30:21    

En effet, c'est assez étrange si c'est vide sur les 2 :/
 
Niveau DNS c'est en effet bon.
 
Tu peux faire un dcdiag ?

Reply

Marsh Posté le 19-05-2008 à 23:14:53    

Juste parceque ça me rappel un vieux souvenir d'un problème similaire que j'ai rencontré : peux-tu désactiver l'ensemble de tes GPO, en créer une vide que tu mets à la racine de ton domaine que tu appliquera sur un poste de test (fait-le hors prod et bloque l'héritage sur les machines sensibles).
 
Si c'est ce que je pense, tu n'aura pas de problème d'application (tu peux, pour tester lui faire appliquer un réglage à deux francs comme par exemple l'ajout de l'option 'déconnecter' dans le menu démarrer). Dans ce cas, ce sont simplement tes GPOs qui se mangent le nez.

Reply

Marsh Posté le 19-05-2008 à 23:34:17    

bah ce qui est étrange c'est que certaine GPO fonctionnent,
Tu peux vois plus haut
 
 Objets Strat‚gie de groupe appliqu‚s
    -------------------------------------
        Proxy et param IE bloqu‚s  
 
En effet cette stratégie à été crées depuis lontemps et fonctionne très bien, mais est vraiment à la racine du domaine...
 
Mais.....
Je suis en train de penser à un truc... je suis à la limite de la crétinerie lol....
j'essaye d'appliquer ddes stratégie qui s'appliquent à des ordinateurs (deploiement d'agent de gestion de parc...)
Mais je place cette stratégies sur des OU qui contiennent des utilisateurs et non des ordinateurs...
C'est surement pour ca que ca ne fonctionne pas...
 
Ma stratégie doit se placer sur l'OU qui contient les ordis...
 
je test ca demain...
 
Mais du coup cela ne m'arrange pas... car on a seulement deux OU qui contiennent des ordis...
l'OU ordinateurs
et l'ou ordinateurs wsus...
 
J'aurait préferé fragmenter selon différents services... un jour installer l'agent sur les ordis de la direction puis la production, etc...
 
je pense etre sur la bonne voie non?
 
 

Reply

Marsh Posté le 19-05-2008 à 23:50:23    

Il me semble que oui,  ta GPO doit s'appliquer au niveau des objets 'ordinateurs' pour que l'action soit efficace. Tu peux toutefois créer des filtres WMI pour appliquer les stratégies.
 
Par exemple, j'ai 2 types de serveurs : physique et virtuel. Grâce à mes filtres WMI, je peux faire appliquer des stratégies personnalisées pour chacune des catégories (dans mon cas, je check le computername qui contient une information relative à la nature du serveur).
 

Reply

Marsh Posté le 20-05-2008 à 09:40:25    

Peux tu m'en dire plus sur la mise en place de filtres WMI
on a donc pas besoin des creer des UO supplémentaires ou alors de restreindre la propagation de la stratégie au niveau sécurité pour appliquer les stratégies sur différents groupes de postes ?
 
edit:
Apperement les filtres wmi sont implémantés à partir de Windows server 2003
Mes deux DC sont des 2000  :sweat:


Message édité par bartounet16 le 20-05-2008 à 10:13:57
Reply

Marsh Posté le 20-05-2008 à 10:21:18    

Je te recommanderait bien de migrer vers 2003, mais ce serait un peu cher.
 
Tu vas devoir crér des GPOs qui s'appliquent par OU, et bloquer l'héritance à chaque niveau pour éviter les conflits. Je te recommande de faire des GPOs simplie : une pour les règles IE, une pour la config réseau, etc... Et de créer un environnement de test pour checker avant de les appliqués.

Reply

Marsh Posté le 20-05-2008 à 10:59:07    

en effet, on verra... on va bientot passer à une version data center avec le nombre de vm illimités donc à voir...
mais bon pour l'instant je doit faire avec

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed