BAZA ZNANJA

Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Rešavanje problema sa grupnim polisama

Autor: Test Instruktor

Naziv jedinice: Rešavanje problema sa Group Policy Application-om

Windows Server 2008 i Windows Vista predstavljaju nove metode za rešavanje problema sa primenjivanjem postavki grupnih polisa (Troubleshoot the Application of Group Policy Settings). Jedna od karakteristika koju bi trebalo koristiti je Group Policy Operational Log za izveštavanje o događajima koji se odnose na primenjivanje grupnih polisa.

Group Policy Operational Log možemo videti ako otvorimo Event Viewer i pretražimo  (Browse) Application Log and Services Log-Microsoft-Windows-Group Policy i nakon toga selektujemo Operational.

GPLogView.msi je alatka za rešavanje problema koja može da se koristi na verziji Windows Vista i koja kreira izlazni File (Output File) za Grupne Polise - koje svoje događaje zapisuju u System event Log-u & Group Policy operational Event Log. Alatku možemo da preuzmemo na adresi http://go.microsoft.com/fwlink/?LinkId=75004

Rešavanje problema koji se odnose na specifične probleme sa grupnim polisama može biti veoma teško zbog velikog broja komponenti koje su uključene u proces. Ipak, mnogi problemi se odnose na sledeće tačke, koje nas mogu uputiti na uzrok problema:

• Status of the GPO and GPO Link: Potrebno je uveriti se da GPO ili GPO link nisu onemogućeni i da link postoji za odgovarajući sajt, domen ili organizacionu jedinicu. Takođe važno je znati da su samo promenjeni objekti grupnih polisa procesuirani u toku Refresh intervala.
  
  
• Location of the User or Computer object: Potrebno je osigurati da je korisnički ili kompjuterski objekat u kontejneru kom smo dodelili objekat grupne polise.
  
  
• Replication Issue: Ako je GPO upravo kreiran, moguće je da neki domenski kontroleri još nisu primili replicirane GPT & GPC informacije. Možda ćemo takođe morati da izvršimo rešavanje problema DFS & FRS replikacionih problema ako primetimo da SYSVOL informacija nije replicirana kako smo očekivali.
  
  
• GPO nasleđivanje: Možemo da koristimo Group Policy Results za proveru Group Policy postavki koje je nasledio specifični korisnik. Potrebno je dobro proveriti Block Inheritance (blokiranje nasleđivanja) & Enforcement kao i link Orded da bismo osigurali da su GPOs procesuirani kako očekujemo.
  
  
• Security Filtering: Potrebno je proveriti sigurnosno filtriranje na GPO. Pogledati da li su po defoltu autentifikovani korisnici dodati u filter, što uključuje standardne korisnike, kompjutere i administratore. Možda ćemo morati da modifikujemo korisnika ili grupe u filteru da bismo osigurali odgovarajuće procesuiranje GPO.
  
  
• Slow Link or Loopback processing: Možda ćemo morati da odredimo da li klijentski kompjuter ima probleme koji se odnose na Slow Network Link (spore mrežne linkove). Potvrditi da nisu sve Group Policy CSEs procesuirani preko sporih linkova. Takođe, važno je odrediti da li je kompjuter u Loopback Processing Mode-u. Obe ove stvari mogu da se identifikuju startovanjem Group Policy Results alatke i fokusiranjem alatke na kompjuter koji prikazuje grešku.
  
  
• Network Connections: Po redu, da bismo dobili listu objekata grupnih polisa (GPO list) i da bi se postavke u grupnim polisama procesuirale na pravi način, svi kompjuteri moraju da budu u mogućnosti da kontaktiraju domenski kontroler aktivnog direktorijuma. Po redu, da bi mogao da pronađe domenski kontroler, DNS mora da funkcioniše unutar mrežnog okruženja. Prilikom odrađivanja rešavanja problema potrebno je proveriti da li naša mrežna infrastruktura radi kako očekujemo. Takođe, potrebno je osigurati da je vreme sinhronizovano između svih kompjutera, što je možda i glavni Group Policy Processing problem (kao i bilo koji drugi problem koji se odnosi na mrežnu konektivnost).
  
  
  

Troubleshooting Group Policy Inheritance

Domen ili organizaciona jedinica može da bude konfigurisana da sprečava nasleđivanje postavki polisa. Da bismo blokirali nasleđivanje, potrebno je da kliknemo desnim klikom miša na domen ili organizacionu jedinicu u GPME i izaberemo Block Inheritance opciju. Nakon blokiranja nasleđivanja na organizacionoj jedinici, korisnici, grupe ili kompjutere koji se nalaze unutar te organizacione jedinice neće primiti postavke polisa koje su zakačene na domenu. Ovo može da dovede do određenih problema sa procesuiranjem grupnih polisa. Block Inheritance opcija je osobina domena ili organizacione jedinice, tako da ona blokira sve postavke grupnih polisa iz GPOs koji su povezani sa roditeljskim kontejnerom u Group Policy hijerarhiji. Kada blokiramo nasleđivanje na organizacionoj jedinici (OU), na primer, GPO primenjivanje počinje sa bilo kojim objektom grupne polise koji je zakačen direktno na tu organizacionu jedinicu, dok objekti grupnih polisa koji su zakačeni za organizacione jedinice višeg nivoa, domen, ili sajt, neće se primenjivati.

Block Inheritance opciju treba koristiti obazrivo, ako je uopšte i budemo koristili. Blokiranje nasleđivanja čini mnogo komplikovanim izračunavanje Group Policy Precedence (prednosti, prioritete) i nasleđivanje.

Za rešavanje problema koji se odnose na Group Policy Inheritance (nasleđivanje grupnih polisa) koristimo alatku Group Policy Results. Ova alatka može da izlista sve objekte grupnih polisa koji su primenjeni i one koje su blokirani. U slučaju da cela sekcija organizacionih jedinica ne prima polise, onda je problem u blokiranju nasleđivanja.

 
Slika 39.1

Troubleshooting Group Policy Filtering (filtriranje grupnih polisa)

Verovatno ste do sada naučili da objekat grupne polise možemo da povežemo na sajt, domen ili organizacionu jedinicu. Ipak, možda ćemo imati potrebu da primenimo objekte grupnih polisa samo na određene grupe korisnika ili kompjutera, a ne na sve korisnike ili kompjutere koji se nalaze u dometu objekta grupne polise. Pošto ne možemo objekat grupne polise direktno da povežemo na sigurnosnu grupu, postoji način za primenjivanje GPOs na specifične sigurnosne grupe. Polise u objektu grupne polise se primenjuju samo na korisnike koji imaju Allow Read & Allow Apply Group Policy dozvole za objekat grupne polise. Svaki objekat grupne polise poseduje ACL listu koja definiše dozvole za GPO. Dve dozvole, Allow Read & Allow Apply Group Policy, su potrebne za GPO da bi on mogao da se primeni na korisnika ili kompjuter. Po defoltu Authenticated Users grupi je data Allow Apply Group Policy dozvola na svakom novom objektu grupne polise. Ovo znači da po defoltu, svi korisnici i kompjuteri će biti zahvaćeni objektima grupnih polisa koji se postavljaju na njihove domene, sajtove ili organizacione jedinice nezavisno od drugih grupa u kojima su ti korisnici ili kompjuteri članovi.

Group Policy filtriranje može da izazove određene probleme koji se odnose na nekonzistentnost primenjivanja polise u organizacionoj jedinici. Ako neki korisnici ili grupe imaju primenjene filtere, oni neće primiti polise koje će korisnici koji se nalaze u istoj organizacionoj jedinici primiti. Za rešavanje problema koji se odnose na filtriranje grupnih polisa koristimo alatku Group Policy Result. Ova alatka generiše izveštaj (Group Policy Results Report) koji nudi informacije o polisama koje su primenjene i o onim polisama koje nisu primenjene.

Slika 39.2

Troubleshooting Group Policy Replication (rešavanje problema sa replikacijom)

Problemi sa replikacijom mogu da speče korisnike da dobiju nove GPO postavke. Domenski kontroleri, koji imaju probleme sa replikacijom, neće biti obavešteni da je GPOs Version Number porastao (što znači da se dogodila određena promena). Iz tog razloga, kada klijent izvrši proveru poslednjeg GPOs Version Number-a, dobiće tačan Version Number (Current Version Number), klijent će poverovati da se nisu dogodile nikakve promene u objektu grupne polise (GPO).

Ako posumnjamo da imamo problem sa replikacijom, GPOTool može da izvrši proveru konzistentnosti polisa na svim domenskim kontrolerima. Replication Monitor alatka se nalazi u Support Tools-u. Ovu alatku možemo da iskoristimo da primoramo odrađivanje replikacije (Force Replication).

Slika 39.3 

Troubleshooting Group Policy Refresh (rešavanje problema sa osvežavanjem grupnih polisa)

Ako se grupne polise ne osvežavaju na klijentu na način na koji smo želeli, potrebno je da izvršimo proveru Refresh intervala za svaku Grupnu Polisu. Većina postavki zahteva Logoff ili Restart mašine da bi stupila na snagu. Windows XP i Windows Vista klijenti se Log-uju sa keširanim informacijama (Credentials) po defoltu. Iz tog razloga, mnoge postavke grupnih polisa će birati dva Logon procesa pre nego što budu primenjene. Ovo ponašanje može da promeni postavka „Always wait for network at computer startup and logon“. Takođe možemo da koristimo i GPUpdate.exe da prisilimo osvežavanje grupnih polisa.

Ako se grupne polise ne osvežavaju kako želimo, potrebno je da:

• Proverimo Refresh interval za korisnike i kompjutere.
• Proverimo da li se korisnik odjavio pa se ponovo prijavio i da li je kompjuter restartovan.
• Proveriti da li su možda keširani podaci korisnika (Credentials) zbog toga što keširane informacije mogu da odlože uticaj grupnih polisa.
• Proveriti da li je Loopback polisa omogućena.

Koristimo GPUpdate.exe:

• Za ručno osvežavanje ažuriranih postavki grupnih polisa.
• Da primoramo osvežavanje svih postavki grupnih polisa.
• Da primoramo restartovanje ili Logoff proces, ako je potrebno, da bismo osvežili postavke.