Не применяются параметры Kerberos (через GPO)?

Собственно subj!
Достался в наследство домен - кто, как и в какой способ его насиловали ранее не суть важно... нужно решить озвученную проблему!
Преамбула: было (и есть сейчас) несколько контроллеров домена... симптотматика такова: если GPO изменялось на одном контроллере - все ОК, "выключалось" на первом изменялось на другом - от сосны иголочка: по gpresult касаемо Kerberos пусто! Возвращаем все назад (настраиваем GPO снова на первом, на другом предварительно все возвращаем в дефолт) - все ОК... По состоянию на сейчас - даже это перестало работать :(

Вопрос к всезнаюшему гуру: в какую сторону копать? Уже всю голову сломал... :( Предложение переставить домен "с нуля" априори не рассматривается - домен с древней историей и разломать его не представляется возможным... так же как и мигрировать на другой через траст...

Буду признателен за любые дельные советы, которые помогу решить проблему!
Спасибо.
  • Вопрос задан
  • 379 просмотров
Пригласить эксперта
Ответы на вопрос 1
@NortheR73
системный инженер
Все контроллеры домена равнозначны - поэтому редактировать GPO можно на любом, где есть компонент Group Policy Management и достаточно прав. По вашему описанию я понял, что вы сбрасываете в "дефолт" какую-то политику на одном КД и тут же, не дожидаясь репликации, настраиваете ее на другом контроллере - кто вас научил делать именно так?
Обычный порядок такой: меняем политику - ждем репликацию (или подпинываем ее через repadmin) - выполняем gpupdate /force на клиенте - проверяем результат через gpresult /r или gpresult /h.
Kerberos Policy - политика уровня домена (domain-wide). Параметры настраиваются или в Default Domain Policy, или в отдельной политике, которая привязывается к корню домена и имеет более высокий приоритет, чем Default Domain Policy.
Не помешает проверить здоровье контроллеров домена (репликацию, ошибки и т.д.)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы