服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 活动目录不可靠还是有另一个问题呢?
Intereting Posts
简单安全的firewalld只允许ssh? Exim4禁用本地交付? 为什么REGSVR32找不到一个明显的DLL? 无法启动BIND:未知错误 如何从RHEL6.1更新到RHEL6.2,而不是RHEL6.3 vSphere 4 – 如何取消正在进行的文件复制? 当我在我的networking浏览器中进入localhost:8080时究竟发生了什么? (Apache Tomcat) 经过一段时间后出现404错误的IIS 6.0 / 2003 MySQL服务器崩溃,没有任何日志背后 nginx HttpAuthDigestModule 有没有像在Linux平台的Windows事件查看器? DHCP帧(DISCOVER / REQUEST帧)具有自动IP地址作为Ipv4头中的源IPv4地址 WMI权限用于更改本地IP而不提升权限 VM中未识别的networking Windows Server防火墙跟踪连接状态

活动目录不可靠还是有另一个问题呢?

我们在Active Directorynetworking上拥有大约1200台Windows PC客户端。 我们已经注意到,似乎有随机的系统没有制定政策。

例如,在我们的策略中,Windows系统是通知更新但不应用更新。 即使没有任何人login,我们在夏季升级后还有一组系统。即使没有任何人login,系统也会下载更新并重新启动。问题在于这些系统具有Deep Freeze冻结function,因此,当它们重新启动时,所应用的任何修复都会被删除,所以他们再次重新启动他们的下载/重新引导周期,无限的。 其他人,用户login,它会popup一个通知,它会在五分钟内重新启动,除非你点击“稍后”。

在过去,我们看到一些问题,例如阻止访问AD策略中的C:驱动器; 通常系统隐藏驱动器,在某些系统上,看似随意,用户将login并访问。

从命令行刷新策略似乎没有解决问题,但有时会重启几次。 这些系统似乎在启动时具有networking访问权限,所以它们应该能够与AD服务器通信(加上用户可以login到它们,所以它们必须能够进行authentication,因为冻结的系统没有被caching的configuration文件被冻结)。

对于AD政策来说,这是否正常,并不总是“服用”客户,还是应该检查什么? 其他人是否按预期的方式遇到这种情况? 我知道AD策略应该在客户端随机刷新,但是当我们运行命令手动刷新策略时,似乎没有解决问题。

机器账户的密码通常由机器每30天更换一次。 如果DeepFreeze不允许将新密码存储在计算机上,则计算机级GPO可能会失败,因为计算机无法login到AD。

您可以禁用自动更改密码(尽pipe不推荐): http : //www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/580.mspx

看起来像(或者至less是)DeepFreeze已知的问题: http ://universitytechnology.blogspot.com/2008/03/session-setup-from-computer.html

根据我的经验,组策略应用已经非常可靠了。 几乎所有针对具有间歇性策略应用程序问题的客户执行的故障排除案例已经细分为:

  • 策略不适用于正确的地方(即尝试将计算机策略应用于用户,对计算机的用户策略,不了解回送策略处理或按组成员过滤策略应用程序)

  • 客户端计算机使用的DNS服务器(与DNS,DNS DNS服务器的networking连接性差,被称为“次要”DNS服务器)

  • “媒体感”function导致NIC在启动过程中没有足够早的networking连接(请参阅http://support.microsoft.com/kb/239924 )。

在我的意见中,“在计算机设置/pipe理模板/系统/networking中始终等待计算机启动和login”应该被强制为在域根目录中指定的策略中“启用”。 此设置会导致启动和login时的组策略处理同步应用(即在启动login框之前或在login时显示桌面之前完成)。

同步应用程序是Windows 2000的默认行为,当时微软build议不要使用asynchronous应用程序,因为它可能非确定性行事。 微软将Windows XP的行为改为asynchronous,果然,一些组策略客户端扩展(比如软件安装策略)的行为有点随意而且狡猾。 我总是强制策略应用恢复到同步设置,即使启动和login稍微慢一点。

我无法告诉你“Deep Freeze”如何与组策略交互,因为我从来没有使用过这样的软件。 (我知道它做了什么,但我没有用过)。我曾经在运行基于闪存的磁盘上运行Windows XP Embedded的瘦客户机设备上运行,这些磁盘在每次启动时都正确地应用策略,即使它们使用“增强的写入filter“,并且在每次启动时将有效地”重置“回到之前的configuration。

你的“几次重启”让我觉得你看到了asynchronous策略处理的问题。 你的事件日志可能会告诉你,除了你的“Deep Freeze”软件可能不允许写入事件日志是持久的,所以你必须在重新启动之前检查日志。

你有一个GPO,告诉Deep Freeze电脑自动下载和安装更新,并重新启动? 您可以运行rsop.msc以确定将哪些GPO应用于PC,以及设置自动更新策略的策略。 在组策略编辑器(gpedit.msc)中,位于计算机configuration>pipe理模板> Windows组件> Windows Update下。 首先将这些PC移动到另一个OU,如果是这种情况,将它们从更新GPOpath中取出(取决于AD结构的来源)。 无论GP刷新率设置如何,您都需要停止将更新GPO应用于系统。

另一种情况是,您已经“深度冻结”了自动更新和重新启动设置,并且在决定下载更新并重新启动之前,GP没有机会强制执行此设置。 我不太确定Deep Freeze是如何工作的 – 如果它阻止某些设置被修改,或者它们可以被修改,但是在重新启动之后它们将恢复到之前的设置。