:strip_icc():strip_exif()/u/50542/alice.jpg?f=community)
Situatie
5 Sites verbonden met WAN links (wereldwijd)
Windows 2003 Servers
Windows 2003 DFS (geen R2)
Windows XP (SP1 -SP2)
Via de gebruikelijke manier heb ik een DFS share aangemaakt genaamd software. Deze staat in een root samen met nog 80 andere DFS shares. Er is een subfolder grpwise waar een groep computers aankunnen. In deze folder zit een distributie van GroupWise7. Er is een AD policy die software installeert op de PC. In deze policy wordt verwezen naar het DFS pad voor de mst en msi files.
De replicatie is verlopen, alle sites hebben de structuur met alle rechten overgenomen.
Als ik computers in de security group steek die rechten hebben op de GPO dan word dit uitgevoerd in site 1, zowat alle PC's hebben de software gekregen (95%, de rest heeft lokale issues' wellicht). In site 2 heb ik wat test stations genomen, daar werkt het ook. Site 3 wil geen enkele computer (reeds 5 getest)
Event
MAW:
De policy wordt uitgevoerd, er wordt geprobeerd om toegang te krijgen tot een locatie, maar dat faalt.
Er worden op de server echter geen audit failures gevonden voor die PC. Voor de PC account worden wel succes audits gevonden. De firewall geeft niet aan dat er naar een andere site gezocht wordt. Voor deze DFS link is er trouwens een geforceerde toegang tot de DFS server in de site zelf (/insite referal = enabled). Hieruit kan ik maar besluiten dat er naar de lokale server gegaan wordt langs het DFS pad, maar 100% zeker ben ik niet omdat het event niet zegt welke files of paden niet beschikbaar zijn.
De rechten op de folder staan ondertussen op authenticated users (read) nog steeds geen resultaat.
Op de Disk van de DFS server vaar de software staat is de auditing volledig aangezet (authenticated users, success, fail, full control) er komen met moeite 2 entries voor na reboot. Ik begin er aan te twijfelen dat de PC naar de juiste DFS gaat. Zijn er mogelijkheden om te loggen wat de PC op het netwerk doet waneer hij GPO verwerkt?
Gpresult (relevante zaken)
Wat kan hier aan de hand zijn?
5 Sites verbonden met WAN links (wereldwijd)
Windows 2003 Servers
Windows 2003 DFS (geen R2)
Windows XP (SP1 -SP2)
Via de gebruikelijke manier heb ik een DFS share aangemaakt genaamd software. Deze staat in een root samen met nog 80 andere DFS shares. Er is een subfolder grpwise waar een groep computers aankunnen. In deze folder zit een distributie van GroupWise7. Er is een AD policy die software installeert op de PC. In deze policy wordt verwezen naar het DFS pad voor de mst en msi files.
De replicatie is verlopen, alle sites hebben de structuur met alle rechten overgenomen.
Als ik computers in de security group steek die rechten hebben op de GPO dan word dit uitgevoerd in site 1, zowat alle PC's hebben de software gekregen (95%, de rest heeft lokale issues' wellicht). In site 2 heb ik wat test stations genomen, daar werkt het ook. Site 3 wil geen enkele computer (reeds 5 getest)
Event
code:
1
| The install of application GroupWise from policy Global-Software failed. The error was : The installation source for this product is not available. Verify that the source exists and that you can access it. |
MAW:
De policy wordt uitgevoerd, er wordt geprobeerd om toegang te krijgen tot een locatie, maar dat faalt.
Er worden op de server echter geen audit failures gevonden voor die PC. Voor de PC account worden wel succes audits gevonden. De firewall geeft niet aan dat er naar een andere site gezocht wordt. Voor deze DFS link is er trouwens een geforceerde toegang tot de DFS server in de site zelf (/insite referal = enabled). Hieruit kan ik maar besluiten dat er naar de lokale server gegaan wordt langs het DFS pad, maar 100% zeker ben ik niet omdat het event niet zegt welke files of paden niet beschikbaar zijn.
De rechten op de folder staan ondertussen op authenticated users (read) nog steeds geen resultaat.
Op de Disk van de DFS server vaar de software staat is de auditing volledig aangezet (authenticated users, success, fail, full control) er komen met moeite 2 entries voor na reboot. Ik begin er aan te twijfelen dat de PC naar de juiste DFS gaat. Zijn er mogelijkheden om te loggen wat de PC op het netwerk doet waneer hij GPO verwerkt?
Gpresult (relevante zaken)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
| Created On 4/15/2008 at 10:39:54 PM
RSOP results for DOMAIN\administrator on TEST : Logging Mode
-----------------------------------------------------------------
OS Type: Microsoft Windows XP Professional
OS Configuration: Member Workstation
OS Version: 5.1.2600
Domain Name: DOMAIN
Domain Type: Windows 2000
Site Name: SITEName
Roaming Profile:
Local Profile: C:\Documents and Settings\administrator
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN....
Last time Group Policy was applied: 4/15/2008 at 10:29:53 PM
Group Policy was applied from: [i]fqdn van een locale DC[/i]
Group Policy slow link threshold: 1000 kbps
Applied Group Policy Objects
-----------------------------
Software
Global-Environment
Global-Software
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
enkele niet relevante GPO's
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups:
--------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
IGWTEST$
Groepen die toegang geven tot software installatie resourses. de nodige groepen staan hier in
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users |
Wat kan hier aan de hand zijn?
[ Voor 34% gewijzigd door Yalopa op 15-04-2008 16:56 ]
You don't need eyes to see, you need vision
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
