GPupdate Hatası

Merhaba geçen hafta rahatsız olduğum için geri dönüş yapamadım.
Bilgisayarı daha detaylı inceleme şansım oldu şu dikkatimi çekti. Bilgisayarda GPUPDATE'i yaptığımda computer policy alıyor (Targer:Computer) ama sadece user policy'i almıyor. Birkaç bilgisayarda kontrol ettim bu sorunu yaşayan 2 bilgisayarım var.

rsop yaptığımda aşağıda ki hatayı alıyorum.

wuau.adm
Location - "\\domain.com.tr\sysvol\domain.com.tr\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\wuau.adm"
Error - The system detected a possible attempt to compromise security. Please ensure that you can contact thremovable_storage.adm
Location - "\\domain.com.tr\SysVol\domain.com.tr\Policies\{E9DE6C98-6AC8-4A86-990B-D815F3D3F5DE}\Adm\removable_storage.adm"
Error - The system detected a possible attempt to compromise security. Please ensure that you can contact thconf.adm
Location - "\\domain.com.tr\SysVol\domain.com.tr\Policies\{E9DE6C98-6AC8-4A86-990B-D815F3D3F5DE}\Adm\conf.adm"
Error - The system detected a possible attempt to compromise security. Please ensure that you can contact thinetres.adm
Location - "\\domain.com.tr\sysvol\domain.com.tr\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\inetres.adm"
Error - The system detected a possible attempt to compromise security. Please ensure that you can contact thwmplayer.adm
Location - "\\domain.com.tr\sysvol\domain.com.tr\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\wmplayer.adm"
Error - The system detected a possible attempt to compromise security. Please ensure that you can contact thsystem.adm
Location - "\\domain.com.tr\sysvol\domain.com.tr\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\system.adm"
Error - The system detected a possible attempt to compromise security. Please ensure that you can contact th

ilginize teşekkürler

Tekrar merhaba,

Konu için yardımlarını tekrar rica etsem?

Merhaba Yavuz bey,

Firewall kapalı ve anti virus'u kapatıp da denedim. ama sonuç aynı. Tuhaf olan computer policy'i alır iken hata vermiyor fakat user policy'i alirken belirttiğim hatayı veriyor.

tekrar merhaba,

GPresult /h ile aldığım html çıktısında su alan dikkatimi cekiyor.

Group Policy Infrastructure failed due to the error listed below.
The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.
Note: Due to the GP Core failure, none of the other Group Policy components processed their policy. Consequently, status information for the other components is not available.
Additional information may have been logged. Review the Policy Events tab in the console or the application event log for events between 06/01/2017 14:37:08 and 06/01/2017 14:37:10.

Ayrıca kullanıcı network paylaşımlarına girmek istediğinde (buraya sunucu adını yazınca aşağıda ki hatayı veriyor ama sunucunun adı yerine ıp adresini yazınca aşağıda ki hatayı vermeden direk bağlanıyor.)
the system detected a possible attempt to compromise security. please ensure that you can contact the server that authenticated you.
uyarısı almakta şifresini girdikten sonra network share 'lara girebiliyor (kullanıcı domain kullanıcı adı ile bilgisayarı açıyor ve paylaşımlara yine bu kulanıcı adını ve şifresini yazıyor)

test amaçlı kullanıcının hesabını resetledim ve şifresinide resetledim fakat sorunu çözemedim. konu hakkında yardımlarınızı rica ederim.

Öncelikle sunucuya FQDN ile bağlanmayı deneyin

örneğin server.cozumpark.local

eğer bu şekilde bağlanıyorsanız bu sorun yaşayan istemcide TCP IP ayarlarını kontrol edin, DNS suffix i otomatik ekliyor mu?

Control Panel\Network and Internet\Network and Sharing Center
Local Area Connection Status
Properties
Internet Protocol Version 4 (TCP/IPv4) and/or Internet Protocol Version 6 (TCP/IPv6)
Properties
Advanced
DNS

Append primary and connection specific DNS suffixes şecili olmalı ve altındaki Append parent suffixes of the primary DNS suffix kutucuk işaretli olmallı

Hakan Bey merhaba,
Öncelikle birkaç gündür rahatsız olduğum için geç cevap verebildim k.bakmayın.
Client belirttiğiniz ayarlar seçili durumda fakat yine aynı hatayı almaktayım. 

\\domain.com.tr\ yazip girmeye çalıştığımda sunucuya bağlantı yapmakta fakat netlogon ve sysvol'e girmek istediğimde. (ama dc'lere ip ile gittiğimde bu hatayı almıyorum)

\\domain.com.tr\NETLOGON is not accessible. You might not have permission to use this network resource. Contact the administrator of this server to find out if you have access permissions.

The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.

Gpupdate veya gpupdate /force yaptığımda

C:\Windows\system32>gpupdate /force
Updating Policy...

User policy could not be updated successfully. The following errors were encount
ered:

The processing of Group Policy failed. Windows could not resolve the user name.
This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain co
ntroller has not replicated to the current domain controller).
Computer Policy update has completed successfully.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html f
rom the command line to access information about Group Policy results.

IPconfig  /all çıktısı

C:\Windows\system32>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : FINANSPC
Primary Dns Suffix . . . . . . . : domain.com.tr
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.com.tr

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : domain.com.tr
Description . . . . . . . . . . . : Realtek RTL8168D/8111D Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
Physical Address. . . . . . . . . : 6C-62-6D-BB-04-48
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.147(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 Ocak 2017 Çarşamba 10:24:01
Lease Expires . . . . . . . . . . : 27 Ocak 2017 Cuma 09:13:43
Default Gateway . . . . . . . . . : 192.168.1.254
DHCP Server . . . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 192.168.1.1
192.168.1.2
Primary WINS Server . . . . . . . : 192.168.1.1
Secondary WINS Server . . . . . . : 192.168.1.2
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.istanbulmortgage.com.tr:

Connection-specific DNS Suffix . : domain.com.tr
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::5efe:192.168.1.147%11(Preferred)
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.1.1
192.168.1.2
NetBIOS over Tcpip. . . . . . . . : Disabled

ilginize teşekkürler.

Merhaba, bu durumda sorun istemcide değil DNS tarafında sorun olması gereki, çünkü istemcide kayıtlı şifre yok diyorsun ( diğer postun ile konuyu birleştiriyorum), ayrıca yine diğer postun da benzer sorun var yani izin sorunu, diyorsun ki bazı istemcilerde yani file seever a bazılrı isim ile erişirken bazıları erişemiyor.

Eğer istemci sorunu değilse ki senin verdiğin cevaplara göre yorum yapoyırum umarım doğru kontrol etmişsindir, bu durumda DNS üzerinde bazı kayıtlarda sorun var, örneğin fila server için veya DC için A kayıtlarını kontrol eder misin, tek mi? Yani iki A kayıdı olup birisi eski bir ip adresini temsil ediyor olabilir mi?

DC için sadece A kayıdı değil SRV kayıtlarını da kontrol etmen gerekli.

Ama bana göre iki postu yorumluyorum, senin sorunun sanki DNS cache bozulması, yani senin DNS de sorun var bence.

İlk olarak istemciyi eğer imkanın var ise temiz kur deneme için, temiz kurduğun bir işletim sisteminde File Server a erişim veya GPO alma sorunu var mı?

Eğer yok ise sorun yaşayan istemcide bunu deneyebilisin

net stop netlogon
net start netlogon
ipconfig /flushdns
ipconfig /registerdns
Nbtstat -RR

Daha sonra sorun yaşayan istemci için sorunun düzelmesi beklenir.

Eğer düzelmiyor ise istemcileri karşılaştırmak gerekli, her iki postunda birinde file server diğerinde DC ye erişmeyen istemciler XP veya 7 gibi eski makineler mi? Eğer öyle ise GPO tarafında Default Domain Controller Policy altında bu ayarları kontrol etmen lazım

Microsoft network client: Digitally sign communications (always)
Microsoft network client: Digitally sign communications (if server agrees)
Microsoft network server: Digitally sign communications (always)
Microsoft network server: Digitally sign communications (if client agrees)

Özetle eski istemcilerin var ise lütfen bunları güncelle.

Eğer DC 2003 ise zaten işimiz var demektir aşağıdaki makaledeki gibi TCP yi Kerberos için force etmemiz gerekli

How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in
Windows XP, and in Windows 2000
http://support.microsoft.com/kb/244474

Eğer bunlarda çözüm olmaz ise bir danışmanın geip sizin DC nin loglarını detaylı incelemesi gerekli, hatta bu konuda sağlık taraması hizmeti bile alabilirsiniz.