Joan zuzenean edukira

9. AWS: GPO troubleshooting EC2n

Helburua

Domeinura batu diren EC2 instantzietan GPO aplikazio arazoak diagnostikatu eta konpontzea, 4.6 ataleko checklist-ari jarraituz.

Aurretiko baldintzak

  • Domeinura batu den Windows Server/Client EC2 eta DC eskuragarri.
  • RDP sarbidea eta tresnak exekutatzeko baimenak (GPMC/RSAT dagokionean).
  • AWS segurtasuna/portuak egokiak (DNS/LDAP/Kerberos/SMB).

Checklist azkarra

1) gpupdate /force (eremuaren arabera: /target:computer|user). 2) gpresult /r eta gpresult /h c:\temp\gpo.html aplikatutako/ukatuta dauden GPOak eta arrazoia ikusteko. 3) rsop.msc politiken multzo erresultanterako eta huts egin duten CSEetarako. 4) Gertaeren ikuslea → Microsoft → Windows → GroupPolicy/Operational (IDak eta CSEak). 5) GPMC DCan: lotura, ordena, Enforced/Block Inheritance, Security Filtering eta WMI iragazkiak. 6) DNS/ordua/DC konektibitatea (NTP, nltest, ping, nslookup). 7) AD/SYSVOL erreplikazioa (dcdiag, repadmin /replsummary).

Prozedura gidatua

  1. Esparru zuzena
  2. Ekipokoa ala Erabiltzailekoa? Non aplikatu behar da? Loopback aktibo? (Ekipoa → Sistema → Group Policy → Loopback modua).
  3. Herentzia (LSDOU) berrikusi
  4. GPMC → helburuko OU → Linked GPOs: ordena eta Enforced. Saia zaitez domeinura zuzen lotzea saihesten.
  5. Security Filtering eta baimenak
  6. GPOk "Read" + "Apply group policy" behar ditu objektuarentzat edo bere talderako. Doitu Delegation/Scope-n.
  7. WMI iragazkiak
  8. Balidatu kontsulta eta objektuak betetzen dituela. Sinplifikatu, bazterketa ezustekoak badaude.
  9. CSE gertaerak
  10. Drive Maps, Printers, AppLocker, Software Installation… gertaera espezifikoak eta mendekotasunak irakurri (UNC, baimenak, AppIDSvc).
  11. DNS, ordua eta konektibitatea
  12. w32tm /query /status, DNS zona zuzena, nltest /dsgetdc:DOMEINUA, SG/NACL portuak irekita.
  13. Erreplikazioa eta SYSVOL
  14. Itxaron atzerapenak edo behartu; DCetan DFS-R egiaztatu.

Agindu erabilgarriak

gpupdate /force
gpresult /r
gpresult /h C:\temp\gpo.html
rsop.msc
w32tm /query /status
nltest /dsgetdc:contoso.local
repadmin /replsummary
dcdiag

Egiaztapena

  • Doikuntzen ondoren: gpupdate errepikatu eta gpresult/rsop.msc berrikusi.
  • GroupPolicy/Operational-en errore gabeko gertaerak baieztatu.
  • Balidatu hainbat EC2tan (eta OU ezberdinetan) esparru arazoak baztertzeko.

Ikusi ere