Хочу поделиться опытом. Как снежный ком нарастала проблема на терминальных серверах windows server 2008 r2 под названием «Служба групповой политики препятствует входу в систему. Отказано в доступе.», пользователь не мог войти на терминальную ферму ни каким образом (назову для краткости ее «Проблема №1»).

Сначала это возникло для одного пользователя и удаление перемещаемого профиля решило проблему. Спустя месяц – еще один пользователь. Но настал день, который можно было назвать «черной пятницей», когда в день таких отказов более 20.

Понятно, что пересоздание профиля не причина, хотя и в большинстве случаев решает проблему.

Спустя некоторое время проблема пошла на убыль и настало время анализа причины.

В частности, было выявлено что:

  • источником проблемы являлся один сервер, у него создавалась масса веток SID.bak в HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfilList;

  • на файловом сервере-хранилище перемещаемых профилей в профильном каталоге создавался файл ntuser.dat размером 256Кб;

  • на серверах в c:\Users накапливались пользовательские профили, которые порой было проблематично удалить (из-за длинных имен) и было желание решить и эту проблему;

  • индикатором наличия проблемы были сообщения в журнале Windows – Event ID 5009, 1542, warning 6004.

Окончательно решить проблему удалось только настроив политики Windows для удаления с серверов профилей и для уменьшения времени жизни Disconnected сессий. Решая эту проблему, удалось «убить двух зайцев» (проблема disconnected сессий и проблема «отказано в доступе» (см. картинку выше).

В частности, было сделано:

Настроены выделенным красным позиции в редакторе групповой политики

  • Удалять кэшированные копии перемещаемых профилей – «включено»;
  • Максимальное число повторов попыток выгрузки и обновлений профиля пользователя – «Отключено»;
  • Таймаут медленных подключений для профилей пользователей – «отключена»;
  • Фоновой передачи реестра перемещаемого профиля пользователя при входе пользователя в систему – «отключено».

Для решения проблемы №1 была решающей отключение «Фоновой передачи реестра перемещаемого профиля пользователя при входе пользователя в систему».

Для решения проблемы №2 включение вышеуказанных настроек так же помогло избавиться от отключенных сессий и удаления кэшированных профилей с серверов.

После применения политики на серверах указанные проблемы ушли в прошлое.

Служба групповой политики препятствует входу в систему
Метки:

Добавить комментарий

Яндекс.Метрика
%d такие блоггеры, как:
Перейти к верхней панели