Condivisione Netlogon e Scripts

[Mattia]

Salve a tutti,
questa mail è un po' la continuazione di "Dominio perso per sempre",
solo che l'argomento è un po' cambiato, quindi è meglio fare un nuovo
post.

Riassumendo, avevo due DC con W2003 e 1 DC primario con W2000, il quale
si è rotto.
La Replica File degli altri due, o meglio, di quello su cui sto
lavorando (AS032), non era stata completamente impostata, ed infatti le
cartelle sotto SYSVOL non erano condivise. E quando ho messo tutti e 5
i ruoli a questo DC (con DNS e GC) e cancellato tutti i riferimenti in
AD al vecchio DC primario, ancora c'erano degli eventi di tentativi di
Replica che si riferivano proprio ad esso.
Allora ho fatto quanto spiegato in KB315457, ossia rifatto il SYSVOL
tree mettendo a D4 il Burflag. E questa volta è finalmente andato, la
cartella è stata condivisa, i riferimenti al vecchio DC sono stati
cancellati dal registro e un po' di eventi positivi sono apparsi.

Ora però c'é l'altro (e spero ultimo) problema, ossia che la cartella
con il nome del dominio è vuota, e soprattutto mancano le Policies e
gli Scripts (che vengono condivisi come NETLOGON)

Questo è l'errore:

Tipo evento: Errore
Origine evento: NETLOGON
Categoria evento: Nessuno
ID evento: 5706
Data: 22/08/2006
Ora: 13.10.20
Utente: N/D
Computer: AS032
Descrizione:
Il servizio Accesso rete non è riuscito a creare una condivisione del
server C:\WINDOWS\SYSVOL\sysvol\t.----.it\SCRIPTS. Si è verificato il
seguente errore:
Impossibile trovare il file specificato.

Come posso fare dunque a ricreare il contenuto di questa cartella?
Il problema è che, essendo - penso - questa la cartella con le
autorizzazioni all'accesso ai pc, finchè non lo risolvo non posso
accedere con Desktop Remoto all'altro DC, a cui accedere direttamente
è molto problematico...

Grazie
saluti a tutti
Mattia

[Rossano Orlandini [MVP]]

On 22 Aug 2006 04:32:55 -0700, "Mattia" <mattia.a...@gmail.com>
wrote:

>Salve a tutti,
>questa mail è un po' la continuazione di "Dominio perso per sempre",
>solo che l'argomento è un po' cambiato, quindi è meglio fare un nuovo
>post.
>
>Riassumendo, avevo due DC con W2003 e 1 DC primario con W2000, il quale
>si è rotto.
>La Replica File degli altri due, o meglio, di quello su cui sto
>lavorando (AS032), non era stata completamente impostata, ed infatti le
>cartelle sotto SYSVOL non erano condivise. E quando ho messo tutti e 5
>i ruoli a questo DC (con DNS e GC) e cancellato tutti i riferimenti in
>AD al vecchio DC primario, ancora c'erano degli eventi di tentativi di
>Replica che si riferivano proprio ad esso.
>Allora ho fatto quanto spiegato in KB315457, ossia rifatto il SYSVOL
>tree mettendo a D4 il Burflag. E questa volta è finalmente andato, la
>cartella è stata condivisa, i riferimenti al vecchio DC sono stati
>cancellati dal registro e un po' di eventi positivi sono apparsi.
>
>Ora però c'é l'altro (e spero ultimo) problema, ossia che la cartella
>con il nome del dominio è vuota, e soprattutto mancano le Policies e
>gli Scripts (che vengono condivisi come NETLOGON)

Articolo 315457 "How to rebuild the SYSVOL tree and its content in a
domain" della Microsoft KB.

--
Rossano Orlandini
MCSE MCSA MVP - Windows Server

[Mattia]

Grazie della risposta (anche quelle sull'altro post), ma l'articolo che
mi citi l'avevo nominato anch'io e ce l'ho qui tra le mani... E' grazie
ai BurFlag che sono riuscito a far ripartire i due DC con la replica
tra i due (che non c'era), ma con entrambi adesso il problema è quello
che manca il file gpt.ini nella cartella Policies, anzi non c'é
neanche quella.

Nell'articolo si dice di verificare che le cartelle ci siano (punto 3)
ma non è chiaro su come fare a ricrearle quando il server originale da
cui fare la replica è ko ...

grazie
mattia

[Rossano Orlandini [MVP]]

On 22 Aug 2006 05:22:42 -0700, "Mattia" <mattia.a...@gmail.com>
wrote:

Le policy principali solo 2, se ne hai fatte altre le dovrai ricreare...
un trucchetto per risolvere è avere una macchina DC Windows 2003 pulita
da un'altra parte, stoppare i servizi FRS e Netlogon, copiare
brutalmente le cartelle dell'altro DC nella Sysvol vuota, riavviare i
servizi.

Se mi mandi una mail all'indirizzo nell'intestazione (togliendo
REMOVETHIS), posso mandarti un file zippato con le cartelle che ti
servono.

[Mattia]

Ti ringrazio del file che mi hai mandato. L'ho scompattato e dopo aver
arrestato il servizio "Replica file" l'ho copiato nella cartella
sysvol/nome-dominio/policies.
Ho anche creato la cartella, vuota, denominata scripts, e l'ho
condivisa con nome NETLOGON. In questo modo non ho più gli errori di
prima. Solo che non mi è chiaro che nome preciso dare alle cartelle
sotto Policies.
Guardando infatti tra gli errori nel visualizzatore Eventi, ho messo
alla cartella il nome giusto in modo che venisse individuato il file
gpt.ini (una cosa del tipo
Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}). Ho riavviato Replica
file, ma dopo un po' (10 minuti) è ricomparso l'errore, con indicata
un'altra cartella . Ho rifatto pensando che adesso si trattasse
dell'altra cartella che mi hai mandato, ma poi l'errore si è
presentato ancora.

Ho anche provato a modificare, da "Utenti e computer Active Directory"
i criteri di gruppo, ma mi dice che ha problemi di scrittura. E se
provo a creare un nuovo criterio di gruppo, mi dice che non ho i
permessi necessari (sono Amministratore di dominio!)

E' giusto così? devo solo aspettare?

grazie
saluti
mattia

Rossano Orlandini [MVP] ha scritto:

[Rossano Orlandini [MVP]]

On 22 Aug 2006 07:58:19 -0700, "Mattia" <mattia.a...@gmail.com>
wrote:

>Ti ringrazio del file che mi hai mandato. L'ho scompattato e dopo aver
>arrestato il servizio "Replica file" l'ho copiato nella cartella
>sysvol/nome-dominio/policies.
>Ho anche creato la cartella, vuota, denominata scripts, e l'ho
>condivisa con nome NETLOGON. In questo modo non ho più gli errori di
>prima. Solo che non mi è chiaro che nome preciso dare alle cartelle
>sotto Policies.
>Guardando infatti tra gli errori nel visualizzatore Eventi, ho messo
>alla cartella il nome giusto in modo che venisse individuato il file
>gpt.ini (una cosa del tipo
>Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}). Ho riavviato Replica
>file, ma dopo un po' (10 minuti) è ricomparso l'errore, con indicata
>un'altra cartella . Ho rifatto pensando che adesso si trattasse
>dell'altra cartella che mi hai mandato, ma poi l'errore si è
>presentato ancora.
>
>Ho anche provato a modificare, da "Utenti e computer Active Directory"
>i criteri di gruppo, ma mi dice che ha problemi di scrittura. E se
>provo a creare un nuovo criterio di gruppo, mi dice che non ho i
>permessi necessari (sono Amministratore di dominio!)
>
>E' giusto così? devo solo aspettare?

Ora che errori ci sono nel visualizzatore eventi?

Questa è la struttura di base corretta.
La cartella C:\Windows\Sysvol ha 4 sottocartelle: domain, staging,
staging areas e sysvol (quest'ultima è condivisa come SYSVOL).

Domain contiene due cartelle: Policies e scripts. Scripts è vuota,
Policies contiene le due cartelle presenti nel file zippato.

Staging contiene una cartella nascosta vuota chiamata domain.

Staging areas contine una cartella vuota chiamata col nome del tuo
dominio DNS.

Sysvol contiene una cartella col nome del tuo dominio DNS che a sua
volta contiene le cartelle Policies e scripts (quest'ultima condivisa
come Netlogon). In Policies ci sono le cartelle presenti nel file
zippato.

[Mattia]

Continua a dirmi che non trova il file, è per questo motivo che avevo
rinominato le due sottocartelle di Policies, mettendo come numero
identificavo davanti proprio quello che leggevo nel Visualizzatore
Eventi

Riporto i due errori che compaiono (con l'oscuramento del dominio)

Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1058
Data: 22/08/2006
Ora: 18.09.48
Utente: NT AUTHORITY\SYSTEM
Computer: AS032
Descrizione:
Impossibile accedere al file gpt.ini per l'oggetto Criteri di gruppo
CN={BC90C38D-87B5-41C0-981B-448E5B5ED5EF},CN=Policies,CN=System,DC=t,--,DC=it.
Il file deve essere presente nel percorso
<\\t.----.it\SysVol\t.----.it\Policies\{BC90C38D-87B5-41C0-981B-448E5B5ED5EF}\gpt.ini>.
(Impossibile trovare il percorso specificato. ). Elaborazione dei
Criteri di gruppo interrotta.

e quello dopo:

Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1030
Data: 22/08/2006
Ora: 18.09.48
Utente: NT AUTHORITY\SYSTEM
Computer: AS032
Descrizione:
Impossibile eseguire una query per reperire l'elenco degli oggetti
Criteri di gruppo. È possibile che nel registro eventi si trovino
messaggi registrati in precedenza dal modulo criteri in cui viene data
una spiegazione del problema.

Grazie della pazienza....
Mattia

[Rossano Orlandini [MVP]]

On 22 Aug 2006 09:15:50 -0700, "Mattia" <mattia.a...@gmail.com>
wrote:

>Continua a dirmi che non trova il file, è per questo motivo che avevo
>rinominato le due sottocartelle di Policies, mettendo come numero
>identificavo davanti proprio quello che leggevo nel Visualizzatore
>Eventi

Non è un codice Microsoft, quindi è una GPO personalizzata creata in
precedenza. Se vai in Utenti e Computer di AD e abiliti la
visualizzazione avanzata (menu Visualizza), dovresti ritrovarla nella
cartella System/Policies.

Ancor meglio se hai la GPMC (Group Policy Management Console)
installata, nel nodo Group Policy Objects vedi tutte le GPO del dominio
e per ognuna, nel tab Details, hai il suo ID univoco.

Adesso i client riescono ad entrare nel dominio?

[Mattia]

Grazie delll'aiuto.
Sì, adesso a quanto sembra il dominio funziona, e i client riescono ad
autenticarsi. C'è un altro server W2000S, che funge da file server,
nessun ruolo di Controller e che fino a stamattina dava problemi in
quanto nessuno riusciva a leggere le cartelle condivise, ma è stato
sufficiente riavviarlo (era così incasinato che non apriva neanche la
visualizzazione eventi).

Per quanto riguarda le Policies ho tuttavia ancora qualche problema:
come mi hai scritto se vado in Utenti e Computer di AD le visualizzo,
ma oltre a questo non riesco a fare niente. Ho scaricato ed installato
la GPMC: con essa ho cancellato una delle Group Policies che non era
presente (era una di quelle fittizie che avevo creato facendo copia +
incolla e rinominando l'ID delle cartelle), e corretto alcuni errori
(mi diceva che non erano sincronizzate con SYSVOL). Tuttavia non riesco
ancora a creare nuove GroupPolicies (da GPMC: Create and Link a GPO
Here -> Errore, Accesso Negato) e a modificare quelle vecchie (Vado a
cambiare ad esempio il logo di Explorer [Configurazione Utente /
Impostazioni di Windows / Manutenzione di Internet Explorer], e quando
premo OK ottengo "Durante l'accesso ai criteri di gruppo si è
verificato un errore, riprovare più tardi" ). Eppure entro come
Amministratore di Dominio, non dovrei avere problemi... Mah!

Grazie ancora dell'aiuto
Saluti a tutti

[Rossano Orlandini [MVP]]

On 23 Aug 2006 00:37:19 -0700, "Mattia" <mattia.a...@gmail.com>
wrote:

>Grazie delll'aiuto.
>Sě, adesso a quanto sembra il dominio funziona, e i client riescono ad
>autenticarsi. C'č un altro server W2000S, che funge da file server,

>nessun ruolo di Controller e che fino a stamattina dava problemi in

>quanto nessuno riusciva a leggere le cartelle condivise, ma č stato
>sufficiente riavviarlo (era cosě incasinato che non apriva neanche la

>visualizzazione eventi).
>
>Per quanto riguarda le Policies ho tuttavia ancora qualche problema:
>come mi hai scritto se vado in Utenti e Computer di AD le visualizzo,
>ma oltre a questo non riesco a fare niente. Ho scaricato ed installato
>la GPMC: con essa ho cancellato una delle Group Policies che non era
>presente (era una di quelle fittizie che avevo creato facendo copia +
>incolla e rinominando l'ID delle cartelle), e corretto alcuni errori
>(mi diceva che non erano sincronizzate con SYSVOL). Tuttavia non riesco
>ancora a creare nuove GroupPolicies (da GPMC: Create and Link a GPO
>Here -> Errore, Accesso Negato) e a modificare quelle vecchie (Vado a
>cambiare ad esempio il logo di Explorer [Configurazione Utente /
>Impostazioni di Windows / Manutenzione di Internet Explorer], e quando

>premo OK ottengo "Durante l'accesso ai criteri di gruppo si č
>verificato un errore, riprovare piů tardi" ). Eppure entro come

>Amministratore di Dominio, non dovrei avere problemi... Mah!
>
>Grazie ancora dell'aiuto
>Saluti a tutti

Oltre a questi messaggi, sono importanti i corrispondenti messaggi del
visualizzatore eventi!! :-)

[Mattia]

Nel visualizzatore Eventi non ho trovato nulla, eccetto nella sezione
Protezione, in cui è registrato il momento in cui entro in Active
Directory e con che privilegi, e poi quando esco. E' questo che intendi
? Ti riporto l'evento di Accesso

Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso/fine sess.
ID evento: 576
Data: 23/08/2006
Ora: 12.21.38
Utente: T7\Administrator
Computer: AS032
Descrizione:
Privilegi speciali assegnati al nuovo accesso:
Nome utente: Administrator
Dominio: T7
ID di accesso: (0x0,0xF5289B)
Privilegi: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Grazie
Mattia

[Rossano Orlandini [MVP]]

On 23 Aug 2006 03:21:34 -0700, "Mattia" <mattia.a...@gmail.com>
wrote:

>Nel visualizzatore Eventi non ho trovato nulla, eccetto nella sezione
>Protezione, in cui è registrato il momento in cui entro in Active
>Directory e con che privilegi, e poi quando esco. E' questo che intendi
>? Ti riporto l'evento di Accesso

Devo cercare informazioni sull'errore precedente, è davvero anomalo.
In ogni caso, sono contento le funzionalità basilari del dominio siano
ripristinate... ergo, fai anche un backup del System State!