Рабочие станции Windows 7 Pro перестают принимать параметры DHCP после активации групповой политики

Question

[Илья Севостьянов]

Я понимаю что, вопрос такой вроде надо на спец-форумах задавать… но не поверите :) я задавал: OSzone1, OSzone2, SysAdmins.ru
И тишина, прям таки совсем тишина… ну попробую «поискать счастья» здесь…
Суть вопроса:
При ковырянии групповых политик, одной из манипуляций было попробовать внести некоторые изменения в Default Domain Policy (которая на тот момент была отключена, неизвестно зачем «архитектор сия сети канул в лету» :) ) Контроллером домена выступает Windows Server 2003 R2, он же DHCP-сервер.
На следующий день, после того как политика Default Domain Policy была активирована — все перезагружавшиеся рабочие станции под управлением Windows 7 Pro перестали принимать параметры от DHCP-сервера, не опознают сеть подключения («Неопознанная сеть» со всеми вытекающими), помог разобраться вот этот пост (да, я там тоже спросил :) ), только выводить из домена оказалось необязательно, достаточно зайти под любым локальным админом и сбросить политики
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
… Само собой Default Domain Policy снова отключена… побегать пришлось неплохо — «семерок» более двадцати.
Работоспособность семерок востановлена, но мне хочется знать что-же это все таки за такая политика, которая приводит к таким печальным для семерок последствиям, ведь рабочие станции Windows XP при этом работали отлично.
Какие у коллективного разума будут соображения?

PS: Я не админ, короче мотороллер не мой и т.д.
Но разобраться надо :)

Answer 1

[antonevich]

Конкретно с этой проблемой не сталкивался, но когда в у себя в домене под 2003 r2 ставили на машины семерку — получили тоже большое количество необъяснимых проблем. Основной источник — разные версии AD. Часть со временем залатали патчами, часть руками, но стройной работы домена так и не получили. Если с доменом еще планируете работать — лучше всего поменять сервак на 2008 R2. Лучше ужасный конец, чем бесконечный ужас. =)

Answer 2

[Илья Севостьянов]

Да, 2008-й сервер получше будет, однако, что дано — то дано :) увы победить эту проблему методом «отрезания больной конечности» не имеется возможности.
Насколько я успел разобраться проблема-то в какой-то конкретной галочке (ох как я за это виндовсы не люблю) настройке политики. Так как в домене они (политики) таки используются для отдельных групп пользователей… Их сравнение выдало уж больно много различий, методом тыка я как-то не привык работать, но видимо придется.
Подскажите хотя бы куда копать, или на что точно не обращать внимания — т.е. что можно исключить?

Answer 3

[microphone]

А вы политиками там firewall трогали?
«arp -a» хотябы ченить кажет? хотябы какой то пакетик приходит в сетевуху?
Ради чистоты эксперимента попробуйте на машинке с особенностями посмотреть наличие сервиса фаервола и правил в них разрешающих DHCP проходимость. Правила кстати попробуйте просто добавить (даже если фаервол отключен, надо его включить добавить и выключить) разрешающие ДХЦП.

Comments

[microphone]

Интересует трафик со стороны клиента, после применения неудачной политики 1) На клиенте в службах остается живым сервис DHCP-клиент? 2) в принципе в сетевой интерфейс трафик попадает (если брендмауер с антивирем пропускают, то хотябы арп то точно должен капать в сетевуху +широковешалово)? 3) Отключали руками фаерволл (на каждом клиенте отдельно) или политикой?

Answer 4

[Антон Смирнов]

Небольшой оффтоп:
1. редактировать Default Domain Policy не рекомендуется — создавайте отдельную политику для редактирования нужных вам параметров.
2. нет смысла отключать Default Domain Policy — перенесите все компы с семеркой в отдельную ОУшку и включите на ней Блокирование наследования до тех пор, пока не разберетесь с проблемой.
3. тут несколько возможных решений: social.technet.microsoft.com/Forums/en-US/winserverNAP/thread/2a18bb78-211a-42e4-809a-8be4133149e6/

По теме:
1. что с фаерволом на семерке и какие изменения вносились?
2. было бы замечательно увидеть результирующую политику.
3. что в system логах?

Answer 5

[Илья Севостьянов]

А вы политиками там firewall трогали?

Не трогали… Брандмауэр Windows отключен, на сервере стоит сторонний межсетевой экран SSEP (сертифицированное ФСТЭК средство защиты ПД… то еще «унылое»… фактически русифицированный Outpost с переписанным гуем, с закосом под интерфейс Касперского; но в данном случае точно не он, его уже вдоль и поперек пролезли, да и к тому-же все нормально если не активировать ту самую политику.)

что в system логах?

А дам девственно чисто… оповещения, даже предупреждений нет, не то чтобы ошибок.

было бы замечательно увидеть результирующую политику.

а вот собственно и политика, это не rsop, но сгодится я думаю, это сводка из Group Policy Manager,.

Сделайте rsop с включенной дефолтной доменной политикой

Это будет чревато… попробую в нерабочее время. Если я отключу наследование, то Вы в rcop ничего не увидите, если нет, то завтра по утру опять бубен в руки и бегом :)

Answer 6

[navion]

Сбросьте все настройки в разделе Computer Configuration\Windows Settings\System Services, там отключено много важных системных служб (например, RPC) из-за чего могут вылезать всякие весёлые глюки.