Question Pourquoi GPO Tool signale-t-il une incompatibilité de version de GPO alors que le numéro de version de GPO correspond?


Pourquoi l'utilitaire de diagnostic de stratégie de groupe GPOTool signalerait-il une non-concordance de version d'un objet de stratégie de groupe entre deux contrôleurs de domaine si les numéros de version correspondent?

Policy {GUID} 
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details: 
------------------------------------------------------------
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
------------------------------------------------------------
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

5
2018-06-19 13:07


origine


Cela est-il dû au fait que l'horodatage "modifié" sur le deuxième contrôleur de domaine a une seconde de retard ou est-ce normal en raison du temps de latence inhérent à la réplication? (Je pense que ce dernier.) - SturdyErde
J'ai essayé de sauvegarder le GPO sur DC1 et de le restaurer sur DC2, mais GPOTool signale toujours une différence de version entre les deux objets. Temps pour plus de recherches. - SturdyErde


Réponses:


Votre problème est dû à une non-concordance de version entre les portions Stratégie DS des contrôleurs de domaine par défaut et Sysvol, et non à une différence entre les deux contrôleurs de domaine. Vos contrôleurs de domaine sont synchronisés les uns avec les autres, mais les données qu'ils synchronisent ne sont pas synchronisés avec eux-mêmes. Ce que vous voulez faire est de définir les versions DS et Sysvol sur la même valeur. Pour être en sécurité, allez avec 1(user) 45(machine). La valeur que vous devez entrer est 65581 (1 * 65 536 + 45 = 65 581). Ouvrir \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini dans le bloc-notes et définir Version=65581. Maintenant, en utilisant ADSIEdit, ADExplorer, adfind, etc., naviguez jusqu’à CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname Et mettre versionnumber à 65581. Maintenant, va déjeuner et quand tu reviendras, lance à nouveau GPOTool. Tous les numéros de version doivent indiquer que 65581 et / ou 1(user) 45(machine).

Remarque: Le GUID de stratégie des contrôleurs de domaine par défaut est toujours 6AC1786C-016F-11D2-945F-00C04FB984F9, mais vérifiez qu'il s'agit bien du GUID si quelqu'un le renommait et créait un autre objet de stratégie de groupe portant le même nom.

Voir les pages suivantes pour une description plus détaillée de la manière dont les numéros de version des objets de stratégie de groupe sont calculés et utilisés:


4
2018-01-10 06:27



Cela ressemble à une idée solide. J'ai hâte d'essayer ça! - SturdyErde


Cela ne veut pas dire que vos contrôleurs de domaine ne correspondent pas à la version, mais qu’un de vos objets de stratégie de groupe l’est.

Vous devez localiser la stratégie incriminée ("Policy {GUID}") et sous le dossier sysvol de vos contrôleurs de domaine, accédez à son dossier (\ DC \ sysvol \ policies {GUID}) et vérifiez le fichier GPT.INI à la fois. Pays en développement. Il y aura un numéro de version, et le numéro de version sera différent sur les différents contrôleurs de domaine - il s'agit de l'incompatibilité de version dont il se plaint.

La correction dépend de la cause exacte de l'incompatibilité - vous pouvez peut-être le corriger en modifiant le numéro de version dans GPT.ini, ou cela peut résulter d'un problème plus important, comme des jeux de réplicas FRS défectueux, des paramètres ACL sur cet objet de stratégie de groupe particulier. , etc. Pas assez d’informations pour déterminer la cause exacte.


1
2018-06-19 15:23



Je comprends qu'il parle d'une non-concordance de version d'un objet de stratégie de groupe et non du contrôleur de domaine. :) Comme je l'ai dit dans ma question, ces GPO ont en fait le même numéro de version. GPOTool, GPMC et le fichier gpt.ini indiquent tous le même numéro de version. C'est pourquoi je me demande pourquoi GPOTool pense qu'il y a un décalage. - SturdyErde
Comme vous pouvez le voir ci-dessus, tout est exactement identique à l'exception du nom du contrôleur de domaine et de la date de modification: il est inférieur d'une seconde au deuxième contrôleur de domaine. - SturdyErde
@SturdyErde: une différence de temps d'une seconde est insuffisante pour causer des problèmes liés au temps avec les GPO ou les contrôleurs de domaine Windows ... ce n'est donc pas ce qui les cause. Non pas que j'ai la moindre idée de ce qui le provoquerait. Je dirais qu'il est temps d'arrêter les outils détaillés de la CLI pour diagnostiquer ce qui se passe dans votre domaine. : / - HopelessN00b


Je voudrais voir si votre environnement AD est dans un état d'emballage journal. Nous avons rencontré le même problème et avons dû effectuer une restauration D2 pour que tous les objets de stratégie de groupe soient à nouveau cohérents.


0
2018-03-28 13:54